Sicurezza Informatica
Log4j: la Cina sospende l’accordo con Alibaba, che si pente
Il regolatore internet della Cina, il Ministero dell’Industria e dell’Information Technology (MIIT), ha temporaneamente sospeso una partnership con Alibaba Cloud, la filiale di cloud computing del gigante dell’e-commerce Alibaba Group, per sei mesi a causa del fatto che non è riuscito a informare tempestivamente il governo su una vulnerabilità di sicurezza critica che colpisce la libreria di Log4j ampiamente utilizzata.
La fonte di questa notizia è un rapporto del 21st Century Business Herald, un quotidiano cinese di business-news.
“Alibaba Cloud non ha immediatamente segnalato le vulnerabilità nel popolare framework di log open-source Apache Log4j2 al regolatore delle telecomunicazioni della Cina“, riferisce Reuters. “In risposta, il MIIT ha sospeso una partnership di cooperazione con l’unità cloud per quanto riguarda le minacce di cybersecurity e le piattaforme di condivisione delle informazioni”.
Backup automatico di GitHub
Tracciata come CVE-2021-44228 (punteggio CVSS: 10.0) e chiamata in codice Log4Shell o LogJam, la catastrofica falla nella sicurezza permette ad attori malintenzionati di eseguire da remoto codice arbitrario ottenendo una stringa appositamente creata e registrata dal software.
Log4Shell è venuto alla luce dopo che Chen Zhaojun del team di sicurezza di Alibaba ha inviato una e-mail avvisando la Apache Software Foundation (ASF) il 24 novembre circa la falla, aggiungendo che “ha un grande impatto”. Ma proprio mentre la correzione veniva messa in atto, i dettagli della vulnerabilità sono stati condivisi su una piattaforma di blogging cinese da un attore non identificato l’8 dicembre, inviando il team Apache a rilasciare una patch il 10 dicembre.
Dopo la divulgazione pubblica del bug, Log4Shell è stato soggetto a un diffuso sfruttamento da parte di attori minacciosi per prendere il controllo dei server suscettibili, grazie all’uso quasi onnipresente della libreria, che può essere trovata in una varietà di servizi consumer e aziendali, siti web e applicazioni – così come nei prodotti tecnologici operativi – che si basano su di essa per registrare informazioni sulla sicurezza e sulle prestazioni.
Nei giorni successivi, ulteriori indagini su Log4j da parte della comunità di cybersicurezza hanno scoperto altre tre debolezze nello strumento basato su Java, spingendo i manutentori del progetto a distribuire una serie di aggiornamenti di sicurezza per contenere attacchi reali che sfruttano le falle.
Il Governo colpisce, detta nuove linee, e Alibaba si scusa
Il pushback del MIIT arriva mesi dopo che il governo cinese ha emesso nuovi regolamenti di divulgazione delle vulnerabilità più severi che incaricano i fornitori di software e di rete colpiti da falle critiche, compresi i ricercatori, di segnalare in prima persona alle autorità governative entro e non oltre due giorni.
Nel mese di settembre, il Governo ha lanciato una direttiva “sulla sicurezza del cyberspazio e i database professionali delle vulnerabilità” per la segnalazione delle vulnerabilità di sicurezza nelle reti, app mobili, sistemi di controllo industriale, auto intelligenti, dispositivi IoT, e altri prodotti internet che potrebbero essere presi di mira da attori minacciosi.
Dopo che il regolatore della sicurezza internet cinese ha abbandonato Alibaba Cloud dalla sua partnership di cyber threat intelligence per sei mesi, la società di cloud computing ha detto che avrebbe lavorato per migliorare la sua gestione del rischio, sostenendo di non aver compreso appieno la gravità della falla ed è per questo che non ha condiviso i dettagli con il governo in modo tempestivo.
Sicurezza Informatica
Cisco risolve vulnerabilità critiche in IOS XR
Tempo di lettura: 2 minuti. Cisco rilascia aggiornamenti per vulnerabilità critiche in IOS XR. Proteggi i tuoi sistemi da escalation di privilegi e DoS.
Cisco ha recentemente pubblicato una serie di avvisi di sicurezza riguardanti vulnerabilità critiche nei loro prodotti, in particolare nel sistema operativo IOS XR. Questi avvisi evidenziano potenziali rischi di sicurezza che potrebbero portare a escalation di privilegi, denial of service (DoS) e altri tipi di attacchi. Di seguito una panoramica delle vulnerabilità e delle possibili conseguenze:
- Cisco NSO Auth Bypass Vulnerability
- Questo avviso riguarda una vulnerabilità che permette a un attaccante di bypassare l’autenticazione e ottenere privilegi elevati in Cisco Network Services Orchestrator (NSO). La vulnerabilità può essere sfruttata tramite una gestione web non sicura.
- Link alla vulnerabilità
- Cisco IOS XR Software Network Convergence System DoS Vulnerability
- Questa vulnerabilità consente a un attaccante remoto di causare un Denial of Service su dispositivi che eseguono il software Cisco IOS XR. L’attacco sfrutta la gestione dei servizi di rete.
- Link alla vulnerabilità
- Cisco IOS XR Software IS-IS Denial of Service Vulnerability
- Questa vulnerabilità riguarda il routing segmentato per IS-IS (Intermediate System-to-Intermediate System) che può portare a un DoS, interrompendo il traffico di rete.
- Link alla vulnerabilità
- Cisco IOS XR Software Dedicated XML Agent TCP DoS Vulnerability
- Un attaccante potrebbe sfruttare una debolezza nel gestore XML di Cisco IOS XR per causare un DoS inviando richieste TCP appositamente create.
- Link alla vulnerabilità
- Cisco IOS XR Software CLI Arbitrary File Read Vulnerability
- Questa vulnerabilità permette a un attaccante di utilizzare l’interfaccia CLI per leggere file arbitrari nel sistema, con il rischio di esposizione di dati sensibili.
- Link alla vulnerabilità
- Cisco IOS XR Software CLI Privilege Escalation Vulnerability
- Un bug che consente a un utente con accesso limitato di ottenere privilegi di root sul sistema.
- Link alla vulnerabilità
- Cisco Routed Passive Optical Network Controller Vulnerabilities
- Questa vulnerabilità riguarda il controller di rete passiva ottica (PON), che può essere sfruttata per accedere a funzionalità non autorizzate.
- Link alla vulnerabilità
- Cisco IOS XR Software UDP Packet Memory Exhaustion Vulnerability
- Un attaccante può causare l’esaurimento della memoria tramite pacchetti UDP, portando a un potenziale DoS.
- Link alla vulnerabilità
Le vulnerabilità descritte rappresentano una minaccia significativa per i sistemi non aggiornati. Si consiglia di seguire le istruzioni di Cisco per aggiornare il software e mitigare i rischi.
Sicurezza Informatica
Microsoft risolve problemi di prestazioni su Windows Server e corregge una vulnerabilità zero-day sfruttata dal 2018
Tempo di lettura: 2 minuti. Microsoft risolve i problemi di prestazioni di Windows Server e una vulnerabilità zero-day in Smart App Control attivamente sfruttata dal 2018.
Negli ultimi aggiornamenti, Microsoft ha risolto importanti problemi legati a Windows Server e una vulnerabilità zero-day che era stata sfruttata da attori malevoli dal 2018.
Problemi di prestazioni su Windows Server risolti con aggiornamento di settembre 2024
Microsoft ha rilasciato l’aggiornamento cumulativo KB5043050 per risolvere i problemi di prestazioni e blocchi che affliggevano Windows Server 2019 in seguito agli aggiornamenti di sicurezza di agosto 2024. Questi problemi includevano il rallentamento del sistema, utilizzo eccessivo della CPU e blocchi durante il boot del server, specialmente in presenza di software antivirus che eseguivano scansioni su file di sistema. Gli amministratori di sistema avevano segnalato che il processo di Antimalware Service Executable era collegato a questi problemi, causando un utilizzo anomalo delle risorse.
Microsoft ha risolto il problema con l’aggiornamento rilasciato a settembre, raccomandando l’installazione del pacchetto cumulativo più recente. Per gli amministratori che non possono implementare immediatamente l’aggiornamento, è stato reso disponibile un criterio di rollback tramite Group Policy, che può essere applicato per mitigare temporaneamente il problema.
Vulnerabilità zero-day in Windows Smart App Control sfruttata dal 2018
Microsoft ha anche risolto una vulnerabilità critica, tracciata come CVE-2024-38217, che permetteva agli attaccanti di bypassare le protezioni di Smart App Control e SmartScreen. Questa vulnerabilità consentiva di eseguire file dannosi senza attivare avvisi di sicurezza come il Mark of the Web (MotW), una protezione essenziale per bloccare esecuzioni di file sospetti.
Sfruttata attraverso una tecnica nota come LNK stomping, la vulnerabilità consentiva agli attori malevoli di manipolare i file LNK (scorciatoie di Windows) in modo che Windows Explorer aggiornasse automaticamente il file, rimuovendo il marchio di sicurezza MotW e consentendo l’esecuzione del file dannoso. Elastic Security Labs ha rivelato che questa vulnerabilità è stata sfruttata attivamente dal 2018 e ha fornito esempi di attacchi documentati su VirusTotal.
La correzione di Microsoft per questa vulnerabilità è stata inclusa negli aggiornamenti di settembre, garantendo che Windows Smart App Control e SmartScreen funzionino correttamente per bloccare l’esecuzione di file potenzialmente pericolosi.
Gli aggiornamenti di settembre di Microsoft non solo risolvono gravi problemi di prestazioni sui Windows Server, ma proteggono anche i sistemi da una vulnerabilità zero-day sfruttata per anni. Gli amministratori di sistema sono incoraggiati a implementare immediatamente gli aggiornamenti per evitare ulteriori problemi di sicurezza e prestazioni.
Sicurezza Informatica
Truffa “Il tuo partner ti tradisce”: chiedono di pagare per vedere le prove
Tempo di lettura: < 1 minuto. Una nuova truffa “Il tuo partner ti tradisce” chiede il pagamento per vedere prove false. Scopri come proteggerti dalle frodi online.
Una nuova truffa di sextortion sta circolando via email, sfruttando tattiche manipolative per ingannare le vittime, dove i truffatori inviano un messaggio affermando che il partner del destinatario sta tradendo, e offrono “prove” a pagamento. L’obiettivo è convincere le persone a pagare circa 2.500 dollari in Bitcoin per ottenere l’accesso ai presunti dati del partner.
Il messaggio tipico è formulato così:
“Il tuo partner sta tradendo. Abbiamo fatto un backup completo del suo dispositivo e abbiamo accesso a tutti i suoi contatti, messaggi e account sui social media. Pagando, ti daremo accesso a tutte le prove.”
I link presenti nel messaggio conducono spesso a siti che chiedono un pagamento in criptovaluta o presentano una schermata di login, che potrebbe rubare ulteriori informazioni personali.
Come agiscono i truffatori?
Gli attaccanti sfruttano dati personali provenienti da fughe di informazioni o violazioni di database per rendere i messaggi più credibili. In alcuni casi, usano nomi reali del partner della vittima, ottenuti attraverso social media o dati esposti in precedenti violazioni. Ad esempio, alcuni utenti di un sito di pianificazione matrimoniale, The Knot, hanno riportato di aver ricevuto queste email truffaldine, suggerendo che gli scammer potrebbero aver utilizzato credenziali compromesse da tale piattaforma.
Cosa fare in caso di email truffaldine?
- Non rispondere: rispondere conferma al truffatore che l’indirizzo email è attivo.
- Cambia la password: se l’email contiene una password che utilizzi ancora, assicurati di cambiarla immediatamente.
- Evita di cliccare sui link o aprire allegati: potrebbero installare malware o sottrarre ulteriori informazioni personali.
Per verificare quali dati personali potrebbero essere esposti, è possibile utilizzare strumenti come il Digital Footprint Scan offerto da Malwarebytes.
- Tech4 giorni fa
IFA 2024: tutte le novità in questo speciale
- Economia1 settimana fa
IdentifAI chiude un round di investimento da 2,2 milioni di euro
- Tech1 settimana fa
Meta Quest 3S VR in arrivo, c’è la certificazione FCC
- Smartphone1 giorno fa
Huawei Mate XT: il primo smartphone pieghevole tri-fold
- Inchieste5 giorni fa
Stretta contro la disinformazione russa e WhisperGate
- Tech3 giorni fa
iPhone 16 Pro Max e Galaxy Tab S10: novità tra 4K, 8K e tasto AI
- Tech1 settimana fa
OnePlus 13 e OnePlus Nord Buds 3: lancio atteso
- Sicurezza Informatica1 settimana fa
Nuove funzioni di ChatGPT e XCT in crisi: due mondi in contrasto