Sicurezza Informatica
Vulnerabilità critiche in Zimbra, Ivanti e router DrayTek
Tempo di lettura: 4 minuti. Le recenti vulnerabilità nei software Ivanti, Zimbra e DrayTek rappresentano un rischio di attacchi informatici. Scopri come proteggere i tuoi sistemi con aggiornamenti e misure di sicurezza.
Negli ultimi giorni, sono state evidenziate diverse vulnerabilità critiche che hanno coinvolto software, router e server email. Queste falle di sicurezza possono portare a compromissioni di dati, accesso non autorizzato e potenziali attacchi informatici su larga scala. Di seguito, una panoramica dettagliata dei recenti sviluppi e delle azioni consigliate per garantire la sicurezza.
CISA: nuova vulnerabilità Ivanti
La Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto una nuova vulnerabilità alla sua lista di vulnerabilità conosciute, denominata CVE-2024-29824. Questa falla riguarda una SQL Injection su Ivanti Endpoint Manager (EPM). La vulnerabilità rappresenta un punto di attacco significativo per i criminali informatici e pone rischi sostanziali alle infrastrutture federali. La CISA incoraggia tutte le organizzazioni, al di fuori del settore governativo, a risolvere tempestivamente le vulnerabilità presenti nel proprio sistema per ridurre al minimo l’esposizione agli attacchi.
Le agenzie federali devono rispettare la direttiva BOD 22-01, che richiede la risoluzione delle vulnerabilità note entro una scadenza definita. Nonostante questa direttiva sia specifica per le agenzie governative, tutte le organizzazioni sono invitate ad adottare le stesse pratiche per migliorare la sicurezza e prevenire eventuali minacce.
Due vulnerabilità critiche negli switch Optigo ONS-S8
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha emesso un avviso riguardante due vulnerabilità critiche che affliggono i dispositivi Optigo Networks ONS-S8 Aggregation Switch, utilizzati in infrastrutture critiche e unità di produzione a livello mondiale. Queste falle permettono sia bypassare l’autenticazione che eseguire codice da remoto, rappresentando un rischio elevato per le reti in cui questi dispositivi sono utilizzati.
Dettagli delle vulnerabilità
Le vulnerabilità riscontrate riguardano due problematiche principali: autenticazione debole e validazione inadeguata dell’input dell’utente. Questo potrebbe portare a bypassare i requisiti di password, eseguire codice arbitrario, caricare file malevoli e compiere attacchi di directory traversal.
- CVE-2024-41925: Questa vulnerabilità è classificata come PHP Remote File Inclusion (RFI) ed è causata da un’errata validazione o sanificazione dei percorsi dei file forniti dall’utente. Un malintenzionato può sfruttare questa falla per eseguire directory traversal, bypassare l’autenticazione ed eseguire codice da remoto.
- CVE-2024-45367: Riguarda un problema di autenticazione debole dovuto a un meccanismo di verifica delle password non adeguatamente implementato. L’exploit di questa vulnerabilità consente a un attaccante di accedere non autorizzato all’interfaccia di gestione degli switch, modificare configurazioni, accedere a dati sensibili e spostarsi all’interno della rete.
Entrambe le vulnerabilità sono state scoperte dal team Claroty Team82 e classificate come critiche, con un punteggio CVSS v4 di 9.3. Sono presenti in tutte le versioni dei dispositivi ONS-S8 Spectra Aggregation Switch fino alla versione 1.3.7.
Azioni per la sicurezza dei dispositivi
Sebbene non siano stati ancora osservati exploit attivi di queste vulnerabilità, gli amministratori di sistema sono fortemente consigliati di adottare le seguenti misure per proteggere i dispositivi:
- Isolare il traffico di gestione: Posizionare il traffico di gestione degli ONS-S8 su una VLAN dedicata per separarlo dal traffico di rete normale, riducendo così l’esposizione.
- Connessione a OneView dedicata: Usare una NIC dedicata sul computer BMS per connettersi a OneView, garantendo accesso esclusivo e sicuro alla gestione della rete OT.
- Configurare il firewall: Configurare il router firewall per consentire solo l’accesso da dispositivi specifici, limitando l’accesso a OneView solo ai sistemi autorizzati.
- Usare una VPN sicura: Utilizzare una VPN per tutte le connessioni a OneView, assicurando comunicazioni criptate e protezione contro intercettazioni.
- Seguire le linee guida CISA: Adottare le linee guida di sicurezza CISA, eseguendo valutazioni del rischio, implementando sicurezza a strati (defense-in-depth) e seguendo le migliori pratiche per la sicurezza dei sistemi di controllo industriale (ICS).
Gli amministratori sono incoraggiati a segnalare attività sospette sui dispositivi ONS-S8 alle autorità competenti e a seguire i protocolli di gestione delle violazioni per garantire il monitoraggio e la correlazione con altri incidenti.
Zimbra: Vulnerabilità RCE sfruttata per attacchi su server email
Un’altra vulnerabilità critica è stata scoperta sui server email Zimbra. Tracciata come CVE-2024-45519, questa vulnerabilità di esecuzione di codice remoto (RCE) può essere sfruttata semplicemente inviando email appositamente create ai server SMTP. Gli attaccanti possono inserire comandi nel campo “CC” dell’email, che vengono eseguiti dal servizio Zimbra postjournal durante l’elaborazione dell’email. Questa vulnerabilità è stata confermata dagli esperti di sicurezza di Proofpoint, che hanno osservato attacchi in corso.
I server vulnerabili eseguono comandi tramite stringhe codificate in base64, che vengono poi decodificate ed eseguite tramite shell. Una volta compromesso, il server Zimbra può essere equipaggiato con una webshell che consente agli attaccanti di eseguire comandi remoti e caricare file per prendere il controllo completo del sistema.
Zimbra ha rilasciato aggiornamenti di sicurezza per risolvere la vulnerabilità nelle versioni 9.0.0 Patch 41 o successive e 10.0.9/10.1.1. Gli amministratori di sistema sono invitati ad aggiornare immediatamente il proprio software o a seguire le misure di mitigazione consigliate, come la disabilitazione del servizio postjournal e la corretta configurazione di “mynetworks”.
DrayTek: Risolte vulnerabilità critiche in oltre 700.000 router esposti
DrayTek ha recentemente pubblicato aggiornamenti di sicurezza per correggere 14 vulnerabilità in diversi modelli di router, tra cui una falla di esecuzione di codice remoto con un punteggio CVSS di 10. Le vulnerabilità sono state scoperte da Forescout Research – Vedere Labs e riguardano sia i router attivamente supportati che quelli fuori produzione.
Le vulnerabilità più gravi includono buffer overflow, command injection, e problemi nella gestione dei certificati TLS. Gli utenti sono invitati ad aggiornare i firmware dei loro dispositivi all’ultima versione disponibile. È stata individuata la presenza di oltre 704.500 dispositivi DrayTek con interfaccia web esposta su internet, aumentando il rischio di attacchi.
Le misure di sicurezza aggiuntive suggerite includono la disabilitazione dell’accesso remoto (se non necessario), l’uso di liste di controllo di accesso e l’autenticazione a due fattori, oltre al monitoraggio dei log per individuare eventuali attività sospette ed aggiornare agli ultimi firmware.
Sicurezza Informatica
Sicurezza informatica e terrorismo: due operazioni in Italia
Tempo di lettura: 3 minuti. Arresti in Italia: un hacker 24enne fermato per attacchi a sistemi nazionali e un 17enne tunisino accusato di terrorismo legato all’Isis.
In Italia si sono verificate due operazioni di sicurezza di grande importanza: la prima riguarda l’arresto di un hacker 24enne in Sicilia, responsabile di attacchi informatici contro infrastrutture nazionali mentre, la seconda, coinvolge un giovane di 17 anni a Taranto, accusato di addestramento con finalità di terrorismo e legami con l’Isis. Questi episodi evidenziano il crescente problema della criminalità informatica e dell’estremismo, affrontati con prontezza dalle autorità italiane.
Operazione “Dominio”: l’arresto di un hacker 24enne in Sicilia
In Sicilia, un hacker 24enne è stato arrestato nell’ambito di un’operazione coordinata dal Cnaipic (Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche) e dai Centri operativi per la sicurezza cibernetica (Cosc) di Napoli e Catania. L’indagine è stata condotta dalla Polizia Postale, sotto la direzione della Procura di Napoli e con il coordinamento della Procura Nazionale Antimafia.
L’hacker è stato collegato a diversi attacchi informatici contro sistemi giudiziari e infrastrutture di enti strategici nazionali, tra cui gestori telefonici e telematici, fornitori di servizi satellitari e persino i sistemi della Guardia di Finanza. La sua attività criminale risale a precedenti coinvolgimenti in procedimenti penali legati alla gestione di un mercato nero sul dark web. Proprio per nascondere tali attività, l’indagato ha utilizzato tecniche avanzate di anonimato, sfruttando server esteri, VPN anonime, macchine virtuali e sofisticati sistemi di cifratura.
Grazie a queste misure, è riuscito a violare vari sistemi informatici con campagne di phishing e attraverso l’accesso a credenziali di amministratore. Una volta infiltratosi nei sistemi, ha sottratto migliaia di documenti riservati e atti giudiziari, modificando le difese dei sistemi colpiti per cancellare le proprie tracce. L’hacker aveva anche ottenuto il controllo di alcuni black market sul dark web, accumulando illecitamente milioni di euro, poi sequestrati dalle autorità.
Le indagini hanno rivelato che il giovane, informatico di professione, era legato a una rete criminale più vasta, ancora in fase di identificazione. Grazie al monitoraggio delle chat e degli spazi del dark web, le forze dell’ordine stanno cercando di ricostruire i legami dell’hacker con altri gruppi criminali, sia italiani che internazionali. L’operazione “Dominio” è un esempio dell’efficacia della lotta contro la criminalità informatica, sottolineando la capacità della Polizia Postale di penetrare e neutralizzare minacce digitali complesse.
Arresto a Taranto: un 17enne coinvolto in attività terroristiche
Parallelamente al caso di pura criminalità informatica, un altro caso di sicurezza nazionale ha coinvolto un 17enne di origine tunisina, arrestato a Taranto dalla Digos al termine di un’indagine condotta dalla Direzione Distrettuale Antimafia (Dda) di Lecce e dalla Procura dei minori di Taranto. Il giovane è stato accusato di addestramento ad attività con finalità di terrorismo internazionale. Durante la perquisizione della sua abitazione, le autorità hanno rinvenuto documenti manoscritti con istruzioni e calcoli matematici per la costruzione di un razzo, oltre a simboli legati all’Isis.
All’interno dei dispositivi elettronici in suo possesso sono stati trovati video e immagini di azioni terroristiche compiute in passato dall’organizzazione jihadista. Questa scoperta ha sollevato gravi sospetti sul coinvolgimento del minore in attività di propaganda e addestramento terroristico. Anche i genitori del ragazzo, cittadini tunisini residenti a Taranto, sono stati oggetto di perquisizioni e indagini da parte delle autorità.
L’arresto del giovane è stato convalidato dal giudice per le indagini preliminari del tribunale per i minorenni di Taranto, che ha disposto il trasferimento del ragazzo presso un Istituto Penale Minorile. Il materiale rinvenuto durante le indagini evidenzia una preoccupante esposizione del giovane all’estremismo, con un livello di preparazione tecnica e ideologica finalizzato alla progettazione di attività terroristiche. Questo arresto rappresenta un successo nel contrasto al terrorismo, grazie alla collaborazione tra le diverse forze di sicurezza italiane.
La lotta alla criminalità informatica e al terrorismo in Italia
I due casi di arresti in Sicilia e a Taranto mettono in luce la complessità delle minacce legate sia alla criminalità informatica che al terrorismo. Da un lato, l’operazione “Dominio” ha portato all’arresto di un hacker di alto livello che aveva compromesso sistemi informatici strategici, sfruttando le vulnerabilità per ottenere illeciti guadagni e sottrarre dati sensibili. Dall’altro, l’arresto del giovane tunisino ha evidenziato la presenza di cellule terroristiche pronte ad addestrare giovani a scopi jihadisti, connessi all’ideologia dell’Isis.
Entrambe le operazioni dimostrano l’efficacia delle forze dell’ordine italiane nel contrastare minacce alla sicurezza nazionale e digitale. La collaborazione tra diversi reparti, dalla Polizia Postale alla Digos, ha consentito di agire con rapidità e precisione per fermare attività pericolose e potenzialmente devastanti.
Sicurezza Informatica
CISA: iniziative di sicurezza condivisa con partner internazionali
Tempo di lettura: 2 minuti. CISA, insieme a partner internazionali, pubblica nuove linee guida per la sicurezza, aggiorna il catalogo delle vulnerabilità note ed esposte e celebra il successo della piattaforma VDP 2023.
Le recenti attività di CISA e i suoi partner internazionali evidenziano importanti sviluppi in materia di cybersecurity, con l’introduzione di nuove linee guida per la sicurezza delle infrastrutture critiche, l’aggiornamento di un catalogo di vulnerabilità note ed esposte, e il successo della piattaforma per la divulgazione delle vulnerabilità (VDP) nel 2023.
Nuove Linee Guida sulla sicurezza OT per infrastrutture critiche
Il 1° ottobre 2024, CISA, in collaborazione con il Centro Australiano di Cybersecurity (ACSC) e altre agenzie partner internazionali, ha pubblicato una guida intitolata “Principles of Operational Technology Cybersecurity“, pensata per aiutare le organizzazioni che gestiscono infrastrutture critiche a mantenere ambienti tecnologici operativi (OT) sicuri e protetti. Questa guida propone sei principi chiave per identificare come le decisioni aziendali possano influenzare negativamente la sicurezza informatica dell’OT e per valutare i rischi associati.
I principi sono stati sviluppati per supportare le organizzazioni nell’integrare la cybersecurity nei processi decisionali, migliorando la resilienza e la continuità del business. CISA incoraggia le organizzazioni nel settore delle infrastrutture critiche a seguire queste best practice e ad adottare le azioni raccomandate per garantire un’adeguata protezione contro i rischi informatici.
Per ulteriori informazioni sulle misure di sicurezza OT, CISA offre risorse e linee guida sulla pagina dedicata ai Sistemi di Controllo Industriali e nell’Advisory per la Riduzione dei Rischi nei Sistemi OT.
Aggiornamenti al Catalogo delle Vulnerabilità Note ed Esistenti
CISA ha aggiunto quattro nuove vulnerabilità al suo catalogo, basandosi su evidenze di attacchi attivi. Queste vulnerabilità sono state rilevate in dispositivi e applicazioni di vario tipo e sono considerate seri rischi di attacco per le organizzazioni che non le gestiscono correttamente. Le vulnerabilità aggiunte sono:
- CVE-2023-25280 D-Link DIR-820 Router OS Command Injection Vulnerability
- CVE-2020-15415 DrayTek Multiple Vigor Routers OS Command Injection Vulnerability
- CVE-2021-4043 Motion Spell GPAC Null Pointer Dereference Vulnerability
- CVE-2019-0344 SAP Commerce Cloud Deserialization of Untrusted Data Vulnerability
Queste vulnerabilità rappresentano vettori di attacco frequenti per i criminali informatici e richiedono un’attenzione particolare per ridurre i rischi all’interno delle organizzazioni federali. Il Binding Operational Directive (BOD) 22-01, che stabilisce il Catalogo delle Vulnerabilità Note, obbliga le agenzie federali statunitensi a gestire tempestivamente tali vulnerabilità per garantire la sicurezza delle proprie reti.
CISA raccomanda a tutte le organizzazioni, anche se non direttamente soggette a BOD 22-01, di ridurre la propria esposizione ai cyberattacchi dando priorità alla gestione e alla risoluzione delle vulnerabilità elencate nel catalogo.
Rapporto Annuale VDP: successo nella rilevazione delle vulnerabilità
Nel 2023, la piattaforma Vulnerability Disclosure Policy (VDP) di CISA ha mostrato un notevole successo nel suo secondo anno di attività, secondo il rapporto annuale pubblicato di recente. La piattaforma VDP è stata progettata per incoraggiare l’adozione da parte delle agenzie federali civili degli Stati Uniti e per facilitare l’individuazione delle vulnerabilità nei propri sistemi grazie alla collaborazione con ricercatori di sicurezza pubblici.
I ricercatori svolgono un ruolo fondamentale nella sicurezza delle reti governative, contribuendo attivamente all’identificazione e alla risoluzione delle vulnerabilità. La direttiva operativa BOD 20-01, pubblicata da CISA nel 2020, obbliga tutte le agenzie federali civili a implementare una politica VDP che segue le best practice di settore. Il programma VDP di CISA offre un modo semplice per queste agenzie di interagire con i ricercatori e adottare misure di sicurezza appropriate.
Il successo del programma VDP è stato reso possibile grazie alla collaborazione tra agenzie governative e ricercatori indipendenti, e CISA si impegna a continuare a espandere questo ecosistema di collaborazione.
Per ulteriori informazioni sulla piattaforma VDP e sulle sue attività, è possibile visitare la pagina ufficiale del VDP.
Sicurezza Informatica
Evil Corp legami stretti con la Russia e attacchi ai membri NATO
Tempo di lettura: 2 minuti. Nuove rivelazioni indicano che il gruppo cybercriminale russo Evil Corp ha stretti legami con l’intelligence di Mosca e ha partecipato a attacchi contro membri NATO.
Evil Corp, un noto gruppo di cybercriminali, ha una relazione straordinariamente stretta con il governo della Russia , al punto che le autorità di intelligence avrebbero incaricato i membri del gruppo di effettuare attacchi informatici contro i paesi membri della NATO. Secondo fonti della National Crime Agency (NCA) del Regno Unito, il gruppo ha collaborato direttamente con i servizi di intelligence russi, tra cui l’FSB (Servizio Federale di Sicurezza), l’SVR (Servizio di Intelligence Esterna) e il GRU (Direzione Generale dell’Intelligence Militare), in operazioni di attacco sponsorizzate dallo Stato.
Un rapporto più che convenzionale tra Evil Corp e la Russia
La relazione tra Evil Corp e la Russia sarebbe più profonda di quanto ipotizzato in precedenza. Le indagini rivelano che non solo il gruppo ha collaborato attivamente con l’intelligence russa, ma lo ha fatto in modo privilegiato, con la direzione di Maksim Yakubets, ritenuto il capo di Evil Corp e uno degli affiliati principali del gruppo ransomware LockBit. Yakubets, sulla cui testa pende una taglia di 5 milioni di dollari da parte delle autorità americane, è stato sanzionato dal Regno Unito e accusato di aver agito in coordinamento con i tre servizi di intelligence russi. La sua posizione come collegamento tra lo Stato e Evil Corp è stata favorita, secondo la NCA, dal suo legame familiare con Eduard Benderskiy, suo suocero e ex ufficiale dell’FSB.
Benderskiy, che appare nella lista delle sanzioni del Regno Unito, avrebbe facilitato il successo di Evil Corp mettendo a disposizione risorse e protezione sia fisica sia legale ai suoi membri, garantendo che le autorità russe chiudessero un occhio sulle loro attività criminali. Yakubets avrebbe anche ottenuto aiuto per mantenere attive le operazioni del gruppo nonostante l’intervento delle forze dell’ordine internazionali nel 2019.
La disgregazione del gruppo
Dopo la disgregazione di Evil Corp nel 2019, i familiari di Yakubets sono stati collegati alle operazioni del gruppo. Suo fratello Artem è stato aggiunto alla lista delle sanzioni insieme a due cugini, Dmitriy e Kirill Slobodskoy, tutti considerati membri centrali di Evil Corp. Anche il padre di Yakubets, Viktor, è stato coinvolto nella gestione delle attività del gruppo, accusato di aver gestito operazioni di riciclaggio di denaro.
L’organizzazione è nota per le sue operazioni di ransomware, estorcendo oltre 300 milioni di dollari dal 2014 e colpendo vittime in oltre 40 paesi. Le attività di Evil Corp si sono estese a vari settori, dalle grandi aziende tecnologiche a organizzazioni benefiche, dal settore finanziario a quello sanitario, senza alcuna distinzione o scrupolo.
Le nuove informazioni sulle attività di Evil Corp mettono in luce la complessa rete di connessioni tra criminalità informatica e apparati statali, in questo caso della Russia, dimostrando che le operazioni del gruppo non erano solo a fini di profitto, ma anche funzionali agli interessi geopolitici della Russia. Le rivelazioni della NCA offrono una comprensione più chiara dei metodi e della struttura di Evil Corp, con dettagli sulle loro operazioni che vanno oltre il classico schema di criminalità organizzata digitale.
- Inchieste1 settimana fa
Metaverso Politico: Meloni è la regina del dibattito social
- L'Altra Bolla6 giorni fa
Privacy sui Social Media: le migliori e le peggiori
- Smartphone1 settimana fa
Motorola Razr 50s e OnePlus Ace 5: benchmark e certificazioni
- Sicurezza Informatica4 giorni fa
APT IRGC Iran minacciano Trump e spiano gli USA
- Editoriali1 settimana fa
Telegram e X si piegano alla giustizia. Vi abbiamo detto la verità
- Sicurezza Informatica6 giorni fa
Automattic Blocca WP Engine: Accesso Limitato alle Risorse di WordPress.org
- Smartphone1 settimana fa
Il marketing ingannevole dell’iPhone 16: critiche e qualche sorpresa
- Tech1 settimana fa
Problemi con Microsoft Office 365 e macOS Sequoia: cosa fare?