Cyber Security
Palo Alto Networks affronta la vulnerabilità PAN-OS CVE-2024-3400
Tempo di lettura: 2 minuti. Palo Alto Networks affronta con determinazione la vulnerabilità PAN-OS CVE-2024-3400, implementando rapidamente misure di mitigazione
Palo Alto Networks ha affrontato una vulnerabilità critica, identificata come CVE-2024-3400, che ha colpito il suo sistema operativo PAN-OS. Questa vulnerabilità è stata sfruttata da un attore di minaccia avanzato per eseguire comandi non autorizzati sui dispositivi compromessi.
Dettagli della Vulnerabilità
La vulnerabilità CVE-2024-3400 deriva dalla combinazione di due bug nel servizio GlobalProtect di PAN-OS. Il primo problema consentiva a un attaccante di archiviare un file vuoto con un nome di file scelto dall’attaccante senza una valida validazione dell’ID della sessione. Il secondo problema coinvolgeva l’uso di questi nomi di file, che l’attaccante poteva manipolare per eseguire comandi dannosi. Questa combinazione di bug permetteva l’esecuzione di comandi remoti non autenticati.
Azioni Immediate e Risposta
Subito dopo la scoperta della vulnerabilità, il team di Palo Alto Networks ha agito rapidamente, seguendo le migliori pratiche del settore e protocolli stabiliti per mitigare la minaccia. Entro 24 ore dalla conferma della vulnerabilità, sono state rilasciate misure di mitigazione che hanno bloccato gli attacchi conosciuti, proteggendo circa il 90% dei dispositivi suscettibili attivi.
Prevenzione all’Exploit
Un segno distintivo di Threat Prevention con ID minaccia 95187 è stato rilasciato il giorno successivo alla conferma della vulnerabilità, bloccando efficacemente tutti i pattern sospetti conosciuti e osservati nei session ID. Successivamente, sono stati rilasciati ulteriori ID di minaccia per ottimizzare e estendere le mitigazioni contro altri attacchi teorici.
Risultati delle Analisi Forensi
Le analisi forensi e le revisioni del codice hanno portato alla scoperta di metodi aggiuntivi di sfruttamento della vulnerabilità che non richiedevano l’abilitazione della telemetria sul dispositivo per realizzare un compromesso di successo. La correzione definitiva ha risolto i problemi nel codice che permettevano questa vulnerabilità di manifestarsi, attraverso una valida validazione degli ID di sessione e una riscrittura del codice che consentiva l’iniezione di comandi.
Impegno Continuativo e Supporto ai Clienti
Palo Alto Networks ha monitorato l’applicazione delle correzioni e delle mitigazioni, offrendo supporto proattivo ai clienti che non avevano ancora affrontato il problema. Inoltre, per aiutare i clienti a indagare su potenziali compromessi, Palo Alto ha ristrutturato il suo sistema di supporto per rilevare automaticamente le tracce di attività di minaccia nei file di supporto tecnico.
La risposta rapida e completa di Palo Alto Networks alla vulnerabilità PAN-OS CVE-2024-3400, qui maggiori dettagli, dimostra il suo impegno nel proteggere i suoi clienti da minacce avanzate e nel migliorare continuamente le sue pratiche di sicurezza per prevenire futuri attacchi.
Cyber Security
NSA, FBI e Dipartimento di Stato affrontano le minacce informatiche nordcoreane
Tempo di lettura: 2 minuti. NSA, FBI e Stato emettono un avviso sulle minacce nordcoreane, esortando politiche DMARC più forti per proteggersi dallo spearphishing.
La National Security Agency (NSA), in collaborazione con il Federal Bureau of Investigation (FBI) e il Dipartimento di Stato degli Stati Uniti, ha emesso un nuovo Avviso di Sicurezza Informatica (CSA) per affrontare le vulnerabilità e le minacce sfruttate dagli attori nordcoreani. Questi attori hanno utilizzato politiche deboli di Domain-based Message Authentication, Reporting and Conformance (DMARC) per facilitare attacchi di spearphishing, rappresentando una significativa minaccia per la sicurezza nazionale e globale.
Dettagli dell’avviso
L’avviso evidenzia come gli attori informatici nordcoreani, in particolare quelli associati al gruppo Kimsuky, sfruttino le debolezze di DMARC per inviare email che sembrano provenire da fonti legittime come giornalisti, accademici o esperti in affari est asiatici. Queste email mirano a raccogliere informazioni sensibili sugli eventi geopolitici e sulle strategie di politica estera che potrebbero impattare la Corea del Nord. Migliorando le configurazioni DMARC, le organizzazioni possono ridurre significativamente l’efficacia di questi tentativi di phishing.
Tattiche operative degli attori nordcoreani
Gli operatori informatici nordcoreani conducono ricerche estese per elaborare campagne di spearphishing convincenti. Creano email ben adattate ai loro obiettivi, spesso utilizzando informazioni raccolte da violazioni precedenti. L’avviso delinea specifici segnali di allarme da cercare, come email con lievi errori di ortografia nei nomi legittimi o strutture di frasi insolite che potrebbero indicare un tentativo di phishing.
Strategie di mitigazione
Per combattere queste minacce, la NSA, l’FBI e il Dipartimento di Stato raccomandano diverse misure di mitigazione. Principalmente, consigliano alle organizzazioni di rafforzare le loro politiche DMARC per prevenire che gli attori informatici falsifichino i loro domini email. Una politica DMARC robusta garantisce che le email non autenticate tramite SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail) siano segnalate o rifiutate, riducendo la possibilità di attacchi di phishing riusciti.
Implementazione e impatto globale
L’avviso funge anche da appello all’azione per le organizzazioni di tutto il mondo affinché adottino queste misure di sicurezza per proteggersi dalle attività informatiche sponsorizzate dallo stato. Seguendo le strategie di mitigazione delineate, le entità possono salvaguardare le loro comunicazioni e ridurre la probabilità di essere compromesse da sofisticate operazioni di spionaggio informatico.
L’avviso congiunto di NSA, FBI e Dipartimento di Stato sottolinea la minaccia continua rappresentata dagli attori informatici nordcoreani e la necessità globale di migliorare i protocolli di sicurezza email. Man mano che le minacce informatiche continuano a evolversi, anche le difese dei governi, delle aziende e degli individui devono potenziarsi per proteggere le informazioni sensibili e mantenere la sicurezza nazionale.
Cyber Security
Cisa e Aruba minacciate per vulnerabilità ICS e di rete
Tempo di lettura: 2 minuti. CISA e FBI evidenziano nuove minacce alla sicurezza dei sistemi di controllo industriale e delle infrastrutture di rete
Recentemente, sono emersi gravi problemi di sicurezza che riguardano i sistemi di controllo industriale (ICS) e le infrastrutture di rete, mettendo in luce la crescente sofisticazione e pericolosità delle minacce informatiche con CISA che ha rilasciato una serie di avvisi e aggiornamenti critici per affrontare queste vulnerabilità e Aruba che ha fatto un’attività notevole per risolvere falle critiche.
CISA e FBI contro le vulnerabilità di percorso di directory
La CISA, in collaborazione con l’FBI, ha emesso un allarme “Secure by Design” per sollecitare i produttori di software a eliminare le vulnerabilità di percorso di directory, evidenziate da campagne recenti che hanno sfruttato queste debolezze per compromettere importanti settori infrastrutturali, inclusi quelli sanitari e scolastici. Questo tipo di vulnerabilità, che permette agli aggressori di accedere a file e directory al di fuori dell’area sicura prevista, è stato sfruttato in numerose occasioni per condurre attacchi significativi.
Aggiornamenti critici per ArubaOS di HPE
Parallelamente, HPE Aruba ha rilasciato aggiornamenti di sicurezza per affrontare quattro gravi vulnerabilità in ArubaOS, che potrebbero permettere l’esecuzione remota di codice (RCE).
Le vulnerabilità, che impattano Mobility Conductor (ex Mobility Master), Mobility Controller e Gateway WLAN e SD-WAN gestiti da Aruba Central, sono presenti nelle seguenti versioni software:
- ArubaOS 10.5.1.0 e versioni precedenti
- ArubaOS 10.4.1.0 e versioni precedenti
- ArubaOS 8.11.2.1 e versioni precedenti e
- ArubaOS 8.10.0.10 e versioni precedenti
Influiscono anche sulle versioni software ArubaOS e SD-WAN che hanno raggiunto lo stato di fine manutenzione:
- ArubaOS 10.3.xx
- ArubaOS 8.9.xx
- ArubaOS 8.8.xx
- ArubaOS 8.7.xx
- ArubaOS 8.6.xx
- ArubaOS 6.5.4.x
- SD-WAN 8.7.0.0-2.3.0.x e
- SD-WAN 8.6.0.4-2.2.xx
Le vulnerabilità, tutte classificate con un punteggio CVSS di 9.8, indicano un elevato rischio di sfruttamento che potrebbe compromettere seriamente i dispositivi di rete interessati.
Avvisi per i sistemi di controllo industriale
CISA ha anche rilasciato tre avvisi specifici per i sistemi di controllo industriale, enfatizzando la necessità di revisionare queste tecnologie critiche per identificare vulnerabilità e attuare le dovute mitigazioni.
- ICSA-24-123-01 CyberPower PowerPanel
- ICSA-24-123-02 Delta Electronics DIAEnergie
- ICSA-24-067-01 Chirp Systems Chirp Access (Update C)
Questi avvisi mirano a sensibilizzare su problemi di sicurezza che potrebbero non solo interrompere le operazioni industriali ma anche causare danni fisici nell’ambiente reale.
Implicazioni e raccomandazioni
Queste rivelazioni sottolineano l’importanza di un approccio alla sicurezza informatica che sia proattivo e allineato con le migliori pratiche e gli standard raccomandati. Le organizzazioni sono incoraggiate a implementare strategie di sicurezza robuste, verificare regolarmente le proprie infrastrutture e applicare gli aggiornamenti di sicurezza non appena diventano disponibili.
Cyber Security
Cisco falsi all’esercito USA: condannato a 6 anni di carcere e 100 milioni di risarcimento
Tempo di lettura: 2 minuti. Un cittadino della Florida ha venduto Cisco falsi all’Esercito USA ed è stato condannato a 6 anni di carcere più 100 milioni di danni
La giustizia ha raggiunto Onur Aksoy, CEO di un gruppo di aziende dietro a numerosi negozi online, condannandolo a sei anni e mezzo di reclusione per aver venduto dispositivi di rete Cisco contraffatti del valore di 100 milioni di dollari a organizzazioni governative, sanitarie, educative e militari in tutto il mondo.
Il quarantenne, residente in Florida, è stato arrestato a Miami il 29 giugno 2022 e imputato lo stesso giorno per vari reati, tra cui traffico di merci contraffatte e frode postale e via cavo. Nel giugno del 2023, Aksoy ha ammesso la sua colpevolezza in relazione a queste accuse, rivelando di aver gestito l’operazione illecita attraverso 19 aziende e 25 vetrine su eBay e Amazon, collettivamente note come Pro Network Entities.
Le origini del contrabbando
Le apparecchiature, importate da contraffattori di Hong Kong e della Cina, erano acquistate con uno sconto fino al 98% rispetto al prezzo di vendita suggerito da Cisco. Questi dispositivi erano dotati di etichette, adesivi, scatole, documentazione e imballaggi Cisco contraffatti, facendoli apparire ingannevolmente come nuovi, autentici e di alta qualità.
Impatto delle vendite illecite
I prodotti Cisco falsi venduti da Pro Network Entities erano spacciati per dispositivi nuovi e autentici su Amazon ed eBay a clienti negli Stati Uniti e all’estero, finendo spesso nelle reti di ospedali, scuole, agenzie governative e persino nell’esercito statunitense. Questi dispositivi, tuttavia, presentavano gravi problemi di prestazione, funzionalità e sicurezza, essendo in realtà modelli vecchi modificati per sembrare dispositivi più nuovi e costosi. Tali difetti hanno causato frequenti guasti e malfunzionamenti, danneggiando significativamente le operazioni e le reti dei clienti.
Tra il 2014 e il 2022, la Dogana e la Protezione delle Frontiere degli USA hanno intercettato 180 spedizioni di dispositivi Cisco contraffatti destinati a Pro Network Entities. Per evitare ulteriori controlli, Aksoy ricorreva a falsi alias e indirizzi di consegna, e i fornitori cinesi venivano istruiti a spedire i prodotti in pacchi più piccoli in giorni diversi.
In risposta a sette lettere di diffida inviate da Cisco tra il 2014 e il 2019, Aksoy manipolava la situazione, facendo sì che il suo avvocato presentasse documenti falsificati a Cisco. La situazione ha raggiunto il culmine nel luglio 2021, quando, a seguito di una perquisizione nel magazzino di Aksoy, sono stati sequestrati circa 1.156 dispositivi Cisco contraffatti, del valore di oltre 7 milioni di dollari.
Oltre alla pena detentiva, Aksoy è stato condannato a risarcire Cisco per 100 milioni di dollari, l’importo dei falsi, e a consentire la distruzione dei prodotti contraffatti sequestrati.
- Editoriali2 settimane fa
MITRE vittima di zero day Ivanti: anche i migliori le prendono
- Inchieste1 settimana fa
Mercato ITC in Italia nel 2024: numeri e crescita vertiginosa rispetto al paese
- Inchieste1 settimana fa
Managed Service Providers in Italia: numeri di un mercato in crescita
- Inchieste2 settimane fa
Cloud Italiano qual è il Trend del 2024? Aziende e servizi disponibili
- Inchieste1 settimana fa
Cloud Provider Italiani: quali sono le caratteristiche preferite dagli specialisti IT?
- Cyber Security1 settimana fa
Vulnerabilità critiche nel software Cisco: dettagli e soluzioni
- L'Altra Bolla1 settimana fa
Reddit rivoluziona l’E-Commerce con Dynamic Product Ads
- Economia2 settimane fa
Quarto “Halving” di Bitcoin: cos’è e perchè è importante?