Sicurezza Informatica
Barracuda: abuso della vulnerabilità Zero-Day per diffondere nuovi malware e rubare dati
Tempo di lettura: < 1 minuto. Tra questi, il trojan Saltwater, un modulo Barracuda SMTP daemon (bsmtpd) modificato, che fornisce agli aggressori un accesso backdoor ai dispositivi infetti.
L’azienda di sicurezza di rete ed email Barracuda ha rivelato che una recente vulnerabilità zero-day è stata sfruttata per almeno sette mesi per introdurre backdoor nei dispositivi dei clienti tramite l’Email Security Gateway (ESG) utilizzando malware personalizzati e rubare dati.
L’Abuso della Vulnerabilità Zero-Day
Barracuda afferma che un’indagine in corso ha scoperto che la falla (tracciata come CVE-2023-2868) è stata sfruttata per la prima volta nell’ottobre 2022 per accedere a “un sottoinsieme di apparecchiature ESG” e distribuire backdoor progettate per fornire agli aggressori un accesso persistente ai sistemi compromessi.
La Risposta alla Minaccia
La società ha affrontato il problema il 20 maggio applicando una patch di sicurezza a tutte le apparecchiature ESG e bloccando l’accesso degli aggressori ai dispositivi compromessi un giorno dopo tramite uno script dedicato. Il 24 maggio, ha avvisato i clienti che i loro dispositivi ESG potrebbero essere stati violati utilizzando il bug zero-day ora corretto.
Malware Personalizzato Usato nell’Attacco
Durante l’indagine sono state trovate diverse ceppi di malware precedentemente sconosciuti, progettati appositamente per essere utilizzati sui prodotti Email Security Gateway compromessi. Tra questi, il trojan Saltwater, un modulo Barracuda SMTP daemon (bsmtpd) modificato, che fornisce agli aggressori un accesso backdoor ai dispositivi infetti.
Consigli per i Clienti
I clienti sono invitati a verificare se le loro apparecchiature ESG sono aggiornate, a smettere di utilizzare apparecchiature violate e a richiedere un nuovo dispositivo virtuale o hardware, a cambiare tutte le credenziali collegate alle apparecchiature violate e a controllare i loro log di rete per gli indicatori di compromissione (IOC) condivisi oggi e per le connessioni da IP sconosciuti.
Sicurezza Informatica
Vende vulnerabilità per OnlyFans e infetta criminali
Tempo di lettura: 2 minuti. Un attacco hacker a OnlyFans si ritorce contro i criminali, trasformandoli in vittime di un sofisticato malware. Scopri come si evolve il crimine informatico.
Un’operazione sofisticata ha trasformato i criminali informatici intenzionati a sfruttare le vulnerabilità di OnlyFans in vittime. Questo episodio dimostra che anche nel mondo del cybercrimine, chi cerca di sfruttare le falle altrui può facilmente diventare una vittima.
Il fenomeno dei “Checker” di OnlyFans
Un utente di un forum di hacking, Bilalkhanicom, ha proposto un presunto strumento per “controllare” gli account di OnlyFans. Questo strumento, chiamato checker, prometteva di verificare combinazioni di credenziali rubate e di accedere a informazioni sensibili sugli account, come i metodi di pagamento o i privilegi di creatore. Tuttavia, dietro questo strumento si nascondeva un malware sofisticato, noto come Lummac Stealer.
Lummac Stealer: il malware che colpisce i criminali
Lummac Stealer è un malware pericoloso, emerso nel 2022, creato da un attore noto come Lumma. Sfrutta un modello di Malware-as-a-Service (MaaS), che lo rende accessibile a una vasta gamma di cybercriminali. Questo malware è progettato per rubare dati sensibili, inclusi portafogli di criptovalute e informazioni legate all’autenticazione a due fattori (2FA), inviando i dati rubati a un server di comando e controllo tramite richieste HTTP POST.
Inganno nel mondo del crimine informatico
Bilalkhanicom ha esteso questa trappola a diverse piattaforme, tra cui Disney+, Instagram e reti botnet, con strumenti come DisneyChecker.exe e InstaCheck.exe e quindi ha una vulnerabilità per ogni cliente non interessato necessariamente da OnlyFans. Ogni eseguibile è una bomba digitale pronta a colpire gli stessi hacker che cercano di usarli per scopi malevoli.
Sicurezza Informatica
Vulnerabilità critica del plugin LiteSpeed Cache risolta
Tempo di lettura: < 1 minuto. Scoperta e risolta una vulnerabilità critica nel plugin LiteSpeed Cache che permetteva il takeover non autenticato degli account. Aggiorna subito.
Il plugin LiteSpeed Cache per WordPress, con oltre 5 milioni di installazioni attive, è noto come uno dei plugin di caching più popolari nell’ecosistema di WordPress e di recente è stata scoperta una grave vulnerabilità di account takeover non autenticato. Questo tipo di vulnerabilità consente a un utente non autenticato di ottenere accesso all’account di qualsiasi utente già autenticato, e in casi estremi, di assumere il ruolo di amministratore. Da qui, possono essere caricati e installati plugin dannosi.
Dettagli della vulnerabilità
La vulnerabilità è stata rilevata a seguito di un’analisi tecnica approfondita, partendo da un’escalation di privilegi non autenticata già individuata in precedenza nello stesso plugin. Il problema è collegato alla funzione di debug del plugin, che, a causa di una fuga di dati nelle intestazioni di risposta HTTP, espone l’header Set-Cookie. Questo accade durante la registrazione nel file di log del debug. La vulnerabilità ha ricevuto il codice CVE-2024-44000 ed è stata corretta nella versione 6.5.0.1 del plugin LiteSpeed Cache.
Patch e misure correttive
Per mitigare questa vulnerabilità, il team di LiteSpeed ha implementato una serie di soluzioni:
- Spostamento del file di log in una cartella dedicata.
- Creazione di nomi di file casuali utilizzando stringhe MD5 basate su AUTH_KEY.
- Rimozione dell’opzione di log delle Cookie.
- Aggiunta di un file index.php nella nuova directory per migliorare la sicurezza.
Patchstack raccomanda inoltre di eliminare il file di log di debug precedente per evitare che i dati di cookie già trapelati possano essere accessibili.
Raccomandazioni per gli utenti
Gli utenti dovrebbero assicurarsi di aggiornare il plugin LiteSpeed Cache alla versione 6.5.0.1 o superiore. Se è stata attivata la funzione di log di debug in passato, si consiglia di analizzare e purgare eventuali dati sensibili presenti nel file debug.log.
Sicurezza Informatica
Vulnerabilità: SonicWall, Apache, Veeam e Cisco sotto attacco
Tempo di lettura: 5 minuti. Scopri le ultime vulnerabilità di sicurezza in SonicWall, Apache, Veeam e Cisco e le patch urgenti per prevenire attacchi critici.
Negli ultimi giorni, diverse vulnerabilità critiche di sicurezza sono emerse su piattaforme di grande rilievo come SonicWall, Apache, Veeam e Cisco, richiedendo azioni immediate per mitigare i rischi di attacchi e compromissioni. In questo articolo esamineremo i dettagli di ciascuna di queste vulnerabilità e le relative misure di sicurezza raccomandate.
SonicWall: Access Control Exploit su SSLVPN
SonicWall ha segnalato una vulnerabilità critica di access control, tracciata come CVE-2024-40766, che sta attualmente subendo attacchi attivi. Questo difetto, con un punteggio CVSS di 9,3, interessa le versioni SonicOS per i dispositivi SonicWall Firewall di generazione 5, 6 e 7. La vulnerabilità permette l’accesso non autorizzato alle risorse del firewall, e nel peggiore dei casi, può causare crash del dispositivo, compromettendo la protezione della rete.
SonicWall consiglia di applicare immediatamente le patch rilasciate, limitare l’accesso al firewall a fonti attendibili e disabilitare l’accesso a SSLVPN se non necessario. Attacchi precedenti simili sono stati sfruttati da attori come hacker cinesi per compromettere reti aziendali.
Apache: vulnerabilità di esecuzione Codice Remoto in OFBiz
Apache ha corretto una grave vulnerabilità di esecuzione di codice remoto (RCE) nel suo software open-source OFBiz, tracciata come CVE-2024-45195. Questo difetto consente agli attaccanti di sfruttare una debolezza nel controllo delle autorizzazioni, eseguendo codice arbitrario su server vulnerabili, sia Linux che Windows.
Apache ha risolto il problema aggiungendo controlli di autorizzazione nella versione 18.12.16. Gli amministratori sono invitati ad aggiornare immediatamente per prevenire attacchi che sfruttano questa vulnerabilità, specialmente considerando che altre vulnerabilità di OFBiz sono già state attivamente sfruttate in precedenza.
Veeam: vulnerabilità critica RCE in Backup & Replication
Veeam ha rilasciato aggiornamenti di sicurezza per risolvere 18 vulnerabilità critiche e ad alta severità nei suoi prodotti Backup & Replication, Service Provider Console e Veeam ONE. La vulnerabilità più grave, tracciata come CVE-2024-40711, permette l’esecuzione di codice remoto non autenticato, con un punteggio CVSS di 9.8.
Poiché Veeam Backup & Replication è spesso mirato da attori ransomware, come il gruppo Cuba e FIN7, per sottrarre backup e impedire la possibilità di ripristinare i dati, gli utenti sono fortemente invitati ad aggiornare a Veeam versione 12.2.0.334 per prevenire possibili attacchi.
Cisco: aggiornamenti di sicurezza per vulnerabilità ISE, Smart Licensing e Duo Epic
Negli ultimi giorni oltre alle vulnerabilità di Apache, SonicWall e Veeam, Cisco ha rilasciato una serie di aggiornamenti di sicurezza per risolvere vulnerabilità critiche nei suoi sistemi, inclusi il software Identity Services Engine (ISE), Cisco Smart Licensing Utility e Duo Epic per Hyperdrive. Queste vulnerabilità, se sfruttate, possono permettere l’escalation dei privilegi, l’accesso non autorizzato e l’esecuzione di codice arbitrario. Gli amministratori sono esortati a implementare le patch il prima possibile.
Cisco: escalation dei privilegi su Identity Services Engine (ISE)
Cisco ha risolto una vulnerabilità di escalation dei privilegi, tracciata come CVE-2024-20469, che consente agli attaccanti di ottenere privilegi di root sui sistemi vulnerabili. Il difetto è presente nel software Identity Services Engine (ISE) di Cisco, utilizzato per il controllo degli accessi di rete e l’amministrazione dei dispositivi.
La vulnerabilità è dovuta a una convalida insufficiente dei comandi CLI e può essere sfruttata localmente da attaccanti con privilegi di amministratore. Cisco ha rilasciato le patch per le versioni 3.2 e 3.3 di ISE e raccomanda di applicare gli aggiornamenti quanto prima.
Cisco ISE: vulnerabilità di Escalation dei Privilegi
La vulnerabilità, tracciata come CVE-2024-20469, riguarda una debolezza di validazione nei comandi CLI del software Identity Services Engine (ISE), che può consentire a un attaccante locale autenticato di eseguire comandi malevoli e ottenere privilegi di root. Sebbene questa vulnerabilità richieda privilegi di amministratore per essere sfruttata, rappresenta una minaccia seria in sistemi non patchati.
Cisco ha rilasciato aggiornamenti per le versioni 3.2 e 3.3 del software ISE, mentre le versioni 3.1 e 3.4 non risultano vulnerabili. Gli amministratori dovrebbero aggiornare immediatamente a ISE 3.2P7 o successivo.
Smart licensing utility: Backdoor e Vulnerabilità di Accesso Non Autorizzato
Un’altra vulnerabilità critica interessa il Cisco Smart Licensing Utility, tracciata come CVE-2024-38650. Questa vulnerabilità permette a un utente a basso privilegio di ottenere l’accesso agli hash NTLM del server, consentendo di eseguire codice remoto. Cisco ha già rimosso una backdoor amministrativa scoperta nel software, che permetteva l’accesso non autorizzato a sistemi non aggiornati.
Cisco ha rilasciato aggiornamenti per le versioni 2.0.0, 2.1.0 e 2.2.0 del software, con correzioni che devono essere applicate al più presto per evitare compromissioni.
Cisco Duo Epic per Hyperdrive: Vulnerabilità di Divulgazione di Informazioni
Cisco ha inoltre risolto una vulnerabilità di divulgazione di informazioni nel sistema Duo Epic per Hyperdrive. Questa vulnerabilità consente agli attaccanti di ottenere accesso non autorizzato a informazioni sensibili. Gli utenti sono invitati a migrare alle versioni non vulnerabili o applicare gli aggiornamenti forniti da Cisco.
Cisco Expressway Edge: Problemi di Autorizzazione
Cisco ha corretto una vulnerabilità di autorizzazione impropria in Expressway Edge. Gli amministratori dovrebbero aggiornare a Expressway-E 15.2 per risolvere questa problematica di sicurezza che potrebbe consentire attacchi non autorizzati.
Cisco ha recentemente rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità critica di escalation dei privilegi nel Meraki Systems Manager Agent per Windows. Questa vulnerabilità, se sfruttata, permetterebbe a un utente locale di ottenere privilegi elevati su un sistema compromesso, mettendo a rischio la sicurezza delle reti gestite da Cisco Meraki.
Dettagli della Vulnerabilità
Il problema riguarda la gestione delle librerie DLL nel Systems Manager Agent per Windows, che potrebbe consentire a un utente malintenzionato di iniettare codice malevolo con privilegi di amministratore. Cisco ha tracciato questa vulnerabilità come CVE-2024-xxxx e ha raccomandato l’installazione immediata della patch.
Cisco Meraki: vulnerabilità Escalation dei Privilegi
Gli amministratori di rete sono invitati a verificare che il Meraki Systems Manager Agent sia aggiornato alla versione 4.2.0 o successiva, che include la correzione per questo problema. Gli aggiornamenti sono disponibili attraverso il Meraki Dashboard e possono essere distribuiti automaticamente impostando la versione dell’agente su “latest”. Cisco Meraki ha rilasciato l’aggiornamento il 12 giugno 2024, rendendolo disponibile per tutti gli utenti di dispositivi Windows.
Azioni raccomandate
Cisco consiglia di seguire le best practice per l’aggiornamento del firmware e di assicurarsi che i dispositivi abbiano sufficiente memoria per supportare il nuovo rilascio. Inoltre, per chi non ha ancora attivato l’aggiornamento automatico, è disponibile una guida dettagliata su come configurare il Meraki Systems Manager Agent e l’opzione di controllo della versione dell’agente su più dispositivi.
Le vulnerabilità descritte in SonicWall, Apache OFBiz, Veeam e Cisco rappresentano rischi significativi per la sicurezza delle reti aziendali. Gli amministratori dovrebbero applicare immediatamente le patch fornite, limitare l’accesso remoto ai dispositivi vulnerabili e implementare misure di sicurezza aggiuntive come l’autenticazione multi-fattore. La rapida reazione e l’aggiornamento tempestivo sono essenziali per proteggere le infrastrutture critiche da attacchi mirati.
- L'Altra Bolla1 settimana fa
Apple e Google rivoluzionano l’AI per il 2024
- Economia1 settimana fa
Huawei: forte crescita nel 2024 che impoverisce Apple
- Economia1 settimana fa
Huawei: Innovazione nei Wearable e nell’Istruzione con TruSense e il Piano “AI 100 Schools”
- Tech1 settimana fa
Aggiornamento Windows 10 KB5041582: novità e correzioni
- Economia1 settimana fa
Xiaomi produce i chip, Samsung compra Nokia
- Smartphone1 settimana fa
HZ Rat: malware per macOS mirato a WeChat e DingTalk
- Sicurezza Informatica1 settimana fa
Pavel Durov incriminato e rilasciato
- Economia1 settimana fa
Buoni pasto elettronici: cosa sono e quali vantaggi offrono