Attacchi ransomware e vulnerabilità critiche in ICS, GitLab e Veeam -

Le minacce alla sicurezza informatica continuano a rappresentare una sfida globale, con nuove vulnerabilità che emergono e attacchi mirati sempre più sofisticati e le potenziali vittime sono state avvisate di criticità che coinvolgono Veeam Backup & Replication, GitLab, e delle minacce legate a ransomware come Akira e Fog. Allo stesso tempo, OpenAI ha intensificato gli sforzi per bloccare attività malevole, mentre CISA ha pubblicato avvisi cruciali per la protezione dei sistemi di controllo industriale.

Cosa leggere

Ransomware Akira e Fog sfruttano vulnerabilità Veeam

I gruppi ransomware Akira e Fog hanno iniziato a sfruttare una vulnerabilità critica in Veeam Backup & Replication, identificata come CVE-2024-40711. Questa vulnerabilità, causata da una deserializzazione di dati non sicuri, consente agli aggressori di eseguire codice remoto sui server Veeam vulnerabili. La falla è stata scoperta da Florian Hauser di Code White e ha un impatto significativo, data la diffusione di Veeam come soluzione per il backup e il ripristino di dati aziendali. La vulnerabilità è stata resa pubblica il 15 settembre 2024, dopo che Veeam aveva rilasciato un aggiornamento di sicurezza il 4 settembre per consentire agli amministratori di proteggere i propri sistemi.

Better patch your Veeam Backup & Replication servers! Full system takeover via CVE-2024-40711, discovered by our very own @frycos – no technical details from us this time because this might instantly be abused by ransomware gangs https://t.co/pGLq1RQi3n pic.twitter.com/uUkRA2wgji
— CODE WHITE GmbH (@codewhitesec) September 5, 2024

Attacchi recenti: Gli incidenti segnalati coinvolgono il rilascio di ransomware come Akira e Fog, che sfruttano la vulnerabilità per creare account locali con privilegi di amministratore. In un caso, il ransomware Fog è stato distribuito su un server Hyper-V non protetto, utilizzando strumenti come rclone per esfiltrare dati. Altri attacchi hanno visto l’uso di Akira, con tecniche di accesso tramite VPN compromesse e prive di autenticazione multifattore.

La vulnerabilità in Veeam sottolinea la necessità per le aziende di applicare patch di sicurezza tempestivamente e di rafforzare la protezione dei sistemi di backup, che sono spesso il primo bersaglio dei cybercriminali a caccia di dati sensibili.

Vulnerabilità critica in GitLab e i rischi per la CI/CD

GitLab ha avvisato gli utenti di una vulnerabilità critica nella sua piattaforma, identificata come CVE-2024-9164, che permette l’esecuzione arbitraria di pipeline CI/CD su qualsiasi branch di un repository. Questa vulnerabilità, che ha ricevuto un punteggio di gravità CVSS di 9.6, potrebbe consentire agli aggressori di eseguire codice e accedere a informazioni sensibili senza autorizzazione.

Impatto sulla sicurezza: La falla riguarda tutte le versioni di GitLab Enterprise Edition (EE) a partire dalla 12.5 fino alla 17.4.1. Le patch sono state rilasciate nelle versioni 17.4.2, 17.3.5 e 17.2.9, e GitLab ha sollecitato gli utenti a procedere all’aggiornamento il prima possibile per evitare rischi di compromissione. Le installazioni su GitLab Dedicated sono già state aggiornate automaticamente, offrendo una protezione immediata per i clienti in cloud.

Questa vulnerabilità mette in evidenza l’importanza di un monitoraggio continuo delle pipeline di integrazione e distribuzione continua (CI/CD), una componente essenziale per i flussi di lavoro di sviluppo moderno, che necessita di protezioni adeguate per evitare abusi e attacchi.

Title	Severity
Run pipelines on arbitrary branches	Critical
An attacker can impersonate arbitrary user	High
SSRF in Analytics Dashboard	High
Viewing diffs of MR with conflicts can be slow	High
HTMLi in OAuth page	High
Deploy Keys can push changes to an archived repository	Medium
Guests can disclose project templates	Medium
GitLab instance version disclosed to unauthorized users	Low

OpenAI blocca minacce globali: protezione contro il cybercrime

OpenAI ha adottato nuove misure per proteggere i propri strumenti e tecnologie dall’uso malevolo. Recentemente, l’azienda ha annunciato il blocco di oltre 20 minacce globali, tra cui attività di phishing, malware e altre forme di abuso dei modelli di intelligenza artificiale. Questa decisione è parte di un impegno più ampio per garantire che i progressi tecnologici vengano utilizzati in modo etico e sicuro.

Attacchi ransomware e vulnerabilità critiche in ICS, GitLab e Veeam 6

L’intervento di OpenAI si è concentrato soprattutto su quei paesi e regioni in cui le sue tecnologie venivano utilizzate per condurre campagne di disinformazione, frodi finanziarie e tentativi di attacchi informatici. In molti casi, i modelli linguistici sono stati sfruttati per creare contenuti falsi o automatizzare attività dannose, come la generazione di email di phishing e l’ingegneria sociale. OpenAI ha collaborato con le principali piattaforme di sicurezza e agenzie governative per identificare e bloccare gli accessi ai propri servizi da parte di attori malevoli, migliorando al contempo le proprie tecnologie di rilevamento degli abusi.

Attacchi ransomware e vulnerabilità critiche in ICS, GitLab e Veeam 7

Questa azione di OpenAI sottolinea la necessità di un approccio preventivo nella protezione delle tecnologie emergenti e delle infrastrutture digitali. Proteggere i modelli linguistici dall’uso malevolo non solo tutela l’integrità delle informazioni online, ma contribuisce anche a preservare la fiducia degli utenti nelle tecnologie basate sull’intelligenza artificiale. Le misure adottate rappresentano un passo significativo verso una maggiore sicurezza informatica, in un contesto dove le minacce evolvono rapidamente e i rischi diventano sempre più complessi.

CISA: 20 avvisi per i sistemi di controllo industriale

La CISA (Cybersecurity and Infrastructure Security Agency) ha rilasciato ventuno nuovi avvisi riguardanti la sicurezza dei sistemi di controllo industriale (ICS). Questi avvisi mirano a informare le aziende su potenziali vulnerabilità che potrebbero essere sfruttate per compromettere la sicurezza dei processi industriali, e comprendono istruzioni dettagliate per mitigare i rischi.

ICSA-24-284-01 Siemens SIMATIC S7-1500 and S7-1200 CPUs
ICSA-24-284-02 Siemens Simcenter Nastran
ICSA-24-284-03 Siemens Teamcenter Visualization and JT2Go
ICSA-24-284-04 Siemens SENTRON PAC3200 Devices
ICSA-24-284-05 Siemens Questa and ModelSim
ICSA-24-284-06 Siemens SINEC Security Monitor
ICSA-24-284-07 Siemens JT2Go
ICSA-24-284-08 Siemens HiMed Cockpit
ICSA-24-284-09 Siemens PSS SINCAL
ICSA-24-284-10 Siemens SIMATIC S7-1500 CPUs
ICSA-24-284-11 Siemens RUGGEDCOM APE1808
ICSA-24-284-12 Siemens Sentron Powercenter 1000
ICSA-24-284-13 Siemens Tecnomatix Plant Simulation
ICSA-24-284-14 Schneider Electric Zelio Soft 2
ICSA-24-284-15 Rockwell Automation DataMosaix Private Cloud
ICSA-24-284-16 Rockwell Automation DataMosaix Private Cloud
ICSA-24-284-17 Rockwell Automation Verve Asset Manager
ICSA-24-284-18 Rockwell Automation Logix Controllers
ICSA-24-284-19 Rockwell Automation PowerFlex 6000T
ICSA-24-284-20 Rockwell Automation ControlLogix
ICSA-24-284-21 Delta Electronics CNCSoft-G2

Gli avvisi di CISA riflettono la continua necessità di proteggere le infrastrutture critiche dagli attacchi informatici, soprattutto in settori come l’energia, la produzione e i trasporti, dove le compromissioni potrebbero avere conseguenze devastanti.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.