Connect with us

Sicurezza Informatica

Cisco: aggiornamenti di sicurezza critici per ASA, FMC e FTD

Tempo di lettura: 2 minuti. Cisco rilascia aggiornamenti critici per ASA, FTD e FMC, risolvendo vulnerabilità DoS e bypass delle regole IPS e politiche di sicurezza.

Pubblicato

in data

Cisco logo
Tempo di lettura: 2 minuti.

Cisco ha recentemente rilasciato una serie di avvisi di sicurezza che riguardano alcune vulnerabilità critiche nei suoi prodotti Adaptive Security Appliance (ASA), Firepower Threat Defense (FTD) e Firepower Management Center (FMC). Questi aggiornamenti sono essenziali per proteggere i sistemi da potenziali attacchi e garantire la sicurezza delle reti aziendali.

Cisco ASA e FTD: vulnerabilità Denial of Service (DoS)

Cisco ha identificato una vulnerabilità di Denial of Service (DoS) nel software Cisco ASA e FTD. Questa vulnerabilità è causata da una falla nell’ispezione DNS, che potrebbe permettere a un attaccante di mandare in crash il dispositivo interessato, causando un’interruzione del servizio.

Per mitigare questo rischio, Cisco ha rilasciato aggiornamenti software gratuiti. I clienti possono ottenere queste correzioni attraverso i canali di aggiornamento usuali, assicurandosi di avere licenze valide per le versioni del software utilizzate. È possibile consultare il Cisco Software Checker per verificare la vulnerabilità del proprio software e scaricare le versioni corrette.

Snort 3: Bypass delle Regole IPS HTTP

Una vulnerabilità nel sistema di prevenzione delle intrusioni HTTP (IPS) di Snort 3, utilizzato in diversi prodotti Cisco, potrebbe permettere a un attaccante di bypassare le regole di sicurezza. Questa vulnerabilità riguarda principalmente i dispositivi che eseguono Cisco Firepower Threat Defense (FTD) Software con Snort 3 attivo.

Gli utenti possono determinare se Snort 3 è in esecuzione sui loro dispositivi consultando la documentazione specifica o utilizzando i comandi di configurazione di Cisco FTD. Anche per questa vulnerabilità, Cisco ha rilasciato aggiornamenti software che risolvono il problema.

Bypass delle Politiche di File Archiviati Crittografati

Cisco ha anche segnalato una vulnerabilità che permette il bypass delle politiche per i file archiviati crittografati nel software Cisco Firepower Threat Defense (FTD). Questa vulnerabilità potrebbe permettere a un attaccante di eludere le regole di sicurezza progettate per proteggere i dati sensibili.

Per affrontare questa minaccia, Cisco raccomanda di aggiornare i dispositivi FTD con le ultime versioni del software, seguendo le linee guida fornite nel Cisco Firepower Management Center Upgrade Guide.

Gli aggiornamenti di sicurezza rilasciati da Cisco sono cruciali per proteggere le reti aziendali da potenziali attacchi. Le vulnerabilità nei prodotti ASA, FTD e FMC possono esporre i sistemi a rischi significativi, rendendo essenziale l’adozione tempestiva degli aggiornamenti. Gli amministratori di rete dovrebbero consultare regolarmente le pagine di avvisi di sicurezza di Cisco e utilizzare strumenti come il Cisco Software Checker per garantire che i loro dispositivi siano protetti.

Sicurezza Informatica

SquidLoader: malware evasivo che colpisce la Cina

Tempo di lettura: 2 minuti. SquidLoader, un malware altamente evasivo, prende di mira le organizzazioni cinesi con tecniche avanzate di evasione e payload potenti come Cobalt Strike.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Il malware noto come SquidLoader è un nuovo tipo di loader altamente evasivo, recentemente scoperto da LevelBlue Labs. Questo malware viene distribuito attraverso allegati di phishing e ha l’obiettivo di caricare un secondo stadio di payload malware sui sistemi delle vittime. SquidLoader utilizza diverse tecniche avanzate per evitare l’analisi e la rilevazione, rendendolo una minaccia significativa per le organizzazioni cinesi.

Analisi del Loader

Il malware SquidLoader è stato osservato per la prima volta in campagne di phishing a fine aprile 2024. I campioni recuperati erano associati a nomi di file descrittivi relativi a prodotti di aziende cinesi come China Mobile Group, Jiaqi Intelligent Technology e Yellow River Conservancy Technical Institute. Questi file, pur apparendo come documenti Word, erano in realtà eseguibili binari.

Caratteristiche Tecniche
CaratteristicaDettagli
Tecniche di EvasioneCaricamento di payload tramite richieste GET HTTPS, utilizzo di certificati scaduti, codifica XOR
Payload SecondarioCobalt Strike, un noto strumento di simulazione per attacchi avanzati
CertificatiUtilizzo di certificati scaduti per evitare sospetti
C&C ServerImpiego di certificati autofirmati con dettagli come “localhost” e “Nanjing”

SquidLoader duplica se stesso in una posizione predefinita, come C:\\BakFiles\\install.exe, e si riavvia da lì, un tentativo di eseguire il loader con un nome non sospetto. Inoltre, il malware evita di scrivere il payload sul disco, caricandolo direttamente in memoria per ridurre il rischio di rilevamento.

Tecniche di Evasione

SquidLoader impiega diverse tecniche di evasione per evitare l’analisi:

  • Istruzioni Inutili o Oscure: Uso di istruzioni x86 inutili o rare, come “pause” e “mfence”, per confondere gli antivirus.
  • Sezioni di Codice Cifrate: Decifrazione del codice in memoria con una chiave XOR a 5 byte.
  • Stringhe Cripate nello Stack: Le stringhe sensibili sono cifrate e memorizzate nello stack per essere decifrate solo quando necessario.
  • Obfuscazione del Grafo di Controllo (CFG): Flattening del CFG in loop infiniti con istruzioni switch, rendendo difficile l’analisi statica.
  • Rilevamento del Debugger: Il malware si chiude se rileva la presenza di un debugger, modificando anche le funzioni API per evitare il traffico di rete.

Payload Secondario

Durante l’analisi, il payload secondario identificato era una versione modificata di Cobalt Strike, configurata per assomigliare al traffico di Kubernetes e per evitare l’analisi statica.

Metodi di Rilevazione

Per rilevare SquidLoader, LevelBlue Labs ha sviluppato firme IDS per SURICATA, che possono essere utilizzate per rilevare le richieste HTTP specifiche effettuate dal malware.

SquidLoader rappresenta una minaccia significativa per le organizzazioni, secondo LevelBlue, grazie alle sue avanzate tecniche di evasione e alla capacità di caricare payload potenti come Cobalt Strike. Questo malware è particolarmente preoccupante per le organizzazioni cinesi, ma le sue tecniche possono essere adottate da altri attori per colpire un pubblico più ampio.

Prosegui la lettura

Sicurezza Informatica

L’evoluzione dell’hacktivismo, ESET: minaccia crescente

Tempo di lettura: 2 minuti. L’hacktivismo evolve e diventa una minaccia crescente per le organizzazioni. Scopri le nuove tattiche e come gestire i rischi associati.

Pubblicato

in data

Tempo di lettura: 2 minuti.

L’hacktivismo, una fusione di hacking e attivismo, è un fenomeno noto da tempo, ma le recenti evoluzioni lo rendono una minaccia sempre più pericolosa per le organizzazioni private e pubbliche come indicato da ESET. L’invasione russa dell’Ucraina nel 2022 ha riportato l’hacktivismo sotto i riflettori, con gruppi e individui politicamente motivati che utilizzano tattiche sempre più sofisticate per far sentire la loro voce. Questa tendenza è stata osservata nuovamente durante il conflitto tra Israele e Hamas, con hacktivisti che utilizzano metodi avanzati per attirare l’attenzione pubblica.

Nuove tendenze nell’Hacktivismo

L’hacktivismo tradizionale prevedeva attacchi cyber per motivi politici o sociali, ma oggi le linee tra hacktivismo e operazioni statali sono sempre più sfumate. Questo fenomeno è preoccupante poiché molti gruppi sono sostenuti da attori statali, aumentando così la portata e l’efficacia delle loro azioni.

Tattiche tradizionali e Moderne

Durante il conflitto Israele-Hamas, sono state osservate numerose attività hacktiviste, tra cui:

  • Attacchi DDoS: Attacchi di negazione del servizio distribuiti hanno colpito numerose organizzazioni, con un picco di attività nel 2023.
  • Defacement di Siti Web: Oltre 500 attacchi di defacement sono stati lanciati contro siti web israeliani in una sola settimana.
  • Furto di Dati: Alcuni gruppi hanno rivendicato il furto e la pubblicazione di dati sensibili per danneggiare la reputazione delle vittime.

Al contempo, l’hacktivismo sta diventando più mirato e sofisticato. Ad esempio, il gruppo AnonGhost ha sfruttato una vulnerabilità API nell’app “Red Alert” per inviare messaggi spam agli utenti, mentre altri gruppi hanno affermato di aver avuto accesso ai sistemi SCADA israeliani.

Il coinvolgimento degli stati nazionali

Il sostegno statale agli hacktivisti non è una novità. Molti paesi hanno motivi geopolitici e ideologici per attaccare altri stati sotto la copertura dell’hacktivismo. Ad esempio, gruppi affiliati alla Russia come Anonymous Sudan hanno colpito numerosi obiettivi in Occidente. Questi attacchi non solo sono molto visibili, ma spesso includono sforzi di disinformazione, come l’uso di immagini generate dall’IA per manipolare l’opinione pubblica.

Come gestire i rischi dell’Hacktivismo

Indipendentemente dalla fonte dell’attacco, secondo Eset, le organizzazioni e le imprese possono adottare diverse misure per mitigare i rischi dell’hacktivismo:

  • Valutazione del Rischio: Identificare se l’organizzazione è un bersaglio e quali asset sono a rischio.
  • Risoluzione delle Vulnerabilità: Correggere continuamente le vulnerabilità e le configurazioni errate.
  • Protezione degli Asset: Implementare misure di sicurezza a livello di email, endpoint, rete e cloud ibrido.
  • Gestione delle Identità: Migliorare la gestione delle identità con architetture zero trust e autenticazione multi-fattore.
  • Intelligenza sulle Minacce: Raccogliere e analizzare informazioni sulle minacce emergenti.
  • Crittografia Robusta: Proteggere i dati sensibili con crittografia sia a riposo che in transito.
  • Formazione Continua: Educare continuamente i dipendenti sui rischi cyber.
  • Mitigazione DDoS: Collaborare con terze parti per mitigare gli attacchi DDoS.
  • Piano di Risposta agli Incidenti: Creare e testare un piano di risposta agli incidenti completo.

L’hacktivismo, con le sue linee sempre più sfumate tra attivismo politico e operazioni sponsorizzate dagli stati, rappresenta una minaccia crescente per le organizzazioni. Adottare misure proattive di gestione del rischio è essenziale per proteggere le infrastrutture critiche e le informazioni sensibili da questi attacchi sempre più sofisticati.

Prosegui la lettura

Sicurezza Informatica

Operazione di Probing DNS su scala globale: il caso Secshow

Tempo di lettura: 3 minuti. L’operazione Secshow rivela un probing DNS globale che sfrutta resolver aperti e amplificazione Cortex Xpanse

Pubblicato

in data

Tempo di lettura: 3 minuti.

Recenti ricerche condotte da Infoblox Threat Intel, in collaborazione con Dave Mitchell, hanno rivelato un’operazione di probing del sistema dei nomi di dominio (DNS) su scala globale che prende di mira i resolver aperti. Questa operazione, iniziata a giugno 2023, utilizza server DNS nella rete cinese di educazione e ricerca (CERNET) per identificare i resolver aperti e misurare le loro risposte a diversi tipi di query.

Cos’è Secshow?

Secshow è il nome attribuito a un attore cinese operante dalla rete CERNET, che conduce operazioni di probing DNS su scala globale. Questi probe mirano a trovare e misurare le risposte DNS di resolver aperti, dispositivi che, tipicamente a causa di configurazioni errate, risolvono o inoltrano qualsiasi query DNS ricevuta su internet. I resolver aperti rappresentano una vulnerabilità significativa e sono frequentemente utilizzati per attacchi di tipo Distributed Denial-of-Service (DDoS).

Dettagli dell’Operazione Secshow

Le operazioni di probing di Secshow si distinguono per la loro dimensione e l’invasività delle query. Utilizzando server dei nomi di dominio all’interno della CERNET, Secshow restituisce indirizzi IP casuali per una grande percentuale di query, innescando un’amplificazione delle query da parte del prodotto Cortex Xpanse di Palo Alto. Questo comportamento inquina le raccolte di DNS passivi a livello globale e ostacola la capacità di condurre ricerche affidabili sugli attori malevoli.

Secshow invia query DNS a indirizzi IP distribuiti globalmente, inclusi IPv4 e IPv6, con informazioni codificate come l’indirizzo IP target e un timestamp. Le risposte a queste query possono variare, inclusi la risoluzione della query da parte di un resolver aperto, la generazione di risposte ICMP o l’inoltro della query a un altro resolver.

Amplificazione di Cortex Xpanse

L’amplificazione delle query di Secshow da parte di Cortex Xpanse è dovuta alla combinazione di indirizzi IP casuali restituiti dai server dei nomi di dominio e il comportamento di Xpanse. Quando Cortex Xpanse rileva una risposta DNS, tenta di recuperare contenuti dall’indirizzo IP casuale, innescando ulteriori query DNS. Questo ciclo può trasformare una singola query di Secshow in un ciclo infinito di query, aumentando il traffico DNS in reti globali.

Impatto e Mitigazione

L’operazione Secshow ha creato un notevole impatto sulle reti dei clienti di Infoblox, con un aumento quasi di 200 volte delle query di Secshow in gennaio 2024. Per mitigare i rischi posti dai resolver aperti, è fondamentale identificarli e chiuderli. Le query per i domini Secshow nei log DNS possono indicare la presenza di un resolver aperto nella rete o scansioni effettuate da Cortex Xpanse.

Strategie di Mitigazione

  1. Identificazione e Chiusura dei Resolver Aperti: Individuare e chiudere i resolver aperti nella rete per ridurre le vulnerabilità.
  2. Filtraggio dei Contenuti e Rilevamento delle Anomalie: Implementare meccanismi avanzati di filtraggio dei contenuti e algoritmi di rilevamento delle anomalie per bloccare le attività sospette.
  3. Autenticazione degli Utenti: Rafforzare i protocolli di autenticazione per prevenire accessi non autorizzati.

L’operazione Secshow, analizzata da Infobox, evidenzia la potenza del probing DNS effettuato da un attore con accesso alla dorsale di internet. Le attività di probing su larga scala di Secshow hanno cercato informazioni sulle configurazioni dei resolver aperti e delle reti, utilizzabili per attività malevoli. L’amplificazione delle query di Secshow da parte di Cortex Xpanse ha ulteriormente complicato l’analisi delle minacce, richiedendo misure di mitigazione proattive da parte delle organizzazioni.

Prosegui la lettura

Facebook

CYBERSECURITY

Sicurezza Informatica17 ore fa

SquidLoader: malware evasivo che colpisce la Cina

Tempo di lettura: 2 minuti. SquidLoader, un malware altamente evasivo, prende di mira le organizzazioni cinesi con tecniche avanzate di...

Sicurezza Informatica19 ore fa

Operazione di Probing DNS su scala globale: il caso Secshow

Tempo di lettura: 3 minuti. L'operazione Secshow rivela un probing DNS globale che sfrutta resolver aperti e amplificazione Cortex Xpanse

Sicurezza Informatica19 ore fa

Morris II: malware auto-replicante che compromette assistenti Email con AI

Tempo di lettura: 2 minuti. Morris II, il malware auto-replicante che minaccia gli assistenti email GenAI, richiede misure di sicurezza...

Sicurezza Informatica2 giorni fa

Bug in Windows 10 e ONNX Phishing: ultime novità e minacce

Tempo di lettura: 2 minuti. Scopri il bug di Windows 10 che causa dialoghi "Apri con" e la nuova minaccia...

Sicurezza Informatica3 giorni fa

Compromissione PowerShell: nuove tecniche di attacco

Tempo di lettura: 2 minuti. Meta descrizione: Una nuova tecnica di attacco utilizza ingegneria sociale per indurre gli utenti a...

Sicurezza Informatica3 giorni fa

ASUS risolve vulnerabilità critica su 7 modelli di router

Tempo di lettura: 2 minuti. ASUS risolve una vulnerabilità critica di bypass dell'autenticazione su sette modelli di router, invitando gli...

Sicurezza Informatica4 giorni fa

Linux in sofferenza con due malware: TIKTAG e DISGOMOJI

Tempo di lettura: 3 minuti. Nuovi attacchi TIKTAG e malware DISGOMOJI minacciano la sicurezza di Google Chrome, sistemi Linux e...

Sicurezza Informatica5 giorni fa

Modelli di machine learning con attacchi Sleepy a file Pickle

Tempo di lettura: 3 minuti. La tecnica Sleepy Pickle sfrutta i file Pickle per compromettere i modelli di machine learning,...

CISA logo CISA logo
Sicurezza Informatica6 giorni fa

CISA: vulnerabilità sfruttate e truffatori telefonici

Tempo di lettura: 2 minuti. La CISA avverte di una vulnerabilità di Windows sfruttata in attacchi ransomware e segnala truffe...

Sicurezza Informatica7 giorni fa

OpenAI nomina ex capo NSA nel Consiglio di Amministrazione

Tempo di lettura: 2 minuti. OpenAI nomina Paul M. Nakasone, ex capo NSA, nel Consiglio di Amministrazione: conflitto di interessi...

Truffe recenti

fbi fbi
Sicurezza Informatica2 settimane fa

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica3 settimane fa

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste3 settimane fa

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Inchieste4 settimane fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Pharmapiuit.com Pharmapiuit.com
Inchieste1 mese fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste1 mese fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste1 mese fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Sicurezza Informatica1 mese fa

BogusBazaar falsi e-commerce usati per una truffa da 50 milioni

Tempo di lettura: 2 minuti. Oltre 850,000 persone sono state ingannate da una rete di 75,000 falsi negozi online, con...

Sicurezza Informatica1 mese fa

Truffatori austriaci scappano dagli investitori, ma non dalla legge

Tempo di lettura: 2 minuti. Le forze dell'ordine hanno smascherato e arrestato un gruppo di truffatori austriaci dietro una frode...

Shein Shein
Truffe online2 mesi fa

Truffa dei buoni SHEIN da 300 euro, scopri come proteggerti

Tempo di lettura: < 1 minuto. La truffa dei buoni SHEIN da 300 euro sta facendo nuovamente vittime in Italia,...

Tech

Tech10 ore fa

Realme Buds Air 6 Pro vs Galaxy Buds 3: confronto dettagliato

Tempo di lettura: 3 minuti. Confronto tra Realme Buds Air 6 Pro e Galaxy Buds 3: scopri le differenze in...

Smartphone10 ore fa

Samsung Galaxy A53 5G, S23 FE e One UI 6.1.1: novità e aggiornamenti

Tempo di lettura: 2 minuti. Aggiornamenti di sicurezza per Samsung Galaxy A53 5G e Galaxy S23 FE, e nuove funzionalità...

Intelligenza Artificiale10 ore fa

Amazon prodotti AI Generative in Italia

Tempo di lettura: 2 minuti. Amazon estende le sue inserzioni di prodotti AI generative a Francia, Germania, Italia, Spagna e...

Smartphone10 ore fa

Realme GT 6 vs Realme GT 6T: differenze e specifiche

Tempo di lettura: 3 minuti. Confronto tra Realme GT 6 e Realme GT 6T: differenze in termini di fotocamera, prestazioni...

Intelligenza Artificiale10 ore fa

Claude 3.5 Sonnet: nuovo modello AI di Anthropic

Tempo di lettura: 2 minuti. Anthropic Claude 3.5 Sonnet: modello AI più veloce e intelligente, con nuove funzionalità come Artifacts...

Smartphone11 ore fa

Samsung Galaxy Z Fold 6, Z Flip 6 e S25 Ultra: novità e specifiche

Tempo di lettura: 2 minuti. Scopri le specifiche avanzate del Samsung Galaxy Z Fold 6, Z Flip 6 e Galaxy...

Tech11 ore fa

Samsung One UI 7: ritardo causato dalla versione 6.1.1

Tempo di lettura: 2 minuti. Samsung potrebbe ritardare One UI 7 per concentrarsi sugli aggiornamenti AI di One UI 6.1.1:...

Tech11 ore fa

Exynos 1330 vs Snapdragon 695: quale smartphone scegliere?

Tempo di lettura: 2 minuti. Confronto tra Samsung Exynos 1330 e Qualcomm Snapdragon 695: specifiche tecniche, punteggi di benchmark e...

Smartphone16 ore fa

HyperOS vs MIUI: le differenze nelle personalizzazioni di Xiaomi

Tempo di lettura: 2 minuti. Scopri le principali differenze tra HyperOS e MIUI di Xiaomi: prestazioni ottimizzate, interfaccia utente raffinata...

Smartphone16 ore fa

Motorola Razr Plus 2024 vs Samsung Galaxy Z Flip 6: quale fotocamera vince?

Tempo di lettura: 2 minuti. Motorola Razr Plus 2024 potrebbe superare il Samsung Galaxy Z Flip 6 grazie alla fotocamera...

Tendenza