Connect with us

Sicurezza Informatica

Operazione di Probing DNS su scala globale: il caso Secshow

Tempo di lettura: 3 minuti. L’operazione Secshow rivela un probing DNS globale che sfrutta resolver aperti e amplificazione Cortex Xpanse

Pubblicato

in data

Tempo di lettura: 3 minuti.

Recenti ricerche condotte da Infoblox Threat Intel, in collaborazione con Dave Mitchell, hanno rivelato un’operazione di probing del sistema dei nomi di dominio (DNS) su scala globale che prende di mira i resolver aperti. Questa operazione, iniziata a giugno 2023, utilizza server DNS nella rete cinese di educazione e ricerca (CERNET) per identificare i resolver aperti e misurare le loro risposte a diversi tipi di query.

Cos’è Secshow?

Secshow è il nome attribuito a un attore cinese operante dalla rete CERNET, che conduce operazioni di probing DNS su scala globale. Questi probe mirano a trovare e misurare le risposte DNS di resolver aperti, dispositivi che, tipicamente a causa di configurazioni errate, risolvono o inoltrano qualsiasi query DNS ricevuta su internet. I resolver aperti rappresentano una vulnerabilità significativa e sono frequentemente utilizzati per attacchi di tipo Distributed Denial-of-Service (DDoS).

Dettagli dell’Operazione Secshow

Le operazioni di probing di Secshow si distinguono per la loro dimensione e l’invasività delle query. Utilizzando server dei nomi di dominio all’interno della CERNET, Secshow restituisce indirizzi IP casuali per una grande percentuale di query, innescando un’amplificazione delle query da parte del prodotto Cortex Xpanse di Palo Alto. Questo comportamento inquina le raccolte di DNS passivi a livello globale e ostacola la capacità di condurre ricerche affidabili sugli attori malevoli.

Secshow invia query DNS a indirizzi IP distribuiti globalmente, inclusi IPv4 e IPv6, con informazioni codificate come l’indirizzo IP target e un timestamp. Le risposte a queste query possono variare, inclusi la risoluzione della query da parte di un resolver aperto, la generazione di risposte ICMP o l’inoltro della query a un altro resolver.

Amplificazione di Cortex Xpanse

L’amplificazione delle query di Secshow da parte di Cortex Xpanse è dovuta alla combinazione di indirizzi IP casuali restituiti dai server dei nomi di dominio e il comportamento di Xpanse. Quando Cortex Xpanse rileva una risposta DNS, tenta di recuperare contenuti dall’indirizzo IP casuale, innescando ulteriori query DNS. Questo ciclo può trasformare una singola query di Secshow in un ciclo infinito di query, aumentando il traffico DNS in reti globali.

Impatto e Mitigazione

L’operazione Secshow ha creato un notevole impatto sulle reti dei clienti di Infoblox, con un aumento quasi di 200 volte delle query di Secshow in gennaio 2024. Per mitigare i rischi posti dai resolver aperti, è fondamentale identificarli e chiuderli. Le query per i domini Secshow nei log DNS possono indicare la presenza di un resolver aperto nella rete o scansioni effettuate da Cortex Xpanse.

Strategie di Mitigazione

  1. Identificazione e Chiusura dei Resolver Aperti: Individuare e chiudere i resolver aperti nella rete per ridurre le vulnerabilità.
  2. Filtraggio dei Contenuti e Rilevamento delle Anomalie: Implementare meccanismi avanzati di filtraggio dei contenuti e algoritmi di rilevamento delle anomalie per bloccare le attività sospette.
  3. Autenticazione degli Utenti: Rafforzare i protocolli di autenticazione per prevenire accessi non autorizzati.

L’operazione Secshow, analizzata da Infobox, evidenzia la potenza del probing DNS effettuato da un attore con accesso alla dorsale di internet. Le attività di probing su larga scala di Secshow hanno cercato informazioni sulle configurazioni dei resolver aperti e delle reti, utilizzabili per attività malevoli. L’amplificazione delle query di Secshow da parte di Cortex Xpanse ha ulteriormente complicato l’analisi delle minacce, richiedendo misure di mitigazione proattive da parte delle organizzazioni.

Sicurezza Informatica

Violazione dei Dati di AT&T: Compromessi i dati di tutti i Clienti

Tempo di lettura: 2 minuti. Violazione dei dati di AT&T che ha compromesso i registri telefonici di oltre 100 milioni di clienti e le implicazioni per la sicurezza.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Recentemente, AT&T ha subito una grave violazione dei dati che ha compromesso i registri telefonici di oltre 100 milioni di clienti. Questo articolo esamina i dettagli della violazione, le implicazioni per i clienti e le misure adottate dalla società per affrontare la situazione.

Dettagli della violazione

Nel 2022, hacker hanno rubato i registri telefonici di oltre 100 milioni di clienti AT&T, includendo dati come:

  • Numeri di telefono
  • Conteggi di chiamate e SMS
  • Durata delle chiamate
  • Identificatori dei siti cellulari

Tempistiche e indagini

AT&T ha riferito la violazione alla U.S. Securities and Exchange Commission (SEC) e ha collaborato con le forze dell’ordine, portando all’arresto di un sospettato. La violazione ha interessato i dati delle chiamate e degli SMS dal 1 maggio 2022 al 31 ottobre 2022, con un’altra violazione minore il 2 gennaio 2023.

Estensione dell’impatto

La violazione ha coinvolto anche i clienti di altre reti che utilizzano l’infrastruttura di AT&T, come Cricket Wireless, Boost Mobile e Consumer Cellular. AT&T ha annunciato che contatterà tutti i 110 milioni di clienti interessati per informarli della violazione.

Origine della violazione

Un portavoce di AT&T ha confermato che la violazione è stata causata da un account compromesso su Snowflake, una piattaforma cloud di terze parti. Incidenti simili sono stati osservati anche in Ticketmaster e QuoteWizard, anch’essi legati a Snowflake. La mancanza di autenticazione a più fattori sull’account AT&T ha permesso agli hacker di accedere ai dati.

Implicazioni e risposte

Motivazioni e utilizzo dei dati

Gli esperti di cybersecurity di Mandiant attribuiscono la violazione al gruppo criminale UNC5537, con una probabile motivazione finanziaria. Sebbene gli hacker non abbiano avuto accesso ai contenuti delle chiamate e dei messaggi o a informazioni personali come nomi, numeri di sicurezza sociale o date di nascita, i dati rubati potrebbero comunque essere utilizzati per frodi.

Ritardi nella comunicazione

Un aspetto controverso di questa violazione è stato il ritardo nella comunicazione al pubblico. AT&T era a conoscenza della violazione ad aprile ma ha rinviato l’annuncio due volte, in accordo con l’FBI e il Dipartimento di Giustizia, per motivi di sicurezza nazionale e pubblica. Questo ritardo solleva domande sulla trasparenza e sulla gestione delle informazioni sensibili.

Misure di sicurezza aggiuntive

AT&T ha creato un sito web dedicato per fornire risposte e informazioni sull’accaduto. La società ha sottolineato la necessità di migliorare la sicurezza informatica, in particolare l’implementazione dell’autenticazione a più fattori, sia per i clienti che per i fornitori.

Questa recente violazione dei dati rappresenta un ulteriore colpo per gli sforzi di sicurezza informatica di AT&T, arrivando poco dopo una precedente perdita che ha interessato oltre 70 milioni di clienti. Sebbene AT&T affermi che gli incidenti non siano correlati, queste violazioni consecutive sollevano serie preoccupazioni sulla strategia di sicurezza dei dati dell’azienda e sulla sua capacità di proteggere le informazioni dei clienti.

Prosegui la lettura

Sicurezza Informatica

Vulnerabilità in Modern Events Calendar: migliaia di WordPress a rischio

Tempo di lettura: 2 minuti. Vulnerabilità critica nel plugin Modern Events Calendar consente il caricamento arbitrario di file da parte di utenti autenticati

Pubblicato

in data

Tempo di lettura: 2 minuti.

Una vulnerabilità critica è stata identificata nel plugin WordPress Modern Events Calendar, che consente a utenti autenticati con ruolo di Subscriber o superiore di caricare file arbitrari. Questa falla di sicurezza è presente nelle versioni fino alla 7.11.0 e può essere sfruttata per compromettere il sito web.

Dettagli della vulnerabilità

ID della Vulnerabilità

  • CVE ID: Non specificato
  • Tipo di Vulnerabilità: Caricamento Arbitrario di File
  • Livello di Gravità: Critico
  • Versioni Interessate: Modern Events Calendar fino alla versione 7.11.0

Descrizione

La vulnerabilità consente a un utente autenticato con privilegi di Subscriber o superiori di caricare file arbitrari sul server. Questo può includere file eseguibili, come script PHP, che possono essere utilizzati per ottenere l’accesso completo al server web. Il caricamento di file arbitrari è possibile a causa di una verifica insufficiente dei file caricati, permettendo agli attaccanti di bypassare le restrizioni di caricamento.

Impatti potenziali

L’exploit di questa vulnerabilità può portare a vari problemi di sicurezza, tra cui:

  • Esecuzione di Codice Remoto: Gli attaccanti possono caricare ed eseguire script dannosi sul server.
  • Compromissione del Server: Accesso non autorizzato ai dati sensibili memorizzati sul server.
  • Defacement del Sito: Modifica non autorizzata del contenuto del sito web.
  • Distribuzione di Malware: Utilizzo del server compromesso per distribuire malware agli utenti del sito.

Soluzioni e Mitigazioni

Aggiornamento del Plugin

Gli sviluppatori di Modern Events Calendar hanno rilasciato una patch per questa vulnerabilità nella versione 7.11.1. Gli amministratori di siti web dovrebbero aggiornare immediatamente il plugin all’ultima versione disponibile per mitigare questo rischio.

Misure di Sicurezza Aggiuntive

  • Controllo dei File Caricati: Implementare controlli rigorosi sui tipi di file che possono essere caricati e verificare che solo i file con estensioni sicure siano accettati.
  • Limitare i Permessi: Ridurre i permessi degli utenti, assicurandosi che solo gli utenti strettamente necessari abbiano accesso ai ruoli con privilegi di caricamento.
  • Monitoraggio del Sistema: Utilizzare strumenti di monitoraggio per rilevare attività sospette o anomale sul server.
  • Backup Regolari: Mantenere backup regolari del sito web per garantire il ripristino rapido in caso di compromissione.

La vulnerabilità nel plugin Modern Events Calendar rappresenta un rischio significativo per i siti web che utilizzano versioni non aggiornate del plugin. È fondamentale che gli amministratori di siti web aggiornino immediatamente alla versione 7.11.1 o superiore e implementino misure di sicurezza aggiuntive per proteggere i loro sistemi.

Link all’articolo completo su Wordfence

Prosegui la lettura

Sicurezza Informatica

Attacco RADIUS: panoramica dettagliata

Tempo di lettura: 3 minuti. Il protocollo RADIUS può essere compromesso utilizzando tecniche avanzate di collisione MD5 per eseguire attacchi di autenticazione stealth

Pubblicato

in data

Tempo di lettura: 3 minuti.

Il protocollo RADIUS (Remote Authentication Dial-In User Service) è fondamentale per l’infrastruttura di rete moderna ed un attacco inciderebbe molto su scala globale. Sebbene progettato nel 1991, rimane lo standard de facto per l’autenticazione leggera utilizzata per l’accesso remoto a dispositivi di rete. RADIUS è supportato da quasi tutti i prodotti di switch, router, access point e concentratori VPN venduti negli ultimi venti anni.

Meccanismo del Protocollo RADIUS

In RADIUS, un NAS (Network Access Server) funge da client che verifica le credenziali dell’utente finale tramite richieste RADIUS a un server centrale. Il client RADIUS e il server condividono un segreto fisso. Il server risponde con un messaggio di accettazione o rifiuto (Access-Accept o Access-Reject).

Le richieste e le risposte possono contenere campi etichettati chiamati “attributi” che specificano vari parametri, come nome utente e password nella richiesta o accesso alla rete nella risposta. I pacchetti di richiesta includono un valore chiamato Request Authenticator, essenzialmente un nonce casuale, mentre i pacchetti di risposta includono un valore chiamato Response Authenticator, che dovrebbe proteggere l’integrità delle risposte del server.

Vulnerabilità di RADIUS

Costruzione del Response Authenticator

Il Response Authenticator viene calcolato come segue: MD5(Code∣∣ID∣∣Length∣∣Request Authenticator∣∣Packet Attributes∣∣Shared Secret)\text{MD5}(\text{Code} || \text{ID} || \text{Length} || \text{Request Authenticator} || \text{Packet Attributes} || \text{Shared Secret})MD5(Code∣∣ID∣∣Length∣∣Request Authenticator∣∣Packet Attributes∣∣Shared Secret) Dove:

  • ID e Request Authenticator sono valori casuali nella richiesta.
  • Code, Length, e Packet Attributes sono valori nella risposta del server.
  • Shared Secret è il segreto condiviso tra client e server, sconosciuto all’attaccante.

Attacco contro RADIUS

L’attacco permette a un uomo nel mezzo tra il client e il server RADIUS di falsificare una risposta Access-Accept valida a una richiesta di autenticazione fallita. L’attaccante inietta un attributo Proxy-State malevolo in una richiesta client valida. Questo attributo viene garantito di essere restituito dal server nella risposta. L’attaccante costruisce il Proxy-State in modo che i valori Response Authenticator tra la risposta valida e quella che l’attaccante vuole falsificare siano identici. Questo inganno fa sì che il NAS conceda all’attaccante l’accesso ai dispositivi e servizi di rete senza dover indovinare o forzare le password o i segreti condivisi.

Passaggi dell’Attacco

  1. L’attaccante inserisce il nome utente di un utente privilegiato e una password arbitrariamente errata.
  2. Questo causa al client RADIUS di un dispositivo di rete vittima di generare una richiesta Access-Request, che include un valore casuale di 16 byte chiamato Request Authenticator.
  3. L’attaccante intercetta questa richiesta e utilizza l’Access-Request per prevedere il formato della risposta del server (che sarà un Access-Reject poiché la password inserita è errata). L’attaccante quindi calcola una collisione MD5 tra l’Access-Reject previsto e una risposta Access-Accept che desidera falsificare.
  4. Dopo aver calcolato la collisione, l’attaccante aggiunge RejectGibberish al pacchetto Access-Request, mascherato come attributo Proxy-State.
  5. Il server che riceve questa richiesta modificata verifica la password dell’utente, decide di rifiutare la richiesta e risponde con un pacchetto Access-Reject, includendo l’attributo Proxy-State.
  6. L’attaccante intercetta questa risposta e verifica che il formato del pacchetto corrisponda al modello previsto. Se sì, l’attaccante sostituisce la risposta con Access-Accept e AcceptGibberish e la invia con l’Response Authenticator non modificato al client.
  7. A causa della collisione MD5, l’Access-Accept inviato dall’attaccante viene verificato con l’Response Authenticator, inducendo il client RADIUS a credere che il server abbia approvato la richiesta di login e concedendo l’accesso all’attaccante.

Questa descrizione è semplificata. In particolare, è stato necessario un lavoro crittografico per dividere il gibberish della collisione MD5 tra più attributi Proxy-State formattati correttamente e ottimizzare e parallelizzare l’attacco di collisione MD5 per eseguire in minuti invece che ore.

Per una descrizione completa, si prega di leggere il paper.

Prosegui la lettura

Facebook

CYBERSECURITY

Sicurezza Informatica2 giorni fa

Vulnerabilità in Modern Events Calendar: migliaia di WordPress a rischio

Tempo di lettura: 2 minuti. Vulnerabilità critica nel plugin Modern Events Calendar consente il caricamento arbitrario di file da parte...

Sicurezza Informatica2 giorni fa

Attacco RADIUS: panoramica dettagliata

Tempo di lettura: 3 minuti. Il protocollo RADIUS può essere compromesso utilizzando tecniche avanzate di collisione MD5 per eseguire attacchi...

Sicurezza Informatica2 giorni fa

ViperSoftX sfrutta AutoIt e CLR per l’esecuzione Stealth di PowerShell

Tempo di lettura: 3 minuti. ViperSoftX utilizza AutoIt e CLR per eseguire comandi PowerShell in modo stealth, eludendo i meccanismi...

Sicurezza Informatica2 giorni fa

Malware Poco RAT mira vittime di lingua spagnola

Tempo di lettura: 3 minuti. Poco RAT, nuovo malware che prende di mira le vittime di lingua spagnola con campagne...

Microsoft teams Microsoft teams
Sicurezza Informatica2 giorni fa

Falso Microsoft Teams per Mac distribuisce Atomic Stealer

Tempo di lettura: 2 minuti. Un falso Microsoft Teams per Mac distribuisce il malware Atomic Stealer tramite una campagna di...

CISA logo CISA logo
Sicurezza Informatica2 giorni fa

CISA hackera Agenzia Federale USA: vulnerabilità critiche Svelate

Tempo di lettura: 2 minuti. CISA svela vulnerabilità critiche in un'agenzia federale USA attraverso un'esercitazione di red team SILENTSHIELD

Sicurezza Informatica2 giorni fa

DarkGate usa file Excel per diffondere malware

Tempo di lettura: 3 minuti. DarkGate utilizza file Excel per diffondere malware sofisticato. Scopri come funziona questa minaccia e come...

Sicurezza Informatica3 giorni fa

SSH sotto attacco a causa di bug e vulnerabilità

Tempo di lettura: 3 minuti. Scopri le nuove minacce di CRYSTALRAY e la vulnerabilità di OpenSSH in RHEL 9. Approfondisci...

Sicurezza Informatica4 giorni fa

CoreTech: accordo con TuxCare migliora sicurezza negli ambienti Linux

Tempo di lettura: 2 minuti. L'accordo migliora lo standard qualitativo dell'offerta Linux per quel che concerne la risposta alle vulnerabilità

CISA logo CISA logo
Sicurezza Informatica5 giorni fa

CISA aggiornamenti per Citrix, Adobe, ICS e vulnerabilità sfruttate

Tempo di lettura: 3 minuti. CISA rilascia aggiornamenti per Citrix e Adobe e sette consigli per i sistemi di controllo...

Truffe recenti

Inchieste6 giorni fa

Idealong.com chiuso, ma attenti a marketideal.xyz e bol-it.com

Tempo di lettura: 2 minuti. Dopo aver svelato la truffa Idealong, abbiamo scoperto altri link che ospitano offerte di lavoro...

Inchieste1 settimana fa

Idealong.com spilla soldi ed assolda lavoratori per recensioni false

Tempo di lettura: 4 minuti. Il metodo Idealong ha sostituito Mazarsiu e, dalle segnalazioni dei clienti, la truffa agisce su...

Sicurezza Informatica2 settimane fa

Truffa lavoro online: Mazarsiu sparito, attenti a idealong.com

Tempo di lettura: 2 minuti. Dopo il sito Mazarsiu, abbandonato dai criminali dopo le inchieste di Matrice Digitale, emerge un...

fbi fbi
Sicurezza Informatica1 mese fa

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica2 mesi fa

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste2 mesi fa

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Inchieste2 mesi fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Pharmapiuit.com Pharmapiuit.com
Inchieste2 mesi fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste2 mesi fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste2 mesi fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Tech

Antutu logo Antutu logo
Smartphone5 ore fa

I migliori 10 smartphone Android su AnTuTu per Giugno 2024

Tempo di lettura: 5 minuti. I migliori 10 smartphone Android su AnTuTu per giugno 2024, con modelli di ASUS, nubia,...

Smartphone5 ore fa

Realme 13 Pro: specifiche tecniche e prestazioni su Geekbench

Tempo di lettura: 2 minuti. Realme 13 Pro ha specifiche avanzate come il processore Snapdragon 7s Gen 2, fotocamere da...

Tech19 ore fa

Galaxy Z Flip 6 migliora rispetto al 3 e Galaxy Buds 3 meglio del 2

Tempo di lettura: 3 minuti. Galaxy Z Flip 6 ha miglioramenti rispetto al Z Flip 3 ed il nuovo design...

Smartphone20 ore fa

OPPO F27 Pro Plus vs Poco F6: quale scegliere?

Tempo di lettura: 2 minuti. Confronta OPPO F27 Pro Plus e Poco F6: scopri quale smartphone offre migliori specifiche, design,...

Smartphone20 ore fa

Galaxy S25 Ultra e Samsung Exynos 2500: novità e anticipazioni

Tempo di lettura: 2 minuti. Novità sul Galaxy S25 Ultra e l'Exynos 2500 di Samsung, con miglioramenti nel design e...

Tech20 ore fa

Aggiornamenti Chrome: ultime novità per Android, iOS e Desktop

Tempo di lettura: 2 minuti. Scopri gli ultimi aggiornamenti di Chrome Dev e Beta per Android, iOS, ChromeOS e desktop,...

Smartphone21 ore fa

OPPO Reno 12 Pro vs OnePlus 12R: quale scegliere?

Tempo di lettura: 3 minuti. Confronta OPPO Reno 12 Pro 5G e OnePlus 12R 5G: scopri quale smartphone offre migliori...

Smartphone2 giorni fa

Nubia Z60 Ultra con Snapdragon 8 Gen 3 Leading Version in arrivo

Tempo di lettura: 2 minuti. Nubia Z60 Ultra con Snapdragon 8 Gen 3 Leading Version potente per prestazioni estreme: caratteristiche...

Smartphone2 giorni fa

Motorola Edge 50 Neo e Infinix Zero Flip: specifiche, colori e novità

Tempo di lettura: 2 minuti. Scopri le specifiche e i colori del Motorola Edge 50 Neo e dell'Infinix Zero Flip,...

Intelligenza Artificiale2 giorni fa

Goldman Sachs: Intelligenza Artificiale è troppo costosa e inaffidabile?

Tempo di lettura: 2 minuti. Opinioni contrastanti in Goldman Sachs sugli investimenti in AI, i loro costi elevati e l'affidabilità,...

Tendenza