Connect with us

Sicurezza Informatica

Vulnerabilità SSRF di Ivanti sotto attacco

Pubblicato

in data

APT Ivanti
Tempo di lettura: 2 minuti.

Recentemente, è stata scoperta una vulnerabilità di tipo Server-Side Request Forgery (SSRF) che colpisce i prodotti Ivanti Connect Secure e Ivanti Policy Secure, identificata come CVE-2024-21893. Questa falla sta subendo un’espansione massiva degli attacchi da parte di numerosi aggressori, con oltre 170 indirizzi IP distinti che tentano di sfruttare la vulnerabilità. La gravità di questa situazione è stata evidenziata da Shadowserver, che ha osservato un volume di sfruttamento significativamente maggiore rispetto ad altre vulnerabilità di Ivanti recentemente corrette o mitigate.

La vulnerabilità SSRF in questione consente agli aggressori di bypassare l’autenticazione e accedere a risorse altrimenti ristrette sui dispositivi vulnerabili, specificamente le versioni 9.x e 22.x. Nonostante Ivanti abbia inizialmente segnalato che la falla era stata sfruttata in attacchi mirati a un “numero limitato di clienti”, la divulgazione pubblica della vulnerabilità ha portato a un aumento degli attacchi.

La diffusione di un exploit proof-of-concept (PoC) da parte dei ricercatori di Rapid7 ha indubbiamente facilitato gli attacchi, sebbene Shadowserver abbia notato che gli aggressori utilizzavano metodi simili ore prima della pubblicazione del rapporto di Rapid7. Ciò indica che gli hacker avevano già scoperto come sfruttare CVE-2024-21893 per ottenere accesso illimitato e non autenticato ai punti finali vulnerabili di Ivanti.

La situazione è ulteriormente complicata dal fatto che gli attori delle minacce hanno trovato il modo di eludere le mitigazioni iniziali di Ivanti, costringendo l’azienda con sede nello Utah a rilasciare un secondo file di mitigazione. A partire dal 1° febbraio 2024, Ivanti ha iniziato a rilasciare patch ufficiali per affrontare tutte le vulnerabilità.

In risposta alla situazione di sfruttamento attivo di molteplici vulnerabilità zero-day critiche, alla mancanza di mitigazioni efficaci e all’assenza di aggiornamenti di sicurezza per alcune versioni dei prodotti interessati, l’Agenzia per la Sicurezza delle Infrastrutture e della Cybersecurity (CISA) degli Stati Uniti ha ordinato alle agenzie federali di disconnettere tutti i dispositivi Ivanti Connect Secure e Policy Secure VPN. Solo i dispositivi che sono stati ripristinati alle impostazioni di fabbrica e aggiornati all’ultima versione del firmware dovrebbero essere riconnessi alla rete, mentre le versioni più vecchie che rimangono vulnerabili sono ancora prive di una patch.

Questa serie di eventi sottolinea l’importanza di una risposta rapida e coordinata alle vulnerabilità di sicurezza e la necessità di pratiche di sicurezza robuste per proteggere le infrastrutture critiche dalle minacce cyber.

Sicurezza Informatica

CrowdStrike causa, soluzione ed impatto dell’incidente informatico

Tempo di lettura: 3 minuti. Un aggiornamento difettoso di CrowdStrike Falcon ha causato un’interruzione IT globale, colpendo aeroporti, ospedali e servizi di emergenza: le cause, l’impatto e le reazioni.

Pubblicato

in data

Tempo di lettura: 3 minuti.

Il 19 luglio 2024, un aggiornamento difettoso del software di sicurezza CrowdStrike Falcon ha causato un’interruzione IT su larga scala, colpendo numerosi sistemi Windows in tutto il mondo. Questo incidente ha provocato disservizi significativi in vari settori, tra cui aeroporti, ospedali, emittenti televisive e servizi di emergenza.

Causa del Problema

L’aggiornamento problematico di CrowdStrike ha causato un crash dei sistemi Windows, con conseguenti schermi blu della morte (BSoD) e cicli di avvio infiniti. La società ha identificato un file di canale come causa principale, che conteneva dati per il sensore Falcon.

CrowdStrike ha rapidamente riconosciuto il problema e ha rilasciato una guida tecnica per risolverlo. Gli utenti sono stati istruiti a:

  1. Avviare Windows in modalità provvisoria o nell’ambiente di ripristino di Windows.
  2. Navigare nella directory C:\Windows\System32\drivers\CrowdStrike.
  3. Eliminare il file corrispondente a “C-00000291*.sys”.
  4. Riavviare il sistema normalmente.

Impatto sui servizi globali

Aeroporti

Diversi aeroporti in tutto il mondo sono stati colpiti dall’interruzione. Ad esempio:

  • Schiphol Airport: Ha dovuto bloccare diversi voli operati da KLM e Transavia.
  • Melbourne Airport: Problemi con le procedure di check-in, specialmente per i passeggeri delle compagnie Jetstar e Scoot.
  • Zurich Airport: Ritardi e cancellazioni di voli, con manuale check-in per alcuni passeggeri.

Ospedali

Ospedali in vari paesi hanno subito interruzioni nei loro sistemi IT, tra cui:

  • Ospedali nei Paesi Bassi: Scheper a Emmen, Slingeland Hospital ad Achterhoek e altri.
  • Spagna: L’Ospedale Universitario di Terrassa e l’Istituto Catalano di Oncologia hanno avuto problemi, ma stanno lentamente tornando alla normalità.
  • Stati Uniti: Il Bellevue Hospital e il NYU Langone Hospital di New York sono stati colpiti.

Emittenti televisive

Diverse stazioni televisive, tra cui Sky News e ABC, hanno subito interruzioni nelle loro operazioni a causa dei crash dei computer.

Servizi di emergenza

I servizi di emergenza in alcune regioni degli Stati Uniti e del Canada sono stati particolarmente colpiti, con alcuni 911 dispatcher costretti a lavorare su carta fino alla risoluzione del problema.

Reazioni e misure adottate

CrowdStrike ha confermato che il problema non era dovuto a un attacco informatico, ma a un difetto in un singolo aggiornamento di contenuto per i sistemi Windows. L’azienda ha attivato una squadra per risolvere il problema e ha consigliato ai clienti di utilizzare il portale di supporto per gli aggiornamenti più recenti.

CISA (Cybersecurity and Infrastructure Security Agency) ha avvertito delle possibili attività di phishing sfruttando l’incidente e ha esortato le organizzazioni a rimanere vigili, seguendo solo le istruzioni provenienti da fonti legittime.

Conseguenze Economiche

L’incidente ha avuto ripercussioni anche sui mercati finanziari, con le azioni di CrowdStrike che sono scese del 20% e quelle di Microsoft del 2,5% nelle contrattazioni pre-mercato. Questo evento ha messo in evidenza la fragilità dell’infrastruttura IT globale e l’importanza di un’efficace gestione delle crisi informatiche.

Cos’è Crowdstrike Falcon?

CrowdStrike Falcon è una piattaforma di sicurezza informatica basata su cloud progettata per proteggere endpoint (dispositivi finali come computer, laptop e server) da una vasta gamma di minacce cibernetiche. Sviluppata da CrowdStrike, Falcon utilizza tecnologie avanzate di rilevamento e risposta degli endpoint (EDR), machine learning e analisi comportamentale per identificare e mitigare minacce in tempo reale. Ecco una panoramica delle principali caratteristiche e funzionalità di CrowdStrike Falcon:

Principali caratteristiche di CrowdStrike Falcon

  1. Rilevamento e Risposta degli Endpoint (EDR):
    • Falcon monitora continuamente le attività degli endpoint per rilevare comportamenti anomali e potenziali minacce. Questo include il tracciamento di eventi, l’analisi dei file e il monitoraggio delle attività di rete.
  2. Protezione Next-Gen Antivirus (NGAV):
    • Utilizzando machine learning e intelligenza artificiale, Falcon offre una protezione antivirus avanzata che va oltre i metodi tradizionali di rilevamento basati su firme, identificando e bloccando le minacce basate su comportamenti sospetti.
  3. Monitoraggio in Tempo Reale:
    • La piattaforma fornisce visibilità in tempo reale su tutti gli endpoint connessi, permettendo agli amministratori di sicurezza di rilevare e rispondere rapidamente a incidenti di sicurezza.
  4. Analisi Forense:
    • Falcon raccoglie e conserva dati dettagliati sulle attività degli endpoint, facilitando l’analisi forense post-incidente per comprendere l’origine e l’impatto delle minacce.
  5. Gestione delle Vulnerabilità:
    • La piattaforma aiuta a identificare e gestire le vulnerabilità presenti sugli endpoint, fornendo raccomandazioni per la mitigazione dei rischi.
  6. Integrazione con Altri Strumenti di Sicurezza:
    • CrowdStrike Falcon può integrarsi con altri strumenti di sicurezza e piattaforme SIEM (Security Information and Event Management), migliorando l’efficacia della sicurezza complessiva dell’organizzazione.

Componenti Principali

  • Falcon Sensor:
    • Un piccolo agente leggero installato sugli endpoint che raccoglie dati e li invia al cloud per l’analisi.
  • Falcon Cloud:
    • L’infrastruttura cloud di CrowdStrike dove avviene l’analisi dei dati, il rilevamento delle minacce e la gestione degli incidenti.
  • Falcon X:
    • Un modulo di intelligence sulle minacce che fornisce analisi dettagliate e contestuali sulle minacce rilevate, aiutando a comprendere meglio gli attacchi e a prevenire future intrusioni.
Prosegui la lettura

Sicurezza Informatica

Blocco informatico di Microsoft Azure e crollano azioni di CrowdStrike

Pubblicato

in data

Tempo di lettura: 2 minuti.

La serie di problemi informatici globali ha coinvolto due dei più grandi nomi del settore: Microsoft e CrowdStrike. Le conseguenze di questi problemi hanno avuto un impatto significativo su aziende e utenti in tutto il mondo, causando disservizi su larga scala e influenzando negativamente il valore delle azioni di entrambe le società.

Interruzione dei Servizi Microsoft 365

Microsoft ha comunicato che una modifica alla configurazione di Azure ha causato una grave interruzione dei servizi Microsoft 365 il 19 luglio 2024. Questo blackout ha interessato gli utenti nella regione centrale degli Stati Uniti, impedendo loro di accedere a diverse applicazioni e servizi come Microsoft Defender, Intune, Teams, PowerBI, OneNote, OneDrive for Business, SharePoint Online, Windows 365, e altri ancora.

L’interruzione è iniziata intorno alle 18:00 EST e ha causato il blocco di vari servizi. Microsoft ha lavorato rapidamente per deviare il traffico impattato verso sistemi alternativi, alleviando gradualmente l’impatto dell’interruzione. Tuttavia, alcuni utenti hanno continuato a riscontrare problemi nell’accesso e nell’uso dei servizi come Microsoft Teams e il centro amministrativo.

Secondo le informazioni fornite da Microsoft, l’incidente è stato causato da una modifica di configurazione difettosa nei backend di Azure, che ha bloccato l’accesso tra alcuni cluster di archiviazione e risorse di calcolo, portando al riavvio automatico delle risorse di calcolo quando la connettività ai dischi virtuali è stata persa.

Problemi su Windows causati da CrowdStrike

Parallelamente, un aggiornamento del software di sicurezza Falcon Sensor di CrowdStrike ha causato gravi problemi su sistemi Windows a livello globale. Questo aggiornamento ha portato al crash di numerosi computer, manifestandosi con la schermata blu della morte (BSoD) e costringendo le macchine in un ciclo di ripristino continuo.

CrowdStrike ha rilasciato una dichiarazione confermando che il problema è stato isolato e che una soluzione è stata distribuita. Tuttavia, il fix non è semplice e richiede agli utenti di avviare manualmente i sistemi in modalità provvisoria per rimuovere il file del sistema responsabile del problema.

Impatto sui Mercati Finanziari

Le conseguenze di questi problemi si sono riflesse rapidamente sui mercati finanziari. Le azioni di CrowdStrike sono scese del 20% nelle contrattazioni pre-mercato negli Stati Uniti, mentre quelle di Microsoft hanno registrato una diminuzione del 2,5%. Questo doppio impatto evidenzia la fragilità dell’infrastruttura IT globale e l’importanza di un efficace coordinamento nella gestione delle crisi informatiche.

Crollo delle azioni

Reazioni e prospettive future

Microsoft ha dichiarato che la maggior parte dei suoi servizi cloud è stata ripristinata, mentre CrowdStrike continua a lavorare per ripristinare i sistemi colpiti dall’aggiornamento difettoso. Entrambe le società stanno affrontando le conseguenze di questo evento, che ha spinto molte aziende a rivedere le loro strategie di sicurezza e di gestione degli aggiornamenti software.

Prosegui la lettura

Sicurezza Informatica

Abusi su minori Online: due arresti e otto perquisizioni tra Lazio e Campania

Pubblicato

in data

Polizia Postale csam 2024
Tempo di lettura: < 1 minuto.

Recentemente, la Polizia di Stato ha arrestato due individui di 48 anni, uno di Napoli e uno di Avellino, colti in flagranza di reato per il possesso di un vasto quantitativo di video raffiguranti abusi sessuali su bambini, inclusi neonati. Inoltre, sono state eseguite otto perquisizioni tra Napoli, Avellino, Caserta e Roma.

L’Operazione della Polizia Postale

I poliziotti del Centro Operativo per la Sicurezza Cibernetica di Napoli, coordinati dal Centro Nazionale per il Contrasto al CSAM (CNCPO) di Roma, hanno avviato l’operazione a seguito di diverse segnalazioni ricevute tramite canali di cooperazione internazionale. Queste segnalazioni riguardavano italiani coinvolti nella detenzione e diffusione di materiale pedopornografico su un noto social network.

Modalità dell’indagine

Gli investigatori cibernetici hanno condotto analisi approfondite sui telefoni e su migliaia di connessioni internet, riuscendo a identificare i responsabili. Per mantenere l’anonimato, i colpevoli avevano creato falsi profili social utilizzando caselle di posta elettronica fittizie e reti Wi-Fi aperte o intestate ad altre persone.

Collaborazione Internazionale

L’attività investigativa è stata resa possibile grazie alla cooperazione internazionale, che ha fornito le segnalazioni iniziali sui sospetti. Questo sottolinea l’importanza della collaborazione tra le forze dell’ordine di diversi paesi per combattere efficacemente i crimini online.

Prosegui la lettura

Facebook

CYBERSECURITY

Sicurezza Informatica12 ore fa

CrowdStrike causa, soluzione ed impatto dell’incidente informatico

Tempo di lettura: 3 minuti. Un aggiornamento difettoso di CrowdStrike Falcon ha causato un'interruzione IT globale, colpendo aeroporti, ospedali e...

Sicurezza Informatica18 ore fa

Blocco informatico di Microsoft Azure e crollano azioni di CrowdStrike

Tempo di lettura: 2 minuti. La serie di problemi informatici globali ha coinvolto due dei più grandi nomi del settore:...

Sicurezza Informatica20 ore fa

Trump: Cellebrite sblocca in 40 minuti smartphone dell’attentatore

Tempo di lettura: 2 minuti. L'FBI sblocca il Samsung Android di Thomas Crooks grazie a Cellebrite. Foto di Trump e...

Sicurezza Informatica1 giorno fa

HotPage.exe : driver firmato, vulnerabile e iniettore di pubblicità

Tempo di lettura: 3 minuti. Alla fine del 2023, è stato scoperto un installer chiamato HotPage.exe che distribuisce un driver...

Intelligenza Artificiale1 giorno fa

OpenAI GPT-4o Mini e integra Enterprise con Palo Alto Networks

Tempo di lettura: 2 minuti. OpenAI ha recentemente introdotto il GPT-4o mini, un modello di intelligenza artificiale che promette di...

CISA logo CISA logo
Sicurezza Informatica2 giorni fa

CISA: avvisi su Oracle, Ivanti e ICS

Tempo di lettura: 2 minuti. La Cybersecurity and Infrastructure Security Agency (CISA) ha emesso importanti avvisi riguardanti la sicurezza dei...

Sicurezza Informatica2 giorni fa

Addio Kaspersky: aggiornamenti gratuiti per sei mesi negli USA

Tempo di lettura: 2 minuti. Kaspersky, azienda di sicurezza informatica russa, sta offrendo ai suoi clienti statunitensi sei mesi di...

Cisco logo Cisco logo
Sicurezza Informatica2 giorni fa

Vulnerabilità Cisco: aggiornamenti critici e raccomandazioni

Tempo di lettura: 2 minuti. Cisco ha recentemente pubblicato una serie di advisory di sicurezza riguardanti diverse vulnerabilità critiche nei...

CISA logo CISA logo
Sicurezza Informatica2 giorni fa

CISA: vulnerabilità Magento, VMware, SolarWinds e ICS

Tempo di lettura: 2 minuti. La Cybersecurity and Infrastructure Security Agency (CISA) ha recentemente aggiornato il suo catalogo delle vulnerabilità...

Sicurezza Informatica3 giorni fa

Vulnerabilità critica in Apache HugeGraph: aggiornate subito

Tempo di lettura: 2 minuti. Apache HugeGraph, un sistema di database a grafo open-source, è attualmente soggetto a sfruttamenti attivi...

Truffe recenti

Inchieste2 settimane fa

Idealong.com chiuso, ma attenti a marketideal.xyz e bol-it.com

Tempo di lettura: 2 minuti. Dopo aver svelato la truffa Idealong, abbiamo scoperto altri link che ospitano offerte di lavoro...

Inchieste2 settimane fa

Idealong.com spilla soldi ed assolda lavoratori per recensioni false

Tempo di lettura: 4 minuti. Il metodo Idealong ha sostituito Mazarsiu e, dalle segnalazioni dei clienti, la truffa agisce su...

Sicurezza Informatica2 settimane fa

Truffa lavoro online: Mazarsiu sparito, attenti a idealong.com

Tempo di lettura: 2 minuti. Dopo il sito Mazarsiu, abbandonato dai criminali dopo le inchieste di Matrice Digitale, emerge un...

fbi fbi
Sicurezza Informatica1 mese fa

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica2 mesi fa

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste2 mesi fa

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Inchieste2 mesi fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Pharmapiuit.com Pharmapiuit.com
Inchieste2 mesi fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste2 mesi fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste2 mesi fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Tech

Smartphone12 ore fa

Xiaomi Mix Fold 4 e Mi Flip: sfida ai Samsung pieghevoli

Tempo di lettura: 4 minuti. Xiaomi ha ufficialmente lanciato in Cina due nuovi dispositivi pieghevoli: il Mix Fold 4 e...

Smartphone17 ore fa

OnePlus Nord 4 vs POCO F6: quale scegliere?

Tempo di lettura: 3 minuti. OnePlus Nord 4 vs POCO F6: design, display, prestazioni, software, fotocamere e batteria. Scopri quale...

Kde Plasma Kde Plasma
Tech17 ore fa

KDE Plasma 6.1.3: miglioramenti e novità

Tempo di lettura: 2 minuti. Il progetto KDE ha annunciato oggi il rilascio e la disponibilità generale di KDE Plasma...

Smartphone18 ore fa

Moto G85 5G vs OnePlus Nord CE 4 Lite: quale scegliere?

Tempo di lettura: 3 minuti. Con l’evoluzione continua della tecnologia mobile, i consumatori sono sempre più alla ricerca di smartphone...

Smartphone19 ore fa

HMD Skyline: facile da riparare e disconnette dal mondo digitale

Tempo di lettura: 2 minuti. HMD Skyline è uno smartphone di fascia media con facilità di riparazione e la funzione...

Smartphone20 ore fa

OPPO Reno12 Pro 5G è il flagship AI per eccellenza

Tempo di lettura: 2 minuti. Con l’entusiasmo per l’intelligenza artificiale, OPPO ha abbracciato enormemente questa tecnologia rivoluzionaria. Il nuovo OPPO...

Smartphone20 ore fa

Samsung One UI 7.0: design ispirato da iOS 18 e HyperOS

Tempo di lettura: 3 minuti. One UI 7.0 si ispira a iOS 18 e HyperOS nel design con nuove icone...

Smartphone21 ore fa

Honor 200 5G vs Honor 200 Pro 5G: quale scegliere?

Tempo di lettura: 2 minuti. Le differenze tra Honor 200 5G e Honor 200 Pro 5G, inclusi design, prestazioni e...

Smartphone22 ore fa

Honor 200 Pro vs Motorola Edge 50 Ultra: quale scegliere?

Tempo di lettura: 2 minuti. Il confronto tra l’Honor 200 Pro 5G e il Motorola Edge 50 Ultra mette in...

Tech22 ore fa

Come passare da HyperOS a MIUI 14: guida completa

Tempo di lettura: 2 minuti. Se desideri passare da HyperOS a MIUI 14, ecco una guida passo-passo per eseguire il...

Tendenza