Sicurezza Informatica
Spyware USA, dopo Pegasus, operazione contro Predator: sanzioni e smantellamento dell’infrastruttura
Tempo di lettura: 2 minuti. USA sanzionano Intellexa Alliance e lo spyware Predator, intensificando la lotta all’abuso di software spia e la violazione dei diritti umani.
Gli USA intensificano la loro lotta contro il software spia Predator, con l’Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro che ha recentemente sanzionato individui ed entità legate all’Intellexa Alliance, responsabile dello sviluppo, gestione e distribuzione di spyware commerciale. Queste misure mirano a contrastare l’uso improprio di tali tecnologie, che hanno visto il loro impiego nel mirare a funzionari governativi, giornalisti ed esperti politici, oltre a essere utilizzate da attori stranieri per abusi sui diritti umani e repressione.
Dettagli sulle sanzioni
Le sanzioni hanno colpito due individui e cinque entità, tra cui Tal Jonathan Dilian, fondatore dell’Intellexa Consortium, e Sara Aleksandra Fayssal Hamou, una specialista in offshoring aziendale che ha fornito servizi manageriali all’Intellexa Consortium. Le aziende sanzionate dagli USA includono Intellexa S.A., con sede in Grecia, Intellexa Limited in Irlanda, Cytrox AD in Macedonia del Nord, Cytrox Holdings ZRT in Ungheria e Thalestris Limited in Irlanda, quest’ultima detentrice dei diritti di distribuzione dello spyware Predator.
Effetti delle sanzioni
Queste designazioni, insieme a precedenti aggiunte alla lista di blocco economico, segnano un passo significativo nella lotta contro la proliferazione di spyware commerciale e tecnologie di sorveglianza. La decisione dell’OFAC è stata descritta come un evento importante da John Scott-Railton, ricercatore di sicurezza presso Citizen Lab, sottolineando l’importanza di stabilire regole chiare per lo sviluppo responsabile e l’utilizzo di queste tecnologie, garantendo al contempo la protezione dei diritti umani e delle libertà civili.
Risposta agli esposti
In seguito a rivelazioni dettagliate sull’infrastruttura di Predator da parte di Recorded Future e Sekoia, gli operatori dello spyware hanno proceduto allo smantellamento dei server, segnando la seconda volta che l’infrastruttura viene dismessa dopo un’esposizione pubblica. Nonostante ciò, gli esperti avvertono che Predator potrebbe riemergere, sebbene le recenti azioni possano spingere a un rinnovamento più sostanziale e distinto dell’infrastruttura.
Queste iniziative dimostrano l’impegno degli Stati Uniti nel contrastare l’abuso di spyware commerciale e rafforzano la necessità di una cooperazione internazionale per affrontare le minacce alla privacy e alla sicurezza digitale.
Sicurezza Informatica
Cisco, vulnerabilità Denial of Service: cosa fare?
Tempo di lettura: 2 minuti. Cisco ha pubblicato diversi avvisi di vulnerabilità legate a Denial of Service su dispositivi IOS XE e Catalyst.
Recentemente, Cisco ha pubblicato diversi avvisi di sicurezza riguardanti vulnerabilità che coinvolgono vari componenti e software della sua infrastruttura, in particolare legati a problemi di Denial of Service (DoS). Questi problemi rappresentano una minaccia significativa per la stabilità delle reti aziendali e devono essere affrontati tempestivamente attraverso l’implementazione di patch e aggiornamenti. Vediamo nel dettaglio i principali avvisi pubblicati.
Cisco IOS XE: Vulnerabilità di Denial of Service tramite Frammentazione IPv4
Una vulnerabilità è stata scoperta nel sistema Cisco IOS XE legata alla ricomposizione dei frammenti IPv4. Questa vulnerabilità potrebbe consentire a un attaccante remoto di esaurire le risorse del dispositivo, provocando un’interruzione dei servizi e rendendo il sistema incapace di elaborare nuovi pacchetti IP. Questa falla, denominata CVE-2024-20860, riguarda dispositivi che eseguono una specifica versione del software IOS XE. Cisco raccomanda un aggiornamento immediato per mitigare il rischio.
Cross-Site Request Forgery (CSRF) nell’interfaccia Web di Cisco IOS XE
Un’altra vulnerabilità critica risiede nell’interfaccia Web di Cisco IOS XE, dove un attaccante potrebbe sfruttare una falla di Cross-Site Request Forgery (CSRF). Questa vulnerabilità potrebbe consentire l’esecuzione di azioni non autorizzate nel contesto della sessione di amministrazione, qualora l’amministratore sia indotto a visitare un sito web malevolo. L’aggiornamento del software è essenziale per prevenire tali attacchi.
Denial of Service nei router SD-WAN Catalyst
Nel software dei router Cisco Catalyst SD-WAN, una vulnerabilità può essere sfruttata per causare un Denial of Service. Il problema si verifica durante la gestione del traffico SD-WAN, dove un pacchetto appositamente costruito può interrompere la normale operatività del dispositivo. Questo tipo di vulnerabilità, se non risolto, potrebbe avere un impatto significativo sulle reti aziendali che utilizzano la tecnologia SD-WAN per il routing e la gestione del traffico.
Protocollo RSVP: Vulnerabilità Denial of Service in Cisco IOS e IOS XE
Anche il Protocollo di Prenotazione delle Risorse (RSVP) in Cisco IOS e IOS XE è soggetto a una vulnerabilità che può portare a un Denial of Service. In questo caso, un attaccante potrebbe inviare pacchetti RSVP malevoli per esaurire le risorse del router o del dispositivo di rete, bloccando l’elaborazione di ulteriori richieste.
Denial of Service nel Protocollo Multicast Indipendente
Nel software Cisco IOS XE, è stato rilevato un problema di Denial of Service legato al Protocollo Multicast Indipendente (PIM). Un attaccante potrebbe sfruttare questa vulnerabilità inviando pacchetti multicast malformati, compromettendo così l’integrità del dispositivo e provocando un’interruzione temporanea dei servizi multicast.
Vulnerabilità negli Edge Node di Cisco SD-Access
Un’altra vulnerabilità riguarda i nodi SD-Access Fabric Edge. L’exploit di questa falla potrebbe consentire a un attaccante remoto di provocare un Denial of Service attraverso l’invio di pacchetti manipolati, impedendo al dispositivo di elaborare correttamente il traffico di rete.
Denial of Service nel server HTTP di Cisco IOS XE
Il server HTTP presente nei dispositivi Cisco IOS XE utilizzati per i servizi di telefonia potrebbe essere vulnerabile a un attacco DoS. La vulnerabilità, legata alla gestione delle richieste HTTP, può portare a un blocco completo del servizio, influenzando la gestione delle chiamate.
Vulnerabilità nelle chiavi SSH di Cisco Catalyst Center
Infine, Cisco ha segnalato una vulnerabilità nel Cisco Catalyst Center, relativa all’uso di chiavi SSH statiche. Un attaccante che riuscisse a ottenere l’accesso alle chiavi statiche potrebbe compromettere la sicurezza del sistema, rendendo vulnerabile l’intera rete.
Questi avvisi di sicurezza di Cisco evidenziano la necessità di aggiornamenti tempestivi per mitigare le numerose vulnerabilità scoperte. Le aziende devono agire prontamente per evitare exploit e garantire la continuità operativa delle loro reti, implementando le patch di sicurezza fornite da Cisco.
Sicurezza Informatica
CISA: otto avvisi ICS e vulnerabilità critica su Ivanti vTM
Tempo di lettura: 2 minuti. CISA pubblica otto avvisi sui sistemi di controllo industriale e segnala una vulnerabilità critica su Ivanti vTM, già sfruttata attivamente.
La Cybersecurity and Infrastructure Security Agency (CISA) ha recentemente pubblicato importanti avvisi riguardanti la sicurezza dei sistemi di controllo industriale (ICS) e ha segnalato una vulnerabilità critica su Ivanti Virtual Traffic Manager (vTM). Queste comunicazioni riflettono le crescenti preoccupazioni relative alla sicurezza informatica e alla protezione delle infrastrutture critiche, evidenziando l’importanza di adottare misure preventive per mitigare i rischi.
Otto avvisi per i sistemi di controllo industriale (ICS)
Il 24 settembre 2024, la CISA ha pubblicato otto nuovi avvisi riguardanti i sistemi di controllo industriale (ICS). Questi avvisi forniscono dettagli tecnici e suggerimenti per la mitigazione delle vulnerabilità presenti nei sistemi ICS, spesso utilizzati in settori cruciali come l’energia, la produzione e i trasporti. La crescente interconnessione dei sistemi ICS con reti esterne li rende vulnerabili a potenziali cyber attacchi, e la CISA ha sottolineato l’urgenza di implementare misure di sicurezza per prevenire possibili exploit.
- ICSA-24-268-01 OPW Fuel Management Systems SiteSentinel
- ICSA-24-268-02 Alisonic Sibylla
- ICSA-24-268-03 Franklin Fueling Systems TS-550 EVO
- ICSA-24-268-04 Dover Fueling Solutions ProGauge MAGLINK LX CONSOLE
- ICSA-24-268-05 Moxa MXview One
- ICSA-24-268-06 OMNTEC Proteus Tank Monitoring
- ICSA-24-156-01 Uniview NVR301-04S2-P4 (Update A)
- ICSA-19-274-01 Interpeak IPnet TCP/IP Stack (Update E)
Gli amministratori di sistema e gli operatori sono stati invitati a consultare i dettagli tecnici degli avvisi e ad adottare immediatamente le misure necessarie per proteggere le infrastrutture. La sicurezza dei sistemi ICS è fondamentale, poiché una violazione potrebbe avere conseguenze devastanti, compromettendo la produzione industriale e mettendo a rischio le operazioni di intere infrastrutture.
Ivanti vTM: Vulnerabilità critica e rischio di exploit
Sempre il 24 settembre 2024, la CISA ha segnalato una vulnerabilità critica legata al software Ivanti Virtual Traffic Manager (vTM), identificata come CVE-2024-7593, con un punteggio CVSS di 9.8. Questa vulnerabilità consente a un attaccante remoto non autenticato di bypassare l’autenticazione dell’admin panel, creando utenti amministrativi malintenzionati. Si tratta di una grave minaccia per la sicurezza, in quanto potrebbe dare agli hacker un controllo totale sui sistemi vulnerabili.
CVE-2024-7593 Ivanti Virtual Traffic Manager Authentication Bypass Vulnerability
Ivanti ha rilasciato una patch per risolvere il problema nelle versioni 22.2R1, 22.3R3, 22.5R2, 22.6R2 e 22.7R2 nel mese di agosto 2024, ma l’exploit è già in uso attivo, con una prova di concetto (PoC) disponibile pubblicamente. Questa vulnerabilità mette a rischio numerosi dispositivi, in particolare nel contesto delle agenzie federali degli Stati Uniti, che sono state obbligate a correggere il problema entro il 15 ottobre 2024.
Inoltre, Censys ha rivelato che ci sono oltre 2.000 istanze esposte di Ivanti Cloud Service Appliance (CSA) online, molte delle quali negli Stati Uniti. La vulnerabilità rappresenta una seria minaccia per le organizzazioni che non hanno ancora implementato le patch necessarie per proteggere i loro sistemi da potenziali attacchi.
La CISA sta facendo tutto il possibile per sensibilizzare le organizzazioni riguardo alle vulnerabilità nei sistemi di controllo industriale ICS e nei software critici come Ivanti vTM. Con la crescente sofisticazione degli attacchi informatici, è fondamentale che le aziende e le agenzie governative adottino misure tempestive per proteggere le loro reti e i loro sistemi da potenziali exploit.
Sicurezza Informatica
Taiwan respinge le accuse della Cina su Anonymous64
Tempo di lettura: 2 minuti. Taiwan smentisce le accuse cinesi di aver sponsorizzato cyberattacchi contro la Cina, mentre Pechino sostiene che Anonymous64 sia parte delle forze cibernetiche taiwanesi.
Il governo di Taiwan ha categoricamente respinto le accuse avanzate dalla Cina riguardo a presunte attività di cyber attacchi sponsorizzate dalla sua forza militare che sono state formulate lunedì dal Ministero della Sicurezza di Stato cinese attraverso il canale ufficiale WeChat, in cui si sostiene che un gruppo hacker denominato Anonymous64 avrebbe tentato di ottenere il controllo su portali web, schermi elettronici e televisioni di rete in Cina continentale, Hong Kong e Macao, al fine di diffondere contenuti critici nei confronti del sistema di governo cinese.
Secondo il Ministero, le indagini avrebbero rivelato che Anonymous64 non sarebbe un semplice gruppo hacker indipendente, bensì una divisione facente parte del Comando delle Forze di Informazione, Comunicazione ed Elettronica (ICEFCOM) taiwanese, cioè l’ala dedicata alla guerra cibernetica dell’isola. Pechino ha inoltre pubblicato le foto di tre cittadini taiwanesi che sarebbero stati coinvolti nelle presunte operazioni di cyber attacco, sostenendo che questi individui siano sotto indagine.
Da parte sua, il Ministero della Difesa Nazionale di Taiwan ha prontamente smentito tali accuse, dichiarando che le affermazioni della Cina sono prive di fondamento e non riflettono la realtà.
Anonymous64, noto per i suoi attacchi critici al Partito Comunista Cinese e all’Esercito Popolare di Liberazione, ha spesso condiviso contenuti di siti web che afferma di aver defacciato. Tuttavia, il Ministero della Sicurezza Nazionale cinese ha ribadito che molti degli screenshot pubblicati da Anonymous64 sarebbero falsi e che i siti colpiti dal gruppo hanno scarso o nullo traffico.
Nel contesto di queste accuse, Pechino ha sollecitato gli sviluppatori di sistemi audio e video su internet, oltre che i gestori di portali web e le unità operative di manutenzione, a rafforzare le misure di sicurezza informatica, aggiornare i sistemi e migliorare la protezione da potenziali attacchi.
Le tensioni tra Pechino e Taiwan si mantengono alte. La Cina considera Taiwan una provincia separatista, mentre Taiwan si vede come una nazione sovrana. La maggior parte dei paesi del mondo adotta una posizione ambigua, trattando Taiwan come una nazione indipendente senza riconoscimento formale, nel tentativo di non provocare la Cina. Il Ministero della Sicurezza cinese ha sottolineato l’inevitabilità della “riunificazione della madrepatria” e ha avvertito che qualsiasi tentativo da parte delle autorità taiwanesi di perseguire l’indipendenza sarebbe destinato al fallimento.
In risposta alle accuse cinesi, Anonymous64 ha pubblicato un messaggio sui social media con un collegamento a un post sponsorizzato dai media di stato, accompagnato da una GIF di un uomo che ride, dimostrando disprezzo per le affermazioni di Pechino e dando ragione a Taiwan allo stesso tempo.
- Sicurezza Informatica1 settimana fa
Esplosioni di cercapersone in Libano: è guerra cibernetica?
- Inchieste4 giorni fa
Hezbollah, guerra elettronica o cibernetica? Quando accadrà a noi?
- Economia1 settimana fa
GFI Software si affida a CoreTech per il canale in UK
- Sicurezza Informatica5 giorni fa
Iran spia il comitato di Trump e mobilita l’APT UNC1860
- Inchieste2 giorni fa
Metaverso Politico: Meloni è la regina del dibattito social
- Sicurezza Informatica5 giorni fa
Lazarus continua con offerte di lavoro
- Tech1 settimana fa
Windows 10 Build 19045.4955: nuovi aggiornamenti KB5043131
- Sicurezza Informatica5 giorni fa
FTC denuncia i social media: adolescenti spiati come adulti