Cybersecurity and Infrastructure Security Agency (CISA) ha recentemente rilasciato una serie di aggiornamenti e avvisi di sicurezza significativi unitamente a una direttiva. Tra le principali notizie, CISA ha pubblicato diciassette nuovi avvisi riguardanti sistemi di controllo industriale per fornitori come Siemens e Rockwell Automation. Inoltre, sono state aggiunte tre nuove vulnerabilità conosciute al catalogo delle vulnerabilità sfruttate, che includono criticità nei router D-Link e in Google Chromium. CISA ha anche aggiornato il catalogo con due ulteriori vulnerabilità relative ai prodotti Microsoft. Infine, Adobe ha rilasciato importanti aggiornamenti di sicurezza per numerosi prodotti software, evidenziando la necessità di aggiornamenti tempestivi per prevenire potenziali exploit.

CISA rilascia diciassette avvisi sui sistemi di controllo industriale

• ICSA-24-137-01 Siemens Parasolid
• ICSA-24-137-02 Siemens SICAM Products
• ICSA-24-137-03 Siemens Teamcenter Visualization and JT2Go
• ICSA-24-137-04 Siemens Polarion ALM
• ICSA-24-137-05 Siemens Simcenter Nastran
• ICSA-24-137-06 Siemens SIMATIC CN 4100 Before V3.0
• ICSA-24-137-07 Siemens SIMATIC RTLS Locating Manager
• ICSA-24-137-08 Siemens PS/IGES Parasolid Translator Component
• ICSA-24-137-09 Siemens Solid Edge
• ICSA-24-137-10 Siemens RUGGEDCOM CROSSBOW
• ICSA-24-137-11 Siemens RUGGEDCOM APE1808
• ICSA-24-137-12 Siemens Desigo Fire Safety UL and Cerberus PRO UL Fire Protection Systems
• ICSA-24-137-13 Siemens Industrial Products
• ICSA-24-137-14 Rockwell Automation FactoryTalk View SE
  
• ICSA-23-044-01 Mitsubishi Electric MELSEC iQ-R Series Safety CPU and SIL2 Process CPU (Update A)
• ICSA-24-074-14 Mitsubishi Electric MELSEC-Q/L Series (Update A)
  
• ICSMA-20-049-02 GE Healthcare Ultrasound Products (Update A)

Il Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato diciassette nuovi avvisi relativi ai sistemi di controllo industriale (ICS) per vari fornitori, tra cui Siemens, Rockwell Automation, Mitsubishi Electric e GE Healthcare. Questi avvisi forniscono informazioni dettagliate su vulnerabilità che potrebbero essere sfruttate da attori malevoli per compromettere i sistemi critici.

CISA aggiunge tre nuove vulnerabilità conosciute al catalogo

CISA ha aggiunto tre nuove vulnerabilità al suo catalogo delle vulnerabilità conosciute, basate su prove di sfruttamento attivo:

• CVE-2014-100005 D-Link DIR-600 Router Cross-Site Request Forgery (CSRF) Vulnerability
• CVE-2021-40655 D-Link DIR-605 Router Information Disclosure Vulnerability
• CVE-2024-4761 Google Chromium V8 Out-of-Bounds Memory Write Vulnerability

Queste vulnerabilità rappresentano vettori di attacco comuni per i cyber attori e pongono rischi significativi per l’infrastruttura federale.

CISA aggiunge due nuove vulnerabilità conosciute al catalogo

CISA ha aggiunto altre due vulnerabilità al catalogo delle vulnerabilità conosciute:

• CVE-2024-30051 Microsoft DWM Core Library Privilege Escalation Vulnerability
• CVE-2024-30040 Microsoft Windows MSHTML Platform Security Feature Bypass Vulnerability

La direttiva operativa vincolante (BOD) 22-01 della CISA richiede alle agenzie del ramo esecutivo federale civile (FCEB) di risolvere le vulnerabilità identificate entro la data di scadenza per proteggere le reti contro le minacce attive.

Aggiornamenti di sicurezza di Adobe per più prodotti

Adobe ha rilasciato aggiornamenti di sicurezza per affrontare vulnerabilità nei suoi prodotti software. Gli utenti e gli amministratori sono incoraggiati a rivedere i bollettini di sicurezza di Adobe e applicare gli aggiornamenti necessari per prevenire il controllo del sistema da parte di attori malevoli.

• Adobe Acrobat and Reader
• Adobe Illustrator
• Substance 3D Painter
• Adobe Aero
• Substance 3D Designer
• Adobe Animate
• Adobe FrameMaker
• Adobe Dreamweaver

L’Iran ha riproposto una controversa legge sull’Internet mirata a rafforzare il controllo delle autorità sul web. La Cyberspace Protection Bill, precedentemente sospesa nel 2022, intende limitare significativamente i contenuti accessibili online per gli iraniani, rendendo più difficile l’uso dei servizi VPN per bypassare le restrizioni.

Impatto sulla popolazione iraniana

La ripresa della legge, segnalata da Iran International, giunge come un tentativo dell’ultimo minuto per intensificare le restrizioni prima dell’inizio del mandato del nuovo Parlamento, previsto per il 27 maggio 2024. Azam Jangravi, analista di sicurezza informatica presso Citizen Lab, ha spiegato che se la legge dovesse diventare effettiva, estenderebbe notevolmente la capacità del governo di restringere lo spazio digitale nazionale, minacciando la neutralità della rete e permettendo alle autorità di controllare i contenuti online.

Uso dei VPN e nuove restrizioni

L’uso di VPN in Iran è stato a lungo un obiettivo delle autorità. I VPN, abbreviazione di virtual private network, sono software di sicurezza che falsificano l’indirizzo IP e criptano le connessioni internet, permettendo agli utenti di accedere ai servizi globali bypassando le restrizioni online e migliorando la privacy. Tuttavia, nel 2023, l’Iran ha ufficialmente vietato l’uso di VPN “non autorizzati”. Nonostante il divieto, alcuni cittadini continuano a utilizzare questi strumenti per aggirare le limitazioni.

Secondo Jangravi, la legge potrebbe rendere ancora più difficile l’uso dei VPN, allineandosi perfettamente con gli sforzi del governo di stringere il controllo sull’Internet. In passato, le autorità iraniane hanno interrotto la connettività durante le proteste, dimostrando la loro volontà di limitare l’accesso.

Conseguenze economiche e sui diritti dei cittadini

Le misure di blocco dell’Internet e dei servizi VPN hanno inflitto un duro colpo all’economia iraniana. Secondo una stima della Internet Society, il blocco dell’Internet e dei servizi VPN costa all’Iran oltre un milione di dollari al giorno in termini di PIL. Tuttavia, il prezzo più preoccupante è quello pagato dai diritti dei cittadini, con la legge che potrebbe peggiorare una situazione già critica.

Nel 2023, l’Iran è stato uno dei maggiori perpetratori di blackout internet a livello mondiale, con 34 incidenti rispetto ai 19 del 2022. Le autorità hanno mantenuto i blocchi su app e servizi specifici come Signal, WhatsApp, Instagram, Skype, LinkedIn e Viber, limitando ulteriormente la libertà online.

Salvaguardia della privacy e diritti digitali

Jangravi consiglia agli iraniani di prendere misure per proteggere la loro privacy. L’uso di servizi VPN affidabili è vitale per affrontare le nuove restrizioni. Raccomanda inoltre di crittografare le comunicazioni per prevenire la sorveglianza, suggerendo Signal come una delle app di messaggistica più sicure grazie alla sua crittografia end-to-end.

Infine, Jangravi sottolinea l’importanza di rimanere informati sui diritti digitali e di sostenere un Internet aperto. La lotta per la libertà online continua, e la consapevolezza e l’azione collettiva sono cruciali per resistere a queste restrizioni oppressive.

Il gruppo di hacker nordcoreano Kimsuky ha iniziato a distribuire un nuovo malware Linux chiamato Gomir, una variante del backdoor GoBear, tramite installer di software trojanizzati. Questo attacco è mirato a organizzazioni governative sudcoreane, utilizzando software apparentemente legittimi per infettare i sistemi target.

Dettagli della backdoor Gomir

Gomir condivide molte somiglianze con il backdoor GoBear, offrendo comunicazione diretta con il server di comando e controllo (C2), meccanismi di persistenza e supporto per una vasta gamma di comandi. Dopo l’installazione, il malware verifica il valore del gruppo ID per determinare se viene eseguito con privilegi di root. Si copia poi in /var/log/syslogd per garantire la persistenza.

Meccanismi di persistenza

Per mantenere la sua esecuzione, Gomir crea un servizio systemd chiamato “syslogd” e configura un comando crontab per l’esecuzione al riavvio del sistema. Queste azioni garantiscono che il malware continui a funzionare anche dopo il riavvio del sistema.

Funzionalità di Gomir

Gomir supporta 17 operazioni diverse, attivate quando il comando corrispondente viene ricevuto dal server C2 tramite richieste HTTP POST. Queste operazioni includono:

• Esecuzione di comandi shell arbitrari.
• Raccolta di informazioni sul sistema, come hostname, nome utente, CPU, RAM e interfacce di rete.
• Creazione di file arbitrari sul sistema.
• Esfiltrazione di file dal sistema.
• Configurazione di un proxy inverso per connessioni remote.

Metodo di attacco

Gli attacchi di Kimsuky sfruttano versioni trojanizzate di vari software, come TrustPKI e NX_PRNMAN di SGA Solutions, e Wizvera VeraPort, per infettare i target con Troll Stealer e il malware GoBear per Windows. Symantec ha rilevato che gli attacchi di Kimsuky sembrano preferire metodi di supply-chain, utilizzando installer compromessi per massimizzare le possibilità di infezione.

Obiettivi e indicatori di compromissione

Gli attacchi sono stati progettati con cura per colpire specificamente obiettivi sudcoreani, scegliendo software comunemente utilizzati in Corea del Sud. Il rapporto di Symantec fornisce un elenco di indicatori di compromissione per diversi strumenti malevoli osservati nella campagna, inclusi Gomir, Troll Stealer e il dropper GoBear.

La scoperta di Gomir evidenzia l’evoluzione continua delle tecniche di attacco del gruppo Kimsuky, che continua a rappresentare una minaccia significativa per la sicurezza informatica, in particolare per le organizzazioni governative. La comunità della sicurezza deve rimanere vigile e adottare misure preventive per proteggere i propri sistemi da questi attacchi sofisticati.