Una vulnerabilità in una libreria open source comune nello spazio Web3 impatta la sicurezza dei contratti intelligenti pre-costruiti, influenzando diverse collezioni di NFT, inclusa Coinbase.

Come Funziona l’Attacco?

La vulnerabilità è stata scoperta da ricercatori della piattaforma di sviluppo Web3 Thirdweb, che hanno rilevato che la maggior parte dei gestori di password per Android è vulnerabile ad AutoSpill, anche senza iniezione di JavaScript. Le app Android spesso utilizzano i controlli WebView per visualizzare contenuti web, come pagine di login all’interno dell’app. I gestori di password su Android utilizzano il framework WebView della piattaforma per digitare automaticamente le credenziali dell’utente quando un’app carica la pagina di login di servizi come Apple, Facebook, Microsoft o Google. È possibile sfruttare le debolezze in questo processo per catturare le credenziali compilate automaticamente sull’app che le richiama.

Contratti Smart Impattati

I seguenti contratti smart sono impattati dalla vulnerabilità:

• AirdropERC20 (v1.0.3 e successivi), ERC721 (v1.0.4 e successivi), ERC1155 (v1.0.4 e successivi) ERC20Claimable, ERC721Claimable, ERC1155Claimable
• BurnToClaimDropERC721 (tutte le versioni)
• DropERC20, ERC721, ERC1155 (tutte le versioni)
• LoyaltyCard
• MarketplaceV3 (tutte le versioni)
• Multiwrap, Multiwrap_OSRoyaltyFilter
• OpenEditionERC721 (v1.0.0 e successivi)
• Pack e Pack_OSRoyaltyFilter
• TieredDrop (tutte le versioni)
• TokenERC20, ECRC721, ERC1155 (tutte le versioni)
• SignatureDrop, SignatureDrop_OSRoyaltyFilter
• Split (basso impatto)
• TokenStake, NFTStake, EditionStake (tutte le versioni)

Misure di Mitigazione

I proprietari di contratti smart devono adottare misure di mitigazione immediatamente per tutti i contratti pre-costruiti creati prima del 22 novembre 2023, alle 19:00 PT. Il consiglio è di bloccare i contratti vulnerabili, fare uno snapshot e poi migrarli a un nuovo contratto creato con una versione non vulnerabile della libreria. Thirdweb ha condiviso i dettagli dell’exploit con i manutentori della libreria interessata e ha affermato di non aver visto la vulnerabilità essere sfruttata in attacchi.

Risposte da Coinbase e Altri

Coinbase NFT ha annunciato che ha appreso della vulnerabilità venerdì scorso e che influisce su alcune delle sue collezioni create con Thirdweb. Mocaverse ha aggiornato i suoi utenti che i loro asset sono al sicuro e che ha “aggiornato con successo i contratti smart della collezione NFT Mocaverse, Lucky Neko e Mocaverse Relic per chiudere la rilevante vulnerabilità di sicurezza”. OpenSea ha annunciato che sta lavorando a stretto contatto con Thirdweb per mitigare i rischi coinvolti e prevede di assistere gli utenti colpiti. alcuni utenti hanno invece lamentato una mancanza di trasparenza da parte di ThirdWeb sulla scoperta da loro denunciata.

Fancy Bear, un gruppo di cyber-spionaggio legato al Cremlino, è stato osservato da Microsoft mentre sfrutta due bug precedentemente corretti per campagne di phishing su larga scala contro obiettivi ad alto valore, come agenzie governative, di difesa e aerospaziali negli Stati Uniti e in Europa.

Dettagli delle Vulnerabilità Sfruttate

Le vulnerabilità sfruttate includono CVE-2023-23397, un difetto di elevazione dei privilegi in Microsoft Outlook, e CVE-2023-38831, un difetto di esecuzione di codice remoto in WinRAR che consente l’esecuzione di codice arbitrario. Microsoft ha inizialmente corretto il bug di Outlook a marzo, avvertendo che era già stato sfruttato da malintenzionati in Russia contro settori governativi, energetici e militari in Europa, con un focus specifico sull’Ucraina.

Attività di Fancy Bear

Fancy Bear, tracciato da Microsoft come Forest Blizzard e precedentemente noto come Strontium, è stato attivo dal 2012 e ha iniziato prendendo di mira entità governative sudcoreane, think tank e individui identificati come esperti in vari campi, prima di espandere il suo raggio d’azione a Europa, Russia e Stati Uniti. Alcuni degli account Outlook compromessi appartengono a organizzazioni pubbliche e private polacche, secondo il Cyber Command polacco (DKWOC), che ha collaborato con Microsoft nelle indagini. Qui la storia completa in esclusiva su Matrice Digitale

Metodologia dell’Attacco

L’attacco di Fancy Bear inizia con un’email di phishing contenente un allegato di appuntamento, utilizzando un file TNEF mascherato come un file CSV, Excel o Word. L’estensione maligna contiene un percorso UNC che indirizza il traffico a un listener SMB ospitato su un router Ubiquiti probabilmente compromesso. In passato, Fancy Bear ha utilizzato router compromessi per ospitare i suoi nodi di comando e controllo o listener NTLM.

Campagna di Phishing utilizzando WinRAR

Utilizzando un diverso set di indirizzi email Portugalmail, gli spie russe hanno anche inviato email di phishing sfruttando una vulnerabilità di WinRAR, CVE-2023-32231. Questa vulnerabilità, che consente ai malintenzionati di eseguire malware nascosto all’interno di file legittimi, è stata corretta ad agosto, ma apparentemente non è stata patchata da abbastanza persone.

Aspettative per il Futuro

Gli esperti di sicurezza prevedono che i criminali continueranno a sfruttare entrambi i bug in sistemi non aggiornati, riflettendo il passaggio definitivo di TA422 da malware compilato per accesso persistente a reti mirate a accesso orientato alle credenziali più leggero.

Un cittadino belga è in arresto ed è accusato per il suo ruolo in uno schema di contrabbando pluriennale per esportare elettronica di grado militare dagli Stati Uniti verso Russia e Cina.

Dettagli dell’Arresto e delle Accuse

Hans Maria De Geetere, 61 anni, è stato detenuto dalle forze dell’ordine belghe il 5 dicembre insieme ad altre cinque persone per interrogatorio. Il Dipartimento di Giustizia degli Stati Uniti ha anche reso pubbliche due incriminazioni che accusano De Geetere e altri di aver esportato illegalmente milioni di dollari di elettronica statunitense – utilizzata in missili, veicoli aerei senza pilota, ricevitori di guerra elettronica e radar militari – verso entità in Cina e Russia.

Azioni Internazionali Coordinate

I Dipartimenti del Commercio e del Tesoro degli Stati Uniti hanno aggiunto De Geetere e le sue aziende – Knokke-Heist Support Management Corporation e European Trading Technology BV – alla BIS Entity List e alla OFAC Specially Designated and Blocked Person List per aver trasferito la tecnologia di armi illecite. Le azioni internazionali coordinate dimostrano l’impegno a interrompere il flusso di elettronica critica statunitense verso la Repubblica Popolare Cinese e la Russia.

Dettagli delle indagini

Secondo un’incriminazione presentata in un tribunale del Texas, tra marzo 2016 e febbraio 2018, De Geetere e un uomo della Florida, Eddy Johan Coopmans, 62 anni, hanno cospirato per contrabbandare circuiti FPGA controllati all’esportazione verso la Russia e telecamere di sorveglianza a infrarossi a onda corta (SWIR) verso la Cina. In totale, i due uomini avrebbero effettuato pagamenti per oltre 1,2 milioni di dollari a individui che ritenevano potessero procurare loro i dispositivi.

Altre accuse

Un’altra incriminazione, presentata in un tribunale dell’Oregon, sostiene che De Geetere abbia tentato illegalmente di procurarsi accelerometri per esportarli in Cina tra aprile 2021 e agosto 2023. Questi dispositivi, del valore di oltre 930.000 dollari, svolgono un ruolo critico in vari sistemi, inclusi quelli di navigazione di armi e veicoli.

Possibili pene

Se condannato, De Geetere rischia un massimo di cinque anni di prigione per cospirazione al contrabbando di beni e per ciascuna accusa di false dichiarazioni, dieci anni per il contrabbando di beni e venti anni per cospirazione al riciclaggio di fondi.