Cyber Security
Server Intel e Lenovo: vulnerabilità BMC vecchia di 6 Anni
Tempo di lettura: 3 minuti. Una vulnerabilità quasi sei anni nel web server Lighttpd usato nei BMC è stata trascurata da fornitori come Intel e Lenovo
Una vulnerabilità quasi sei anni nel web server Lighttpd, utilizzato nei Baseboard Management Controllers (BMC), è stata trascurata da diversi fornitori di dispositivi, tra cui Intel e Lenovo. Questa falla di sicurezza potrebbe consentire l’esfiltrazione di indirizzi di memoria dei processi, facilitando agli aggressori la capacità di eludere meccanismi di protezione come l’Address Space Layout Randomization (ASLR).
Scoperta e impatto della vulnerabilità
Durante recenti analisi sui BMC, i ricercatori di Binarly, una società di sicurezza del firmware, hanno scoperto una vulnerabilità di lettura heap out-of-bounds (OOB) sfruttabile da remoto tramite il web server Lighttpd durante l’elaborazione di intestazioni HTTP “piegate”. Nonostante la vulnerabilità sia stata risolta nel Agosto 2018 dalla squadra di Lighttpd nella versione 1.4.51, la correzione è stata apportata in silenzio e senza assegnare un ID di tracciamento (CVE), causando la mancata integrazione della correzione nel prodotto AMI MegaRAC BMC.
Reazione dei fornitori e misure consigliate
I server di Intel e Lenovo risultano tra i dispositivi impattati, con alcune unità Intel rilasciate fino al 22 Febbraio 2023 che includono il componente vulnerabile. Tuttavia, entrambi i fornitori hanno indicato che i modelli interessati hanno raggiunto la fine del ciclo di vita (EOL) e non riceveranno più aggiornamenti di sicurezza, il che significa che rimarranno vulnerabili fino alla loro dismissione.
Implicazioni a Lungo Termine
Questa situazione sottolinea le lacune nella catena di fornitura del firmware che introducono rischi di sicurezza estesi nel tempo. La mancanza di trasparenza e la tardiva sensibilizzazione riguardo alla vulnerabilità da parte dei manutentori di Lighttpd hanno contribuito a questa problematica, portando a ritardi nell’integrazione delle correzioni necessarie.
Cos’è un Baseboard Managment Controller?
Un Baseboard Management Controller (BMC) è un microcontrollore incorporato in server, workstation o altri sistemi informatici, specialmente quelli destinati a utilizzi professionali o data center. Il suo ruolo principale è quello di fornire funzionalità di monitoraggio e gestione out-of-band per l’hardware del sistema, consentendo agli amministratori di sistema di controllare e gestire il server indipendentemente dallo stato operativo del sistema operativo o dalla funzionalità del sistema principale.
Un BMC può monitorare vari parametri di sistema come temperature, velocità delle ventole, tensioni di alimentazione e altri sensori critici. Inoltre, consente funzionalità di gestione remota, come il riavvio o lo spegnimento del sistema, l’accesso alla console di gestione, la gestione dei messaggi di allerta e molto altro, attraverso interfacce di rete dedicate.
Questa capacità di gestione indipendente rende i BMC strumenti essenziali per la manutenzione e l’amministrazione dei sistemi in ambienti dove l’affidabilità e la disponibilità sono critiche, permettendo agli amministratori di rispondere rapidamente ai problemi hardware e di garantire la continuità operativa anche in caso di guasti al sistema.
A cosa serve Lghttpd nei BMC?
Lighttpd, pronunciato “lighty”, è un web server ottimizzato per la velocità e l’efficienza, che trova impiego in diverse applicazioni, tra cui i Baseboard Management Controllers (BMC). Nei BMC, Lighttpd contribuisce a fornire un’interfaccia web leggera e veloce per la gestione remota dei server, offrendo una soluzione efficace per l’amministrazione di sistemi critici con risorse hardware limitate.
Cyber Security
Affiliato di Sodinokibi REvil condannato a oltre 13 anni
Tempo di lettura: 2 minuti. Il cittadino ucraino Yaroslav Vasinskyi è stato condannato a oltre 13 anni per il suo ruolo in un’operazione di ransomware firmata Revil
Yaroslav Vasinskyi, cittadino ucraino, è stato condannato a 13 anni e sette mesi di prigione e ha ricevuto l’ordine di pagare oltre 16 milioni di dollari di risarcimento per il suo ruolo significativo nella conduzione di oltre 2.500 attacchi ransomware che hanno richiesto più di 700 milioni di dollari in pagamenti di riscatto dalle vittime, utilizzando il noto ransomware Sodinokibi/REvil.
Impatto Globale e Risposta delle Forze dell’Ordine
Il Dipartimento di Giustizia degli Stati Uniti, insieme ai partner internazionali, ha dimostrato una risposta robusta alla minaccia globale rappresentata dal ransomware. Secondo il Procuratore Generale Merrick B. Garland e il Vice Procuratore Generale Lisa Monaco, questo caso sottolinea l’ampio raggio d’azione del Dipartimento di Giustizia degli Stati Uniti, che collabora a livello globale per catturare i criminali informatici e interrompere l’ecosistema più ampio della cybercriminalità.
Crimine commesso
Vasinskyi, noto anche come Rabotnik, ha sfruttato il ransomware per criptare dati su migliaia di computer in tutto il mondo, utilizzando la crittografia per richiedere pagamenti di riscatto principalmente in criptovaluta. Per intensificare le loro minacce, Vasinskyi e i suoi complici esponevano pubblicamente i dati delle vittime se le loro richieste di riscatto non venivano soddisfatte. Questo metodo evidenzia le severe tattiche impiegate dagli operatori di ransomware per costringere i pagamenti dalle loro vittime.
Procedimenti Legali e Risultati
Vasinskyi si è dichiarato colpevole a un’incriminazione di 11 capi d’accusa, che includevano reati legati alla frode informatica, al danneggiamento di computer protetti e alla cospirazione per commettere riciclaggio di denaro. La sua estradizione dalla Polonia agli Stati Uniti è stata un componente critico per portarlo davanti alla giustizia. Inoltre, il Dipartimento di Giustizia degli Stati Uniti è riuscito a garantire il sequestro di beni significativi relativi ai pagamenti di riscatto di questa operazione.
Commenti delle Forze dell’Ordine
Il Direttore dell’FBI Christopher Wray ha sottolineato il continuo impegno nel perseguire i criminali informatici a livello globale, enfatizzando l’impegno a smantellare le loro operazioni e penalizzare i loro affiliati criminali. Gli sforzi collaborativi tra i procuratori degli Stati Uniti, l’FBI e i partner internazionali sono stati fondamentali per il successo di questo caso.
Questa sentenza segna una vittoria significativa per l’applicazione della legge sulla cybersecurity, dimostrando la collaborazione internazionale efficace e l’azione legale contro minacce informatiche di alto profilo. La condanna di Vasinskyi serve come un severo avvertimento per altri coinvolti in operazioni di ransomware riguardo le gravi conseguenze di prendere di mira entità e individui statunitensi.
Cyber Security
Conservazione delle Password: Linee Guida di ACN e Garante Privacy
Tempo di lettura: 2 minuti. Scopri le linee guida di ACN e Garante Privacy per una sicura conservazione delle password e proteggi meglio i tuoi sistemi digitali.
Le password sono cruciali per la sicurezza nel mondo digitale. Riconoscendo questa importanza, l’Agenzia per la Cybersicurezza Nazionale (ACN) e il Garante per la Protezione dei Dati Personali hanno collaborato per formulare delle linee guida specifiche sulla conservazione sicura delle password, pubblicate nel dicembre 2023.
Obiettivo delle Linee Guida
L’obiettivo principale di queste linee guida è elevare il livello di sicurezza per i fornitori di servizi digitali e gli sviluppatori di software, suggerendo misure tecniche adeguate per la protezione delle password. Queste raccomandazioni sono cruciali considerando che molte violazioni dei dati sono direttamente correlate a sistemi di protezione delle password inadeguati.
Problemi comuni e implicazioni
Le violazioni spesso derivano dalla cattiva pratica di utilizzare la stessa password per diversi servizi online. Questo comportamento aumenta il rischio che la compromissione di un singolo servizio possa portare a accessi non autorizzati a numerosi altri sistemi. Gli attacchi informatici mirati a rubare username e password possono portare a una varietà di frodi, colpendo prevalentemente siti di intrattenimento, social media, e-commerce, e persino piattaforme finanziarie.
Destinatari delle Linee Guida
Le linee guida sono dirette a tutte le imprese e le amministrazioni che conservano le password degli utenti sui propri sistemi. Questo include, ma non si limita a, gestori dell’identità digitale come SPID o CieID, servizi di posta elettronica, banche, assicurazioni, operatori telefonici, strutture sanitarie, e professionisti che trattano dati sensibili o giudiziari.
Raccomandazioni Tecniche
Le raccomandazioni enfatizzano l’uso di funzioni crittografiche avanzate e sicure per la conservazione delle password, per prevenire violazioni che potrebbero portare a furto di identità, estorsioni e altri tipi di attacchi informatici.
L’adozione di queste linee guida è essenziale per garantire che le credenziali di autenticazione siano protette in modo efficace contro le minacce cibernetiche, contribuendo a creare un ambiente digitale più sicuro per tutti gli utenti.
Consulta le Linee Guida di ACN e Garante Privacy
Cyber Security
Furto di dati e segreti di autenticazione per DropBox Sign
Tempo di lettura: 2 minuti. DropBox sta attualmente contattando via email tutti i clienti interessati per informarli dell’accaduto e fornire ulteriori istruzioni.
La piattaforma di cloud storage DropBox ha subito una grave violazione della sicurezza che ha coinvolto DropBox Sign, il suo servizio di firma elettronica precedentemente noto come HelloSign. I pirati informatici sono riusciti a compromettere i sistemi di produzione e ad accedere a dati sensibili degli utenti, compresi token di autenticazione, chiavi per l’autenticazione multifattore e password criptate.
Dettagli dell’incidente
Il 24 aprile, DropBox ha rilevato accessi non autorizzati ai sistemi di produzione di DropBox Sign. Un’indagine successiva ha rivelato che i criminali informatici avevano guadagnato l’accesso attraverso uno strumento di configurazione automatica del sistema, che fa parte dei servizi di backend della piattaforma. Questo strumento ha permesso agli attaccanti di eseguire applicazioni e servizi automatizzati con privilegi elevati, dando loro accesso al database dei clienti.
Dati compromessi
I dati esposti includono informazioni sui clienti di DropBox Sign, come indirizzi email, nomi utente, numeri di telefono e password criptate. Inoltre, sono stati compromessi dati relativi alle impostazioni degli account e informazioni di autenticazione specifiche, quali chiavi API, token OAuth e dati di autenticazione multifattore. Per gli utenti che hanno utilizzato la piattaforma di firma elettronica senza registrare un account, sono stati esposti anche i loro indirizzi email e nomi.
Misure adottate da DropBox
In risposta all’incidente, DropBox ha reimpostato tutte le password degli utenti, disconnesso tutte le sessioni attive su DropBox Sign e limitato l’utilizzo delle chiavi API fino a quando non verranno ruotate dai clienti. L’azienda ha inoltre pubblicato un avviso di sicurezza con istruzioni su come ruotare le chiavi API per ripristinare i pieni privilegi.
Raccomandazioni per gli Utenti
DropBox consiglia agli utenti di DropBox Sign di essere vigili nei confronti di possibili campagne di phishing che potrebbero utilizzare i dati rubati per raccogliere informazioni sensibili, come password in chiaro. È importante non seguire link presenti in email sospette, ma accedere direttamente al sito di DropBox Sign per reimpostare le password. Inoltre, si raccomanda di eliminare le configurazioni di autenticazione multifattore dalle app di autenticazione e di configurarle nuovamente con una nuova chiave MFA ottenuta dal sito.
Questo incidente sottolinea l’importanza di mantenere rigorosi protocolli di sicurezza e monitoraggio costante dei sistemi per prevenire e mitigare le violazioni dei dati. DropBox sta attualmente contattando via email tutti i clienti interessati per informarli dell’accaduto e fornire ulteriori istruzioni.
- Editoriali2 settimane fa
Università, Israele e licenziamenti BigTech
- Robotica2 settimane fa
Atlas di Boston Dynamics non è morto
- Editoriali2 settimane fa
MITRE vittima di zero day Ivanti: anche i migliori le prendono
- Inchieste1 settimana fa
Mercato ITC in Italia nel 2024: numeri e crescita vertiginosa rispetto al paese
- Inchieste1 settimana fa
Managed Service Providers in Italia: numeri di un mercato in crescita
- Inchieste1 settimana fa
Cloud Italiano qual è il Trend del 2024? Aziende e servizi disponibili
- Inchieste1 settimana fa
Cloud Provider Italiani: quali sono le caratteristiche preferite dagli specialisti IT?
- Cyber Security1 settimana fa
Vulnerabilità critiche nel software Cisco: dettagli e soluzioni