Fortinet ha recentemente rilasciato informazioni su una vulnerabilità critica identificata in FortiSIEM, denominata “Improper Neutralization of Special Elements used in an OS Command” (CWE-78). Questa vulnerabilità può permettere a un attaccante remoto non autenticato di eseguire comandi non autorizzati tramite richieste API appositamente formulate.

Prodotti affected

La vulnerabilità interessa le seguenti versioni di FortiSIEM:

• Versioni 7.1.0 fino a 7.1.1
• Versioni 7.0.0 fino a 7.0.2
• Versioni 6.7.0 fino a 6.7.8
• Versioni 6.6.0 fino a 6.6.3
• Versioni 6.5.0 fino a 6.5.2
• Versioni 6.4.0 fino a 6.4.2

Soluzioni

Fortinet consiglia di aggiornare FortiSIEM alle seguenti versioni per mitigare la vulnerabilità:

• Versione 7.1.3 o superiore
• Versione 7.0.3 o superiore
• Versione 6.7.9 o superiore
• Versione 7.2.0 o superiore (prossima)
• Versione 6.6.5 o superiore (prossima)
• Versione 6.5.3 o superiore (prossima)
• Versione 6.4.4 o superiore (prossima)

Riconoscimenti

Fortinet ringrazia il ricercatore di sicurezza Zach Hanley (@hacks_zach) di Horizon3.ai per aver scoperto e segnalato questa vulnerabilità con una divulgazione responsabile.

Timeline

• 2023-10-02: Pubblicazione iniziale
• 2024-01-31: Aggiornamento con due varianti (CVE-2024-23108, CVE-2024-23109) e versioni aggiornate nelle soluzioni.

La vulnerabilità di FortiSIEM rappresenta un rischio significativo per le infrastrutture che utilizzano queste versioni del software. È essenziale aggiornare immediatamente alle versioni consigliate per garantire la sicurezza del sistema.

Il 2024 segna il 25 ° anniversario di Europol, l’agenzia europea per la cooperazione nell’applicazione della legge, fondata per combattere il crimine organizzato e il terrorismo. Dalla sua nascita come piccola unità antidroga europea nel 1994, Europol è cresciuta fino a diventare un’organizzazione con oltre 1.700 membri del personale e 295 ufficiali di collegamento, lavorando insieme all’Aia con l’obiettivo comune di mantenere l’Europa sicura.

Evoluzione e traguardi

Nel corso di questi 25 anni, Europol ha subito una costante evoluzione per adattarsi ai cambiamenti nel panorama del crimine organizzato e del terrorismo. Ecco alcuni dei traguardi chiave dell’agenzia:

• 1993: Fondazione dell’Unità Antidroga Europea.
• 2001: Primo accordo di cooperazione con paesi non UE (Islanda e Norvegia).
• 2010: Europol diventa un’agenzia UE a tutti gli effetti.
• 2013: Apertura del Centro Europeo per la Criminalità Informatica (EC3).
• 2016: Creazione del Centro Europeo Antiterrorismo (ECTC) e lancio del sito web dei criminali più ricercati d’Europa.
• 2019: Creazione di un Innovation Lab per supportare la comunità delle forze dell’ordine.
• 2020: Blocco dell’uso illegale della comunicazione criptata EncroChat da parte di gruppi criminali organizzati.
• 2021: Supporto agli investigatori nel bloccare l’uso illegale della comunicazione criptata Sky ECC.
• 2022: Lancio dell’Unità di Informatica Forense Digitale.
• 2024: Oltre 3.000 autorità di contrasto collegate a Europol attraverso SIENA, provenienti da più di 70 paesi ed entità internazionali. Nomina del primo Ufficiale per l’Intelligenza Artificiale.

Celebrazioni per l’anniversario

Per celebrare questo traguardo dei 25 anni, Europol ha organizzato una serie di eventi durante tutto l’anno. Le celebrazioni sono iniziate il 28 maggio con la conferenza “EU versus Crime“, co-organizzata da Europol e la Commissione Europea. Gli eventi culmineranno a settembre con la Convenzione dei Capi della Polizia Europea presso la sede di Europol.

Nell’era delle transazioni digitali e dello shopping online, il crimine informatico rappresenta una minaccia sempre più preoccupante e, tra queste minacce, le frodi con carte regalo e carte di pagamento stanno diventando sempre più pervasiva ed evoluta. Microsoft esplora le tattiche, le tecniche e le procedure di un attore di minacce informatiche noto come Storm-0539, noto anche come Atlas Lion, e le sue attività nel furto di carte regalo.

Aumento delle attività di intrusione

Nel maggio 2024, Microsoft ha osservato un aumento del 30% nelle attività di Storm-0539 rispetto ai due mesi precedenti. Storicamente, questo gruppo aumenta le sue attività di attacco prima delle principali stagioni festive. Tra settembre e dicembre 2023, è stato osservato un aumento del 60% delle attività di intrusione, coincidente con le festività autunnali e invernali.

Tecniche di frode e metodi di intrusione

Storm-0539 opera dal Marocco e si occupa di crimini finanziari come la frode con carte regalo. Le loro tecniche includono phishing, smishing, registrazione di dispositivi nei sistemi delle vittime per ottenere accesso persistente e sfruttamento di tali accessi per colpire organizzazioni di terze parti. Una volta compromessi gli account dei dipendenti, gli attaccanti si spostano lateralmente attraverso la rete, cercando di identificare i processi aziendali legati alle carte regalo e di comprometterli.

Utilizzo delle risorse Cloud

Il gruppo utilizza le loro conoscenze approfondite del cloud per condurre ricognizioni sui processi di emissione delle carte regalo, sui portali delle carte regalo e sui dipendenti con accesso alle carte regalo. Questa abilità consente loro di creare infrastrutture di attacco basate sul cloud, evitando i costi iniziali comuni nell’economia del crimine informatico.

Difesa contro Storm-0539

Microsoft consiglia che, per difendersi dagli attacchi di Storm-0539, le organizzazioni devono trattare i portali delle carte regalo come obiettivi ad alto valore, monitorandoli e auditandoli continuamente per rilevare eventuali attività anomale. Implementare politiche di accesso con privilegi minimi e adottare un’architettura di sicurezza che preveda l’uso di MFA resistente al phishing sono alcune delle raccomandazioni chiave. Inoltre, educare i dipendenti sui rischi del phishing e smishing può aiutare a prevenire l’intrusione iniziale.