Sicurezza Informatica
Sospetti su APT cinese per vulnerabilità zero-day di Barracuda
Tempo di lettura: < 1 minuto. Hacker sospettati di essere legati alla Cina hanno compromesso server di posta elettronica del governo degli Stati Uniti sfruttando una vulnerabilità zero-day nel Barracuda Email Security Gateway.
Gli hacker, sospettati di avere legami con la Cina, hanno mirato e compromesso organizzazioni governative e collegate al governo in tutto il mondo, sfruttando una vulnerabilità zero-day nel Barracuda Email Security Gateway (ESG). Questi attacchi si sono concentrati in particolare sulle entità nelle Americhe.
Un attacco mirato alle agenzie governative
Quasi un terzo delle apparecchiature compromesse in questa campagna apparteneva ad agenzie governative, principalmente tra ottobre e dicembre 2022, come riportato da un rapporto di Mandiant pubblicato oggi. Numerosi uffici governativi a livello di stato, provincia, contea, tribù, città e paese sono stati presi di mira in questa campagna, in particolare in Nord America.
Motivazioni e modalità dell’attacco
L’obiettivo degli attacchi era l’espionaggio. L’attore minaccioso, identificato come UNC4841, ha effettuato esfiltrazioni mirate da sistemi appartenenti a utenti di alto profilo in settori governativi e tecnologici. Barracuda ha avvertito i clienti della vulnerabilità il 20 maggio, patchando tutti i dispositivi vulnerabili. Dieci giorni dopo, la società ha rivelato che il bug zero-day era stato sfruttato per almeno sette mesi, dallo scorso ottobre, per diffondere malware sconosciuto e rubare dati dai sistemi compromessi.
Malware e strumenti utilizzati
Gli aggressori hanno utilizzato malware precedentemente sconosciuti, tra cui SeaSpy e Saltwater, e uno strumento malevolo, SeaSide, per ottenere accesso remoto ai sistemi compromessi attraverso shell inverse. CISA ha condiviso dettagli su altri malware, Submarine e Whirlpool, utilizzati negli stessi attacchi come payload in fasi successive per mantenere la persistenza.
Risposta e raccomandazioni dell’FBI
Nonostante Mandiant e Barracuda non abbiano ancora trovato prove di nuovi dispositivi ESG compromessi dopo le patch, l’FBI ha avvertito la scorsa settimana che le patch sono “inefficaci” e che i dispositivi patchati continuano ad essere compromessi in attacchi in corso. L’FBI ha anche rafforzato l’avviso di Barracuda ai clienti di isolare e sostituire immediatamente le apparecchiature compromesse.
Sicurezza Informatica
Cisco risolve vulnerabilità critiche in IOS XR
Tempo di lettura: 2 minuti. Cisco rilascia aggiornamenti per vulnerabilità critiche in IOS XR. Proteggi i tuoi sistemi da escalation di privilegi e DoS.
Cisco ha recentemente pubblicato una serie di avvisi di sicurezza riguardanti vulnerabilità critiche nei loro prodotti, in particolare nel sistema operativo IOS XR. Questi avvisi evidenziano potenziali rischi di sicurezza che potrebbero portare a escalation di privilegi, denial of service (DoS) e altri tipi di attacchi. Di seguito una panoramica delle vulnerabilità e delle possibili conseguenze:
- Cisco NSO Auth Bypass Vulnerability
- Questo avviso riguarda una vulnerabilità che permette a un attaccante di bypassare l’autenticazione e ottenere privilegi elevati in Cisco Network Services Orchestrator (NSO). La vulnerabilità può essere sfruttata tramite una gestione web non sicura.
- Link alla vulnerabilità
- Cisco IOS XR Software Network Convergence System DoS Vulnerability
- Questa vulnerabilità consente a un attaccante remoto di causare un Denial of Service su dispositivi che eseguono il software Cisco IOS XR. L’attacco sfrutta la gestione dei servizi di rete.
- Link alla vulnerabilità
- Cisco IOS XR Software IS-IS Denial of Service Vulnerability
- Questa vulnerabilità riguarda il routing segmentato per IS-IS (Intermediate System-to-Intermediate System) che può portare a un DoS, interrompendo il traffico di rete.
- Link alla vulnerabilità
- Cisco IOS XR Software Dedicated XML Agent TCP DoS Vulnerability
- Un attaccante potrebbe sfruttare una debolezza nel gestore XML di Cisco IOS XR per causare un DoS inviando richieste TCP appositamente create.
- Link alla vulnerabilità
- Cisco IOS XR Software CLI Arbitrary File Read Vulnerability
- Questa vulnerabilità permette a un attaccante di utilizzare l’interfaccia CLI per leggere file arbitrari nel sistema, con il rischio di esposizione di dati sensibili.
- Link alla vulnerabilità
- Cisco IOS XR Software CLI Privilege Escalation Vulnerability
- Un bug che consente a un utente con accesso limitato di ottenere privilegi di root sul sistema.
- Link alla vulnerabilità
- Cisco Routed Passive Optical Network Controller Vulnerabilities
- Questa vulnerabilità riguarda il controller di rete passiva ottica (PON), che può essere sfruttata per accedere a funzionalità non autorizzate.
- Link alla vulnerabilità
- Cisco IOS XR Software UDP Packet Memory Exhaustion Vulnerability
- Un attaccante può causare l’esaurimento della memoria tramite pacchetti UDP, portando a un potenziale DoS.
- Link alla vulnerabilità
Le vulnerabilità descritte rappresentano una minaccia significativa per i sistemi non aggiornati. Si consiglia di seguire le istruzioni di Cisco per aggiornare il software e mitigare i rischi.
Sicurezza Informatica
Microsoft risolve problemi di prestazioni su Windows Server e corregge una vulnerabilità zero-day sfruttata dal 2018
Tempo di lettura: 2 minuti. Microsoft risolve i problemi di prestazioni di Windows Server e una vulnerabilità zero-day in Smart App Control attivamente sfruttata dal 2018.
Negli ultimi aggiornamenti, Microsoft ha risolto importanti problemi legati a Windows Server e una vulnerabilità zero-day che era stata sfruttata da attori malevoli dal 2018.
Problemi di prestazioni su Windows Server risolti con aggiornamento di settembre 2024
Microsoft ha rilasciato l’aggiornamento cumulativo KB5043050 per risolvere i problemi di prestazioni e blocchi che affliggevano Windows Server 2019 in seguito agli aggiornamenti di sicurezza di agosto 2024. Questi problemi includevano il rallentamento del sistema, utilizzo eccessivo della CPU e blocchi durante il boot del server, specialmente in presenza di software antivirus che eseguivano scansioni su file di sistema. Gli amministratori di sistema avevano segnalato che il processo di Antimalware Service Executable era collegato a questi problemi, causando un utilizzo anomalo delle risorse.
Microsoft ha risolto il problema con l’aggiornamento rilasciato a settembre, raccomandando l’installazione del pacchetto cumulativo più recente. Per gli amministratori che non possono implementare immediatamente l’aggiornamento, è stato reso disponibile un criterio di rollback tramite Group Policy, che può essere applicato per mitigare temporaneamente il problema.
Vulnerabilità zero-day in Windows Smart App Control sfruttata dal 2018
Microsoft ha anche risolto una vulnerabilità critica, tracciata come CVE-2024-38217, che permetteva agli attaccanti di bypassare le protezioni di Smart App Control e SmartScreen. Questa vulnerabilità consentiva di eseguire file dannosi senza attivare avvisi di sicurezza come il Mark of the Web (MotW), una protezione essenziale per bloccare esecuzioni di file sospetti.
Sfruttata attraverso una tecnica nota come LNK stomping, la vulnerabilità consentiva agli attori malevoli di manipolare i file LNK (scorciatoie di Windows) in modo che Windows Explorer aggiornasse automaticamente il file, rimuovendo il marchio di sicurezza MotW e consentendo l’esecuzione del file dannoso. Elastic Security Labs ha rivelato che questa vulnerabilità è stata sfruttata attivamente dal 2018 e ha fornito esempi di attacchi documentati su VirusTotal.
La correzione di Microsoft per questa vulnerabilità è stata inclusa negli aggiornamenti di settembre, garantendo che Windows Smart App Control e SmartScreen funzionino correttamente per bloccare l’esecuzione di file potenzialmente pericolosi.
Gli aggiornamenti di settembre di Microsoft non solo risolvono gravi problemi di prestazioni sui Windows Server, ma proteggono anche i sistemi da una vulnerabilità zero-day sfruttata per anni. Gli amministratori di sistema sono incoraggiati a implementare immediatamente gli aggiornamenti per evitare ulteriori problemi di sicurezza e prestazioni.
Sicurezza Informatica
Truffa “Il tuo partner ti tradisce”: chiedono di pagare per vedere le prove
Tempo di lettura: < 1 minuto. Una nuova truffa “Il tuo partner ti tradisce” chiede il pagamento per vedere prove false. Scopri come proteggerti dalle frodi online.
Una nuova truffa di sextortion sta circolando via email, sfruttando tattiche manipolative per ingannare le vittime, dove i truffatori inviano un messaggio affermando che il partner del destinatario sta tradendo, e offrono “prove” a pagamento. L’obiettivo è convincere le persone a pagare circa 2.500 dollari in Bitcoin per ottenere l’accesso ai presunti dati del partner.
Il messaggio tipico è formulato così:
“Il tuo partner sta tradendo. Abbiamo fatto un backup completo del suo dispositivo e abbiamo accesso a tutti i suoi contatti, messaggi e account sui social media. Pagando, ti daremo accesso a tutte le prove.”
I link presenti nel messaggio conducono spesso a siti che chiedono un pagamento in criptovaluta o presentano una schermata di login, che potrebbe rubare ulteriori informazioni personali.
Come agiscono i truffatori?
Gli attaccanti sfruttano dati personali provenienti da fughe di informazioni o violazioni di database per rendere i messaggi più credibili. In alcuni casi, usano nomi reali del partner della vittima, ottenuti attraverso social media o dati esposti in precedenti violazioni. Ad esempio, alcuni utenti di un sito di pianificazione matrimoniale, The Knot, hanno riportato di aver ricevuto queste email truffaldine, suggerendo che gli scammer potrebbero aver utilizzato credenziali compromesse da tale piattaforma.
Cosa fare in caso di email truffaldine?
- Non rispondere: rispondere conferma al truffatore che l’indirizzo email è attivo.
- Cambia la password: se l’email contiene una password che utilizzi ancora, assicurati di cambiarla immediatamente.
- Evita di cliccare sui link o aprire allegati: potrebbero installare malware o sottrarre ulteriori informazioni personali.
Per verificare quali dati personali potrebbero essere esposti, è possibile utilizzare strumenti come il Digital Footprint Scan offerto da Malwarebytes.
- Tech4 giorni fa
IFA 2024: tutte le novità in questo speciale
- Economia1 settimana fa
IdentifAI chiude un round di investimento da 2,2 milioni di euro
- Tech1 settimana fa
Meta Quest 3S VR in arrivo, c’è la certificazione FCC
- Smartphone2 giorni fa
Huawei Mate XT: il primo smartphone pieghevole tri-fold
- Inchieste5 giorni fa
Stretta contro la disinformazione russa e WhisperGate
- Tech3 giorni fa
iPhone 16 Pro Max e Galaxy Tab S10: novità tra 4K, 8K e tasto AI
- Tech1 settimana fa
OnePlus 13 e OnePlus Nord Buds 3: lancio atteso
- Sicurezza Informatica1 settimana fa
Nuove funzioni di ChatGPT e XCT in crisi: due mondi in contrasto