Sicurezza Informatica
Stati Uniti e Regno Unito mettono in guardia da Fancy Bear che sfrutta vulnerabilità dei router Cisco
Tempo di lettura: 2 minuti. Le agenzie di sicurezza informatica di Stati Uniti e Regno Unito lanciano l’allarme: hacker russi sfruttano le falle nei router Cisco per spiare e diffondere malware.
Agenzie di sicurezza informatica e intelligence di Stati Uniti e Regno Unito hanno recentemente messo in guardia riguardo attori statali russi che sfruttano vulnerabilità, ora corrette, nei dispositivi di rete Cisco per condurre operazioni di ricognizione e diffusione di malware contro obiettivi sensibili.
Il gruppo APT28 e le sue azioni
Le intrusioni, secondo le autorità, si sono verificate nel 2021 e hanno colpito un numero limitato di entità in Europa, istituzioni governative statunitensi e circa 250 vittime ucraine. L’attività è stata attribuita a un attore minaccioso noto come APT28, anche conosciuto come Fancy Bear, Forest Blizzard (ex Strontium), FROZENLAKE e Sofacy, affiliato alla Direzione principale dell’intelligence generale russa (GRU).
L’exploit delle vulnerabilità nei router Cisco
“APT28 è noto per accedere ai router vulnerabili utilizzando stringhe comunitarie SNMP predefinite e deboli, e sfruttando la CVE-2017-6742”, ha dichiarato il National Cyber Security Centre (NCSC). La CVE-2017-6742 (punteggio CVSS: 8,8) fa parte di un insieme di vulnerabilità di esecuzione di codice remoto derivanti da un overflow di buffer nel sottosistema Simple Network Management Protocol (SNMP) nei software Cisco IOS e IOS XE.
Malware Jaguar Tooth e le sue funzionalità
Negli attacchi osservati dalle agenzie, l’attore minaccioso ha sfruttato la vulnerabilità per diffondere un malware non persistente chiamato Jaguar Tooth sui router Cisco. Questo malware è in grado di raccogliere informazioni sui dispositivi e consentire l’accesso backdoor senza autenticazione.
L’importanza della gestione delle patch
Sebbene questi problemi siano stati corretti nel giugno 2017, dal 11 gennaio 2018 sono stati sfruttati pubblicamente, sottolineando la necessità di pratiche solide di gestione delle patch per limitare la superficie di attacco. Oltre all’aggiornamento all’ultimo firmware per mitigare le potenziali minacce, Cisco consiglia anche agli utenti di passare da SNMP a NETCONF o RESTCONF per la gestione della rete.
Una campagna più ampia di attacchi informatici
Cisco Talos, in un comunicato coordinato, ha affermato che questi attacchi fanno parte di una campagna più ampia contro dispositivi e software di rete obsoleti di vari produttori, al fine di “raggiungere obiettivi di spionaggio o predisporre il terreno per future attività distruttive”.
L’installazione di software dannoso e il furto di credenziali
Questa campagna include l’installazione di software dannoso su dispositivi infrastrutturali, il tentativo di sorvegliare il traffico di rete e gli attacchi lanciati da “avversari con accesso preesistente agli ambienti interni, mirati ai server TACACS+/RADIUS per ottenere credenziali”.
Un allarme dopo attacchi precedenti
L’allarme arriva alcuni mesi dopo che il governo degli Stati Uniti ha lanciato un avvertimento riguardo agli attori cyber sponsorizzati dallo stato cinese che sfruttavano le vulnerabilità della rete per colpire organizzazioni del settore pubblico e privato dal 2020. Inoltre, all’inizio di quest’anno, la Mandiant di proprietà di Google ha evidenziato gli sforzi intrapresi dagli attori minacciosi sponsorizzati dallo stato cinese per distribuire malware su misura su dispositivi Fortinet e SonicWall vulnerabili.
La crescente minaccia degli attori avanzati di spionaggio informatico
Mandiant ha affermato: “Gli attori avanzati della minaccia di spionaggio informatico stanno sfruttando tutte le tecnologie disponibili per persistere e attraversare un ambiente target, in particolare quelle tecnologie che non supportano le soluzioni di endpoint detection and response (EDR)”.
Sicurezza Informatica
BreachForums è offline e sotto il controllo dell’FBI
Tempo di lettura: < 1 minuto. Il noto portale di annunci legati al crimine informatico dove si vendono i dati trafugati al miglior offerente, BreachForums, è ora dell’FBI
L’FBI ha messo sotto scacco il sito BreachForums sia nel clear sia nel dark web e risulta offline. L’operazione, ancora sconosciuta alla stampa è emersa in seguito a diverse segnalazioni in rete che ne hanno dato evidenza attraverso gli screenshot dei propri browser.
Il sito è irraggiungibile sia via web normale sia dal dominio .onion. BreachForums è un forum con un template grafico “old style” dove gli utenti si scambiano notizie riguardanti il crimine informatico e pubblicano annunci dei dati trafugati in seguito ad attacchi ad Enti e Aziende per venderli al miglior offerente ed è ufficiale che sia offline per via di un’azione dell’FBI.
L’amministratore di BreachForums è stato condannato per i reati di diffusione di materiale vietato e per possesso di Contenuti sessuali esplitici di minori.
articolo in aggiornamento.
Sicurezza Informatica
Apple App Store bloccate transazioni fraudolente per oltre 7 miliardi
Tempo di lettura: 2 minuti. Apple ha bloccato oltre 7 miliardi di dollari in transazioni fraudolente sull’App Store negli ultimi quattro anni, rafforzando la sicurezza per utenti e sviluppatori.
Apple ha annunciato di aver prevenuto oltre 7 miliardi di dollari in transazioni potenzialmente fraudolente sull’App Store nel corso degli ultimi quattro anni, dimostrando il suo impegno continuo nel proteggere sia gli utenti che gli sviluppatori da attività dannose.
Dettagli dell’azione anti-frode di Apple
Tra il 2020 e il 2023, Apple ha impedito transazioni fraudolente per un valore di più di 1,8 miliardi di dollari solo nel 2023. Inoltre, ha bloccato l’uso di oltre 14 milioni di carte di credito rubate e ha impedito a più di 3,3 milioni di account di effettuare ulteriori transazioni.
Apple ha adottato misure severe contro la frode, respingendo più di 1,7 milioni di proposte di app nel 2023 per mancato rispetto degli standard rigorosi di privacy, sicurezza e contenuto dell’App Store. Questo ha comportato la terminazione di quasi 374 milioni di account di sviluppatori e clienti e la rimozione di circa 152 milioni di valutazioni e recensioni per preoccupazioni legate alla frode.
Implicazioni per gli sviluppatori e l’ecosistema dell’App Store
Le azioni di Apple riflettono il suo impegno a mantenere un ambiente sicuro e affidabile per i suoi utenti e sviluppatori. Con la crescente concorrenza e le pressioni regolamentari, in particolare nell’Unione Europea dove le leggi richiedono una maggiore apertura del sistema operativo iOS a store di app di terze parti, Apple continua a sottolineare l’importanza della sicurezza come caratteristica distintiva del suo ecosistema.
Il blocco di transazioni fraudolente e la gestione proattiva della sicurezza dell’App Store rappresentano un aspetto fondamentale della strategia di Apple per mantenere la fiducia degli utenti e degli sviluppatori, nonostante le sfide poste dall’apertura forzata del suo ecosistema a maggiori opzioni di distribuzione delle app. Mentre Apple si adatta alle nuove normative e risponde alla concorrenza, l’azienda si impegna a proteggere la sicurezza e l’integrità dell’App Store, evidenziando il suo ruolo come leader nell’offrire un ambiente sicuro e protetto per l’acquisto e il download di app.
Sicurezza Informatica
Microsoft Patch Tuesday di Maggio 2024 risolve 3 Zero-Day e 61 vulnerabilità
Tempo di lettura: 4 minuti. Scopri i dettagli degli aggiornamenti di sicurezza del Microsoft Patch Tuesday di maggio 2024, inclusi i fix per tre vulnerabilità zero-day e 61 altre falle.
Il Patch Tuesday di maggio 2024 di Microsoft ha portato importanti aggiornamenti di sicurezza, risolvendo 61 vulnerabilità, inclusi tre exploit zero-day attivamente sfruttati o pubblicamente divulgati.
Dettagli sugli Aggiornamenti
Tra le vulnerabilità corrette, solo una è stata classificata come critica, riguardante un problema di esecuzione remota del codice nel Microsoft SharePoint Server. Le altre correzioni includono:
- 17 vulnerabilità di elevazione di privilegio
- 2 vulnerabilità di bypass delle funzionalità di sicurezza
- 27 vulnerabilità di esecuzione remota del codice
- 7 vulnerabilità di divulgazione di informazioni
- 3 vulnerabilità di negazione del servizio
- 4 vulnerabilità di spoofing
Zero-Day corretti:
CVE-2024-30040 – Un exploit di bypass delle funzionalità di sicurezza nella piattaforma MSHTML di Windows che è stato attivamente sfruttato. Gli attaccanti hanno usato questa vulnerabilità per eludere le mitigazioni OLE, aumentando così il rischio di attacchi tramite file dannosi.
CVE-2024-30051 – Una vulnerabilità di elevazione di privilegio nella libreria core di Windows DWM, attivamente sfruttata per ottenere privilegi di sistema.
CVE-2024-30046 – Una vulnerabilità di denial of service in Microsoft Visual Studio che è stata pubblicamente divulgata.
Commento sulla Sicurezza
Microsoft sottolinea l’importanza di installare tempestivamente questi aggiornamenti per proteggere i sistemi dalle potenziali minacce. La varietà e la gravità delle vulnerabilità corrette in questo ciclo di patch evidenziano le sfide continue nella protezione degli ambienti informatici moderni. Patch Tuesday di maggio 2024 mostra l’impegno continuo di Microsoft nel rafforzare la sicurezza dei suoi prodotti di fronte a minacce in evoluzione. Gli utenti e gli amministratori di sistema sono incoraggiati a applicare questi aggiornamenti il prima possibile per salvaguardare i loro sistemi contro exploit noti e potenziali attacchi futuri.
Tag | CVE ID | CVE Title | Severity |
---|---|---|---|
.NET and Visual Studio | CVE-2024-30045 | .NET and Visual Studio Remote Code Execution Vulnerability | Importante |
Azure Migrate | CVE-2024-30053 | Azure Migrate Cross-Site Scripting Vulnerability | Importante |
Microsoft Bing | CVE-2024-30041 | Microsoft Bing Search Spoofing Vulnerability | Importante |
Microsoft Brokering File System | CVE-2024-30007 | Microsoft Brokering File System Elevation of Privilege Vulnerability | Importante |
Microsoft Dynamics 365 Customer Insights | CVE-2024-30048 | Dynamics 365 Customer Insights Spoofing Vulnerability | Importante |
Microsoft Dynamics 365 Customer Insights | CVE-2024-30047 | Dynamics 365 Customer Insights Spoofing Vulnerability | Importante |
Microsoft Edge (Chromium-based) | CVE-2024-4558 | Chromium: CVE-2024-4558 Use after free in ANGLE | Sconosciuto |
Microsoft Edge (Chromium-based) | CVE-2024-4331 | Chromium: CVE-2024-4331 Use after free in Picture In Picture | Sconosciuto |
Microsoft Edge (Chromium-based) | CVE-2024-4671 | Chromium: CVE-2024-4671 Use after free in Visuals | Sconosciuto |
Microsoft Edge (Chromium-based) | CVE-2024-30055 | Microsoft Edge (Chromium-based) Spoofing Vulnerability | Low |
Microsoft Edge (Chromium-based) | CVE-2024-4368 | Chromium: CVE-2024-4368 Use after free in Dawn | Sconosciuto |
Microsoft Edge (Chromium-based) | CVE-2024-4559 | Chromium: CVE-2024-4559 Heap buffer overflow in WebAudio | Sconosciuto |
Microsoft Intune | CVE-2024-30059 | Microsoft Intune for Android Mobile Application Management Tampering Vulnerability | Important |
Microsoft Office Excel | CVE-2024-30042 | Microsoft Excel Remote Code Execution Vulnerability | Important |
Microsoft Office SharePoint | CVE-2024-30044 | Microsoft SharePoint Server Remote Code Execution Vulnerability | Critico |
Microsoft Office SharePoint | CVE-2024-30043 | Microsoft SharePoint Server Information Disclosure Vulnerability | Importante |
Microsoft WDAC OLE DB provider for SQL | CVE-2024-30006 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Importante |
Microsoft Windows SCSI Class System File | CVE-2024-29994 | Microsoft Windows SCSI Class System File Elevation of Privilege Vulnerability | Importante |
Microsoft Windows Search Component | CVE-2024-30033 | Windows Search Service Elevation of Privilege Vulnerability | Importante |
Power BI | CVE-2024-30054 | Microsoft Power BI Client JavaScript SDK Information Disclosure Vulnerability | Importante |
Visual Studio | CVE-2024-30046 | Visual Studio Denial of Service Vulnerability | Importante |
Visual Studio | CVE-2024-32004 | GitHub: CVE-2024-32004 Remote Code Execution while cloning special-crafted local repositories | Importante |
Visual Studio | CVE-2024-32002 | CVE-2024-32002 Recursive clones on case-insensitive filesystems that support symlinks are susceptible to Remote Code Execution | Importante |
Windows Cloud Files Mini Filter Driver | CVE-2024-30034 | Windows Cloud Files Mini Filter Driver Information Disclosure Vulnerability | Importante |
Windows CNG Key Isolation Service | CVE-2024-30031 | Windows CNG Key Isolation Service Elevation of Privilege Vulnerability | Importante |
Windows Common Log File System Driver | CVE-2024-29996 | Windows Common Log File System Driver Elevation of Privilege Vulnerability | Importante |
Windows Common Log File System Driver | CVE-2024-30037 | Windows Common Log File System Driver Elevation of Privilege Vulnerability | Importante |
Windows Common Log File System Driver | CVE-2024-30025 | Windows Common Log File System Driver Elevation of Privilege Vulnerability | Importante |
Windows Cryptographic Services | CVE-2024-30020 | Windows Cryptographic Services Remote Code Execution Vulnerability | Importante |
Windows Cryptographic Services | CVE-2024-30016 | Windows Cryptographic Services Information Disclosure Vulnerability | Importante |
Windows Deployment Services | CVE-2024-30036 | Windows Deployment Services Information Disclosure Vulnerability | Importante |
Windows DHCP Server | CVE-2024-30019 | DHCP Server Service Denial of Service Vulnerability | Importante |
Windows DWM Core Library | CVE-2024-30008 | Windows DWM Core Library Information Disclosure Vulnerability | Importante |
Windows DWM Core Library | CVE-2024-30051 | Windows DWM Core Library Elevation of Privilege Vulnerability | Importante |
Windows DWM Core Library | CVE-2024-30035 | Windows DWM Core Library Elevation of Privilege Vulnerability | Importante |
Windows DWM Core Library | CVE-2024-30032 | Windows DWM Core Library Elevation of Privilege Vulnerability | Importante |
Windows Hyper-V | CVE-2024-30011 | Windows Hyper-V Denial of Service Vulnerability | Importante |
Windows Hyper-V | CVE-2024-30017 | Windows Hyper-V Remote Code Execution Vulnerability | Importante |
Windows Hyper-V | CVE-2024-30010 | Windows Hyper-V Remote Code Execution Vulnerability | Importante |
Windows Kernel | CVE-2024-30018 | Windows Kernel Elevation of Privilege Vulnerability | Importante |
Windows Mark of the Web (MOTW) | CVE-2024-30050 | Windows Mark of the Web Security Feature Bypass Vulnerability | Moderato |
Windows Mobile Broadband | CVE-2024-30002 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Importante |
Windows Mobile Broadband | CVE-2024-29997 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Importante |
Windows Mobile Broadband | CVE-2024-30003 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Importante |
Windows Mobile Broadband | CVE-2024-30012 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Importante |
Windows Mobile Broadband | CVE-2024-29999 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Importante |
Windows Mobile Broadband | CVE-2024-29998 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Importante |
Windows Mobile Broadband | CVE-2024-30000 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Importante |
Windows Mobile Broadband | CVE-2024-30005 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Importante |
Windows Mobile Broadband | CVE-2024-30004 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Importante |
Windows Mobile Broadband | CVE-2024-30021 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Importante |
Windows Mobile Broadband | CVE-2024-30001 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Importante |
Windows MSHTML Platform | CVE-2024-30040 | Windows MSHTML Platform Security Feature Bypass Vulnerability | Importante |
Windows NTFS | CVE-2024-30027 | NTFS Elevation of Privilege Vulnerability | Importante |
Windows Remote Access Connection Manager | CVE-2024-30039 | Windows Remote Access Connection Manager Information Disclosure Vulnerability | Importante |
Windows Routing and Remote Access Service (RRAS) | CVE-2024-30009 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Importante |
Windows Routing and Remote Access Service (RRAS) | CVE-2024-30024 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Importante |
Windows Routing and Remote Access Service (RRAS) | CVE-2024-30015 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Importante |
Windows Routing and Remote Access Service (RRAS) | CVE-2024-30029 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Importante |
Windows Routing and Remote Access Service (RRAS) | CVE-2024-30023 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Importante |
Windows Routing and Remote Access Service (RRAS) | CVE-2024-30014 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Importante |
Windows Routing and Remote Access Service (RRAS) | CVE-2024-30022 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Importante |
Windows Task Scheduler | CVE-2024-26238 | Microsoft PLUGScheduler Scheduled Task Elevation of Privilege Vulnerability | Importante |
Windows Win32K – GRFX | CVE-2024-30030 | Win32k Elevation of Privilege Vulnerability | Importante |
Windows Win32K – ICOMP | CVE-2024-30038 | Win32k Elevation of Privilege Vulnerability | Importante |
Windows Win32K – ICOMP | CVE-2024-30049 | Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability | Importante |
Windows Win32K – ICOMP | CVE-2024-30028 | Win32k Elevation of Privilege Vulnerability | Importante |
Questi aggiornamenti rappresentano una parte critica della strategia di difesa informatica per gli ambienti che dipendono da software Microsoft, garantendo che le protezioni contro le vulnerabilità siano tempestivamente messe in atto.
- Editoriali2 settimane fa
Chip e smartphone cinesi ci avvisano del declino Occidentale
- Inchieste2 settimane fa
Ransomware in Italia: come cambia la percezione del fenomeno nell’IT
- Economia2 settimane fa
Internet via satellite: progetto europeo IRIS² in grande difficoltà
- Editoriali1 settimana fa
Anche su Giovanna Pedretti avevamo ragione
- L'Altra Bolla1 settimana fa
Jack Dorsey getta la spugna e lascia Bluesky
- Inchieste1 settimana fa
Perchè il motore di ricerca OpenAI fa paura ai giornalisti?
- L'Altra Bolla1 settimana fa
Meta arriva l’intelligenza artificiale per la Pubblicità
- Smartphone1 settimana fa
Richiesta di Class Action contro Samsung per il Galaxy S24 Ultra