Connect with us

Sicurezza Informatica

Barracuda: abuso della vulnerabilità Zero-Day per diffondere nuovi malware e rubare dati

Tempo di lettura: < 1 minuto. Tra questi, il trojan Saltwater, un modulo Barracuda SMTP daemon (bsmtpd) modificato, che fornisce agli aggressori un accesso backdoor ai dispositivi infetti.

Pubblicato

in data

Tempo di lettura: < 1 minuto.

L’azienda di sicurezza di rete ed email Barracuda ha rivelato che una recente vulnerabilità zero-day è stata sfruttata per almeno sette mesi per introdurre backdoor nei dispositivi dei clienti tramite l’Email Security Gateway (ESG) utilizzando malware personalizzati e rubare dati.

L’Abuso della Vulnerabilità Zero-Day

Barracuda afferma che un’indagine in corso ha scoperto che la falla (tracciata come CVE-2023-2868) è stata sfruttata per la prima volta nell’ottobre 2022 per accedere a “un sottoinsieme di apparecchiature ESG” e distribuire backdoor progettate per fornire agli aggressori un accesso persistente ai sistemi compromessi.

La Risposta alla Minaccia

La società ha affrontato il problema il 20 maggio applicando una patch di sicurezza a tutte le apparecchiature ESG e bloccando l’accesso degli aggressori ai dispositivi compromessi un giorno dopo tramite uno script dedicato. Il 24 maggio, ha avvisato i clienti che i loro dispositivi ESG potrebbero essere stati violati utilizzando il bug zero-day ora corretto.

Malware Personalizzato Usato nell’Attacco

Durante l’indagine sono state trovate diverse ceppi di malware precedentemente sconosciuti, progettati appositamente per essere utilizzati sui prodotti Email Security Gateway compromessi. Tra questi, il trojan Saltwater, un modulo Barracuda SMTP daemon (bsmtpd) modificato, che fornisce agli aggressori un accesso backdoor ai dispositivi infetti.

Consigli per i Clienti

I clienti sono invitati a verificare se le loro apparecchiature ESG sono aggiornate, a smettere di utilizzare apparecchiature violate e a richiedere un nuovo dispositivo virtuale o hardware, a cambiare tutte le credenziali collegate alle apparecchiature violate e a controllare i loro log di rete per gli indicatori di compromissione (IOC) condivisi oggi e per le connessioni da IP sconosciuti.

Sicurezza Informatica

Vende vulnerabilità per OnlyFans e infetta criminali

Tempo di lettura: 2 minuti. Un attacco hacker a OnlyFans si ritorce contro i criminali, trasformandoli in vittime di un sofisticato malware. Scopri come si evolve il crimine informatico.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Un’operazione sofisticata ha trasformato i criminali informatici intenzionati a sfruttare le vulnerabilità di OnlyFans in vittime. Questo episodio dimostra che anche nel mondo del cybercrimine, chi cerca di sfruttare le falle altrui può facilmente diventare una vittima.

Il fenomeno dei “Checker” di OnlyFans

Un utente di un forum di hacking, Bilalkhanicom, ha proposto un presunto strumento per “controllare” gli account di OnlyFans. Questo strumento, chiamato checker, prometteva di verificare combinazioni di credenziali rubate e di accedere a informazioni sensibili sugli account, come i metodi di pagamento o i privilegi di creatore. Tuttavia, dietro questo strumento si nascondeva un malware sofisticato, noto come Lummac Stealer.

Lummac Stealer: il malware che colpisce i criminali

Lummac Stealer è un malware pericoloso, emerso nel 2022, creato da un attore noto come Lumma. Sfrutta un modello di Malware-as-a-Service (MaaS), che lo rende accessibile a una vasta gamma di cybercriminali. Questo malware è progettato per rubare dati sensibili, inclusi portafogli di criptovalute e informazioni legate all’autenticazione a due fattori (2FA), inviando i dati rubati a un server di comando e controllo tramite richieste HTTP POST.

Inganno nel mondo del crimine informatico

Bilalkhanicom ha esteso questa trappola a diverse piattaforme, tra cui Disney+, Instagram e reti botnet, con strumenti come DisneyChecker.exe e InstaCheck.exe e quindi ha una vulnerabilità per ogni cliente non interessato necessariamente da OnlyFans. Ogni eseguibile è una bomba digitale pronta a colpire gli stessi hacker che cercano di usarli per scopi malevoli.

Prosegui la lettura

Sicurezza Informatica

Vulnerabilità critica del plugin LiteSpeed Cache risolta

Tempo di lettura: < 1 minuto. Scoperta e risolta una vulnerabilità critica nel plugin LiteSpeed Cache che permetteva il takeover non autenticato degli account. Aggiorna subito.

Pubblicato

in data

LiteSpeed Cache
Tempo di lettura: < 1 minuto.

Il plugin LiteSpeed Cache per WordPress, con oltre 5 milioni di installazioni attive, è noto come uno dei plugin di caching più popolari nell’ecosistema di WordPress e di recente è stata scoperta una grave vulnerabilità di account takeover non autenticato. Questo tipo di vulnerabilità consente a un utente non autenticato di ottenere accesso all’account di qualsiasi utente già autenticato, e in casi estremi, di assumere il ruolo di amministratore. Da qui, possono essere caricati e installati plugin dannosi.

Dettagli della vulnerabilità

La vulnerabilità è stata rilevata a seguito di un’analisi tecnica approfondita, partendo da un’escalation di privilegi non autenticata già individuata in precedenza nello stesso plugin. Il problema è collegato alla funzione di debug del plugin, che, a causa di una fuga di dati nelle intestazioni di risposta HTTP, espone l’header Set-Cookie. Questo accade durante la registrazione nel file di log del debug. La vulnerabilità ha ricevuto il codice CVE-2024-44000 ed è stata corretta nella versione 6.5.0.1 del plugin LiteSpeed Cache.

Patch e misure correttive

Per mitigare questa vulnerabilità, il team di LiteSpeed ha implementato una serie di soluzioni:

  • Spostamento del file di log in una cartella dedicata.
  • Creazione di nomi di file casuali utilizzando stringhe MD5 basate su AUTH_KEY.
  • Rimozione dell’opzione di log delle Cookie.
  • Aggiunta di un file index.php nella nuova directory per migliorare la sicurezza.

Patchstack raccomanda inoltre di eliminare il file di log di debug precedente per evitare che i dati di cookie già trapelati possano essere accessibili.

Raccomandazioni per gli utenti

Gli utenti dovrebbero assicurarsi di aggiornare il plugin LiteSpeed Cache alla versione 6.5.0.1 o superiore. Se è stata attivata la funzione di log di debug in passato, si consiglia di analizzare e purgare eventuali dati sensibili presenti nel file debug.log.

Prosegui la lettura

Sicurezza Informatica

Vulnerabilità: SonicWall, Apache, Veeam e Cisco sotto attacco

Tempo di lettura: 5 minuti. Scopri le ultime vulnerabilità di sicurezza in SonicWall, Apache, Veeam e Cisco e le patch urgenti per prevenire attacchi critici.

Pubblicato

in data

Tempo di lettura: 5 minuti.

Negli ultimi giorni, diverse vulnerabilità critiche di sicurezza sono emerse su piattaforme di grande rilievo come SonicWall, Apache, Veeam e Cisco, richiedendo azioni immediate per mitigare i rischi di attacchi e compromissioni. In questo articolo esamineremo i dettagli di ciascuna di queste vulnerabilità e le relative misure di sicurezza raccomandate.

SonicWall: Access Control Exploit su SSLVPN

SonicWall ha segnalato una vulnerabilità critica di access control, tracciata come CVE-2024-40766, che sta attualmente subendo attacchi attivi. Questo difetto, con un punteggio CVSS di 9,3, interessa le versioni SonicOS per i dispositivi SonicWall Firewall di generazione 5, 6 e 7. La vulnerabilità permette l’accesso non autorizzato alle risorse del firewall, e nel peggiore dei casi, può causare crash del dispositivo, compromettendo la protezione della rete.

SonicWall logo

SonicWall consiglia di applicare immediatamente le patch rilasciate, limitare l’accesso al firewall a fonti attendibili e disabilitare l’accesso a SSLVPN se non necessario. Attacchi precedenti simili sono stati sfruttati da attori come hacker cinesi per compromettere reti aziendali.

Apache: vulnerabilità di esecuzione Codice Remoto in OFBiz

Apache ha corretto una grave vulnerabilità di esecuzione di codice remoto (RCE) nel suo software open-source OFBiz, tracciata come CVE-2024-45195. Questo difetto consente agli attaccanti di sfruttare una debolezza nel controllo delle autorizzazioni, eseguendo codice arbitrario su server vulnerabili, sia Linux che Windows.

Apache OfBiz ERP
Apache OfBiz ERP

Apache ha risolto il problema aggiungendo controlli di autorizzazione nella versione 18.12.16. Gli amministratori sono invitati ad aggiornare immediatamente per prevenire attacchi che sfruttano questa vulnerabilità, specialmente considerando che altre vulnerabilità di OFBiz sono già state attivamente sfruttate in precedenza.

Veeam: vulnerabilità critica RCE in Backup & Replication

Veeam ha rilasciato aggiornamenti di sicurezza per risolvere 18 vulnerabilità critiche e ad alta severità nei suoi prodotti Backup & Replication, Service Provider Console e Veeam ONE. La vulnerabilità più grave, tracciata come CVE-2024-40711, permette l’esecuzione di codice remoto non autenticato, con un punteggio CVSS di 9.8.

veeam one
veeam one

Poiché Veeam Backup & Replication è spesso mirato da attori ransomware, come il gruppo Cuba e FIN7, per sottrarre backup e impedire la possibilità di ripristinare i dati, gli utenti sono fortemente invitati ad aggiornare a Veeam versione 12.2.0.334 per prevenire possibili attacchi.

Cisco: aggiornamenti di sicurezza per vulnerabilità ISE, Smart Licensing e Duo Epic

Negli ultimi giorni oltre alle vulnerabilità di Apache, SonicWall e Veeam, Cisco ha rilasciato una serie di aggiornamenti di sicurezza per risolvere vulnerabilità critiche nei suoi sistemi, inclusi il software Identity Services Engine (ISE), Cisco Smart Licensing Utility e Duo Epic per Hyperdrive. Queste vulnerabilità, se sfruttate, possono permettere l’escalation dei privilegi, l’accesso non autorizzato e l’esecuzione di codice arbitrario. Gli amministratori sono esortati a implementare le patch il prima possibile.

Cisco: escalation dei privilegi su Identity Services Engine (ISE)

Cisco ha risolto una vulnerabilità di escalation dei privilegi, tracciata come CVE-2024-20469, che consente agli attaccanti di ottenere privilegi di root sui sistemi vulnerabili. Il difetto è presente nel software Identity Services Engine (ISE) di Cisco, utilizzato per il controllo degli accessi di rete e l’amministrazione dei dispositivi.

La vulnerabilità è dovuta a una convalida insufficiente dei comandi CLI e può essere sfruttata localmente da attaccanti con privilegi di amministratore. Cisco ha rilasciato le patch per le versioni 3.2 e 3.3 di ISE e raccomanda di applicare gli aggiornamenti quanto prima.

Cisco ISE: vulnerabilità di Escalation dei Privilegi

La vulnerabilità, tracciata come CVE-2024-20469, riguarda una debolezza di validazione nei comandi CLI del software Identity Services Engine (ISE), che può consentire a un attaccante locale autenticato di eseguire comandi malevoli e ottenere privilegi di root. Sebbene questa vulnerabilità richieda privilegi di amministratore per essere sfruttata, rappresenta una minaccia seria in sistemi non patchati.

Cisco ha rilasciato aggiornamenti per le versioni 3.2 e 3.3 del software ISE, mentre le versioni 3.1 e 3.4 non risultano vulnerabili. Gli amministratori dovrebbero aggiornare immediatamente a ISE 3.2P7 o successivo.

Smart licensing utility: Backdoor e Vulnerabilità di Accesso Non Autorizzato

Un’altra vulnerabilità critica interessa il Cisco Smart Licensing Utility, tracciata come CVE-2024-38650. Questa vulnerabilità permette a un utente a basso privilegio di ottenere l’accesso agli hash NTLM del server, consentendo di eseguire codice remoto. Cisco ha già rimosso una backdoor amministrativa scoperta nel software, che permetteva l’accesso non autorizzato a sistemi non aggiornati.

Cisco ha rilasciato aggiornamenti per le versioni 2.0.0, 2.1.0 e 2.2.0 del software, con correzioni che devono essere applicate al più presto per evitare compromissioni.

Cisco Duo Epic per Hyperdrive: Vulnerabilità di Divulgazione di Informazioni

Cisco ha inoltre risolto una vulnerabilità di divulgazione di informazioni nel sistema Duo Epic per Hyperdrive. Questa vulnerabilità consente agli attaccanti di ottenere accesso non autorizzato a informazioni sensibili. Gli utenti sono invitati a migrare alle versioni non vulnerabili o applicare gli aggiornamenti forniti da Cisco.

Cisco Expressway Edge: Problemi di Autorizzazione

Cisco ha corretto una vulnerabilità di autorizzazione impropria in Expressway Edge. Gli amministratori dovrebbero aggiornare a Expressway-E 15.2 per risolvere questa problematica di sicurezza che potrebbe consentire attacchi non autorizzati.

Cisco ha recentemente rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità critica di escalation dei privilegi nel Meraki Systems Manager Agent per Windows. Questa vulnerabilità, se sfruttata, permetterebbe a un utente locale di ottenere privilegi elevati su un sistema compromesso, mettendo a rischio la sicurezza delle reti gestite da Cisco Meraki.

Dettagli della Vulnerabilità

Il problema riguarda la gestione delle librerie DLL nel Systems Manager Agent per Windows, che potrebbe consentire a un utente malintenzionato di iniettare codice malevolo con privilegi di amministratore. Cisco ha tracciato questa vulnerabilità come CVE-2024-xxxx e ha raccomandato l’installazione immediata della patch.

Cisco Meraki: vulnerabilità Escalation dei Privilegi

Gli amministratori di rete sono invitati a verificare che il Meraki Systems Manager Agent sia aggiornato alla versione 4.2.0 o successiva, che include la correzione per questo problema. Gli aggiornamenti sono disponibili attraverso il Meraki Dashboard e possono essere distribuiti automaticamente impostando la versione dell’agente su “latest”. Cisco Meraki ha rilasciato l’aggiornamento il 12 giugno 2024, rendendolo disponibile per tutti gli utenti di dispositivi Windows.

Azioni raccomandate

Cisco consiglia di seguire le best practice per l’aggiornamento del firmware e di assicurarsi che i dispositivi abbiano sufficiente memoria per supportare il nuovo rilascio. Inoltre, per chi non ha ancora attivato l’aggiornamento automatico, è disponibile una guida dettagliata su come configurare il Meraki Systems Manager Agent e l’opzione di controllo della versione dell’agente su più dispositivi.

Le vulnerabilità descritte in SonicWall, Apache OFBiz, Veeam e Cisco rappresentano rischi significativi per la sicurezza delle reti aziendali. Gli amministratori dovrebbero applicare immediatamente le patch fornite, limitare l’accesso remoto ai dispositivi vulnerabili e implementare misure di sicurezza aggiuntive come l’autenticazione multi-fattore. La rapida reazione e l’aggiornamento tempestivo sono essenziali per proteggere le infrastrutture critiche da attacchi mirati.

Prosegui la lettura

Facebook

CYBERSECURITY

LiteSpeed Cache LiteSpeed Cache
Sicurezza Informatica13 ore fa

Vulnerabilità critica del plugin LiteSpeed Cache risolta

Tempo di lettura: < 1 minuto. Scoperta e risolta una vulnerabilità critica nel plugin LiteSpeed Cache che permetteva il takeover...

Sicurezza Informatica4 giorni fa

Nuovi Avvisi di Sicurezza ICS CISA e prodotti Cisco

Tempo di lettura: 2 minuti. Avvisi di sicurezza CISA per ICS e vulnerabilità nei prodotti Cisco, incluse falle di accesso...

Sicurezza Informatica1 settimana fa

Pidgin, Plugin ScreenShareOTR infiltra malware DarkGate

Tempo di lettura: 2 minuti. Un plugin malevolo infiltrato nel repository ufficiale di Pidgin installa malware. Scopri le misure di...

Smartphone1 settimana fa

HZ Rat: malware per macOS mirato a WeChat e DingTalk

Tempo di lettura: 3 minuti. HZ Rat, un malware per macOS, raccoglie dati da WeChat e DingTalk, evidenziando rischi di...

Microsoft ExChange Microsoft ExChange
Sicurezza Informatica2 settimane fa

Microsoft risolve due vulnerabilità in 365 e Exchange Online

Tempo di lettura: 2 minuti. Recentemente, Microsoft ha affrontato due problemi significativi nei suoi servizi Microsoft 365 e Exchange Online....

Sicurezza Informatica2 settimane fa

SonicWall e Versa: vulnerabilità critiche e soluzioni di sicurezza

Tempo di lettura: 2 minuti. Scopri le recenti vulnerabilità critiche nei sistemi SonicWall SonicOS e Versa Director, e le soluzioni...

Smartphone2 settimane fa

Sedexp: nuovo malware per Linux che nasconde Codici di Skimming

Tempo di lettura: 2 minuti. Scopri il malware sedexp per Linux, che utilizza tecniche avanzate di persistenza tramite regole udev...

Sicurezza Informatica2 settimane fa

Malware Cthulhu Stealer per macOS: nuovo pericolo per Apple

Tempo di lettura: 3 minuti. Il malware Cthulhu Stealer prende di mira gli utenti macOS per rubare credenziali e criptovalute:...

Sicurezza Informatica2 settimane fa

Phishing: centinaia di negozi Online Magento compromessi

Tempo di lettura: 2 minuti. Scopri come una nuova campagna di phishing ha compromesso centinaia di negozi online, rubando dati...

Sicurezza Informatica2 settimane fa

Phishing attraverso applicazioni PWA: nuova minaccia mobile

Tempo di lettura: 2 minuti. Scopri come le applicazioni PWA vengono sfruttate per attacchi di phishing su dispositivi mobile, colpendo...

Truffe recenti

Sicurezza Informatica1 mese fa

Scam internazionale tramite Facebook e app: ERIAKOS e malware SMS stealer

Tempo di lettura: 4 minuti. Analisi delle campagne di scam ERIAKOS e del malware SMS Stealer che mirano gli utenti...

Sicurezza Informatica1 mese fa

Meta banna 60.000 Yahoo Boys in Nigeria per sextortion

Tempo di lettura: 3 minuti. Meta combatte le truffe di estorsione finanziaria dalla Nigeria, rimuovendo migliaia di account e collaborando...

Inchieste2 mesi fa

Idealong.com chiuso, ma attenti a marketideal.xyz e bol-it.com

Tempo di lettura: 2 minuti. Dopo aver svelato la truffa Idealong, abbiamo scoperto altri link che ospitano offerte di lavoro...

Inchieste2 mesi fa

Idealong.com spilla soldi ed assolda lavoratori per recensioni false

Tempo di lettura: 4 minuti. Il metodo Idealong ha sostituito Mazarsiu e, dalle segnalazioni dei clienti, la truffa agisce su...

Sicurezza Informatica2 mesi fa

Truffa lavoro online: Mazarsiu sparito, attenti a idealong.com

Tempo di lettura: 2 minuti. Dopo il sito Mazarsiu, abbandonato dai criminali dopo le inchieste di Matrice Digitale, emerge un...

fbi fbi
Sicurezza Informatica3 mesi fa

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica3 mesi fa

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste3 mesi fa

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Inchieste4 mesi fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Pharmapiuit.com Pharmapiuit.com
Inchieste4 mesi fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Tech

Smartphone17 ore fa

Apple iPhone 16: nuovi colori e Bluetooth 6.0

Tempo di lettura: 3 minuti. Scopri tutte le novità dell'evento Apple del 9 settembre 2024, inclusi l'iPhone 16 con nuove...

Samsung headset XR Samsung headset XR
Tech17 ore fa

Samsung attende XR Glasses, ISOCELL HP9 e Bluetooth 6.0

Tempo di lettura: 3 minuti. Samsung annuncia XR Glasses, ISOCELL HP9 da 200 MP e Bluetooth 6.0, con grandi innovazioni...

Tech18 ore fa

Apple Watch Ultra 3, AirPods 4 e Beats: le novità attese il 9 Settembre

Tempo di lettura: 4 minuti. Apple si prepara a lanciare una serie di nuovi prodotti durante l’attesissimo evento “It’s Glowtime”...

Smartphone20 ore fa

Apple Intelligence iPhone 16: novità prima del lancio

Tempo di lettura: 5 minuti. L'iPhone 16 è in arrivo con un aggiornamento della fotocamera Ultra-Wide e nuovi caricabatterie Ugreen...

Smartphone21 ore fa

Aggiornamenti di sicurezza di settembre 2024 e nuovi Samsung

Tempo di lettura: 2 minuti. Samsung rilascia l'aggiornamento di sicurezza di settembre 2024, mentre il Galaxy Note 20 riceve aggiornamenti...

Smartphone22 ore fa

Samsung aggiorna e dismette pieghevoli e tablet: ecco quali

Tempo di lettura: 3 minuti. Samsung aggiorna il Galaxy Z Fold 6 con l'ultima patch di sicurezza, ma termina il...

Smartphone2 giorni fa

Honor Magic V3 e Huawei Tri-fold: i super pieghevoli

Tempo di lettura: 5 minuti. Honor presenta il Magic V3, il telefono pieghevole più sottile, mentre Huawei anticipa il suo...

Smartphone2 giorni fa

Samsung Galaxy espande le funzionalità AI con One UI 6.1.1

Tempo di lettura: 3 minuti. Samsung introduce nuove funzionalità AI con l'aggiornamento One UI 6.1.1, migliorando l'esperienza utente sui dispositivi...

Tech3 giorni fa

Intel Core Ultra 200V: nuovi processori Lunar Lake

Tempo di lettura: 3 minuti. Intel lancia i processori Core Ultra 200V Lunar Lake, promettendo miglioramenti nelle prestazioni grafiche, AI...

Tech3 giorni fa

Nothing: due nuovi smartphone misteriosi e Ear in arrivo

Tempo di lettura: 2 minuti. Nothing prepara due nuovi smartphone e lancia gli auricolari Ear Open: ultime novità e offerte...

Tendenza