Tech
GoTrim: la nuova botnet che prende di mira i siti WordPress
Tempo di lettura: 3 minuti. Una minaccia da tenere d’occhio, data la popolarità del CMS WordPress a livello globale
I ricercatori Fortinet avrebbero scoperto di recente una campagna malevola che tramite un nuovo malware botnet (con funzionalità di scanner e brute forcer per piattaforme CMS) scritto nel linguaggio di programmazione Golang starebbe prendendo di mira siti Web WordPress self-hosted nel tentativo di forzare password amministrative per assumere il controllo completo degli obiettivi.
Un’eventuale compromissione potrebbe comportare diversi scenari di attacco successivi e pesanti ripercussioni in considerazione della popolarità del CMS WordPress e del bacino utenze a livello globale.
La catena d’attacco
Il nuovo malware botnet chiamato GoTrim dai ricercatori (perché verrebbe utilizzata la stringa ” :::trim:::” per dividere i dati comunicati da e verso il server C2), utilizzerebbe una rete di bot per eseguire attacchi brute force in modo distribuito contro il target designato.
Secondo lo schema d’attacco ricostruito in figura, l’operatore malevolo fornirebbe un elenco di siti Web bersaglio e una serie di credenziali. Il malware proverebbe quindi a connettersi su ciascuno di questi siti tentando di forzare gli account amministrativi tramite le credenziali ricevute.
In caso di successo, GoTrim accederebbe al sito violato per installare un client bot (tramite uno script downloader PHP per recuperare il client bot da un URL hardcoded), segnalando la nuova infezione al server C2 e restando in attesa di ricevere ulteriori comandi dagli attaccanti, espandendo così la botnet.
Infine GoTrim per nascondere le proprie tracce non manterrebbe la persistenza nel sistema infetto ma piuttosto eliminerebbe lo script PHP e il componente brute force.
Comunicazione e comandi C2
GoTrim comunicherebbe con il suo server di comando e controllo secondo due modalità (e scambiando i dati crittografandoli tramite AES-GCM con una chiave derivata da una passphrase incorporata nel file binario dello stesso malware):
- una modalità client, in cui si inviano richieste HTTP POST al server C2;
- una modalità server (impostazione predefinita solo se l’indirizzo IP della vittima risulta essere pubblico), in cui si avvia un server HTTP per l’ascolto delle richieste POST in arrivo.
I comandi crittografati inviati al bot GoTrim consentirebbero di:
- Rilevare i CMS. GoTrim tenta di identificare se viene utilizzato sul sito Web in esame uno dei quattro CMS tra WordPress, Joomla!, OpenCart e DataLife Engine, controllando stringhe specifiche nel contenuto della pagina web;
- convalidare le credenziali fornite rispetto ai domini WordPress e OpenCart;
- Terminare il malware.
Tecniche di evasione
Per quanto riguarda le tecniche di evasione impiegate è interessante notare che GoTrim sarebbe in grado di:
- prendere di mira solo siti Web WordPress self-hosted, poiché i provider WordPress gestiti solitamente implementano più misure di sicurezza per monitorare, rilevare e bloccare i tentativi di attacchi brute force rispetto ai quelli self-hosted;
- rilevare le tecniche anti-bot utilizzate dai provider di web hosting e CDN, come Cloudflare e SiteGround;
- cercare di imitare le richieste legittime di Mozilla Firefox su Windows a 64 bit utilizzando le stesse intestazioni HTTP inviate dal browser e supportando gli stessi algoritmi di codifica dei contenuti: gzip, deflate e Brotli;
- rilevare la presenza di plug-in CAPTCHA in siti WordPress, riuscendo a caricare il risolutore per alcuni di questi plugin.
Possibili mitigazioni del rischio
Poiché le campagne di attacchi brute force possono comportare non solo la violazione dei server ma anche la distribuzione di malware, per mitigare la minaccia GoTrim, Fortinet consiglia ai proprietari di siti WordPress di:
- utilizzare password amministrative complesse difficili da forzare;
- di aggiornare il software CMS di base e tutti i relativi plug-in presenti sui propri siti all’ultima versione disponibile. Ciò ridurrebbe anche il rischio di infezioni da malware che sfruttano eventuali vulnerabilità non sanate.
E ammonisce
“Sebbene questo malware sia ancora un work in progress, il fatto che abbia un brute force WordPress perfettamente funzionante combinato con le sue tecniche di evasione anti-bot lo rende una minaccia da tenere d’occhio, specialmente con l’immensa popolarità del CMS WordPress, che alimenta milioni di utenti di siti web a livello globale“.
Secondo il rapporto, la campagna malware GoTrim individuata nel settembre 2022 sarebbe purtroppo ancora in corso.
Tech
Ricarica wireless potenziata per iPhone 12 e titanio lucido per iPhone 16 Pro
Tempo di lettura: 2 minuti. Scopri come l’aggiornamento iOS 17.4 migliora la ricarica wireless dell’iPhone 12 e le anticipazioni su una nuova finitura in titanio per l’iPhone 16 Pro
Apple continua a innovare nel campo degli smartphone con due novità significative per gli utenti iPhone. Da una parte, l’aggiornamento iOS 17.4 porta una piacevole sorpresa per i possessori di iPhone 12, consentendo una ricarica wireless fino a 15W con caricabatterie Qi2 non-MagSafe. Dall’altra, emergono voci su una nuova finitura in titanio lucidato per i modelli iPhone 16 Pro, promettendo un’estetica raffinata e una maggiore resistenza ai graffi.
Ricarica Wireless più veloce per iPhone 12
Grazie all’aggiornamento a iOS 17.4, l’iPhone 12 ha guadagnato la capacità di ricaricarsi alla massima velocità di 15W utilizzando caricabatterie Qi2 non-MagSafe. Questa funzionalità era precedentemente limitata a 7.5W con caricabatterie non certificati MagSafe, mentre i modelli iPhone 13 e successivi hanno ricevuto il supporto per la ricarica Qi2 già con l’aggiornamento iOS 17.2. Questo incremento di velocità nella ricarica wireless migliora significativamente l’esperienza utente, riducendo i tempi di attesa per una ricarica completa.
Nuova finitura in titanio lucidato per iPhone 16 Pro
Le prossime versioni di iPhone 16 Pro dovrebbero presentare una nuova finitura in titanio lucidato, ottenuta mediante un processo migliorato che conferisce ai dispositivi un aspetto più raffinato rispetto ai modelli iPhone 15 Pro, i quali vantano una finitura spazzolata. Questo nuovo processo di lavorazione del titanio dovrebbe offrire una resistenza superiore ai graffi rispetto all’acciaio inossidabile utilizzato in precedenza, mantenendo al contempo una finitura lucida e di alto livello estetico.
Il passaggio al titanio non solo contribuisce a un design più elegante e resistente, ma contribuisce anche a ridurre il peso complessivo del dispositivo, migliorando la portabilità e il comfort d’uso. Inoltre, la struttura in titanio e il sottosquadro in alluminio migliorano la dissipazione del calore, garantendo prestazioni ottimali anche durante l’utilizzo intensivo.
Queste innovazioni nei modelli di iPhone evidenziano l’impegno continuo di Apple nell’offrire esperienze utente migliorate attraverso avanzamenti tecnologici sia hardware che software. Gli utenti possono aspettarsi dispositivi non solo più veloci e efficienti, ma anche esteticamente più accattivanti e resistenti all’usura quotidiana.
Tech
Vulnerabilità WallEscape in Linux: vecchia di un decennio, ma ancora pericolosa
Tempo di lettura: 2 minuti. Scopri i dettagli della vulnerabilità WallEscape in Linux, che permette di creare falsi prompt sudo e rubare password, e come proteggersi.
Una vulnerabilità nel comando wall del pacchetto util-linux, parte integrante del sistema operativo Linux, è stata scoperta potenzialmente in grado di permettere ad un attaccante non privilegiato di rubare password o alterare gli appunti (clipboard) della vittima. Questo bug, noto come WallEscape e tracciato come CVE-2024-28085, è stato presente in ogni versione del pacchetto negli ultimi 11 anni, fino alla recente release 2.40.
WallEscape colpisce il comando ‘wall’, comunemente utilizzato nei sistemi Linux per trasmettere messaggi ai terminali di tutti gli utenti connessi allo stesso sistema, come un server. L’insufficiente filtraggio delle sequenze di escape durante l’elaborazione dell’input attraverso gli argomenti della riga di comando consente a un utente non privilegiato di sfruttare la vulnerabilità usando caratteri di controllo di escape per creare un falso prompt SUDO sui terminali di altri utenti e indurli a digitare la propria password di amministratore.
Condizioni per l’esposizione
L’exploit di questa vulnerabilità richiede condizioni specifiche: l’utilità mesg deve essere attiva e il comando wall deve avere i permessi setgid. Queste condizioni sono soddisfatte su sistemi come Ubuntu 22.04 LTS (Jammy Jellyfish) e Debian 12.5 (Bookworm), ma non su CentOS.
Scenari di attacco
Uno scenario di attacco include la creazione di un falso prompt sudo per il terminale Gnome, ingannando l’utente affinché digiti la propria password. Questo può essere realizzato inviando tramite il comando wall uno script che modifica l’input nel terminale dell’obiettivo, nascondendo la digitazione e cambiando il colore di primo piano, in modo che il falso prompt per la password appaia come una richiesta legittima.
Un altro metodo di attacco potrebbe mirare a cambiare gli appunti di un utente target attraverso sequenze di escape, sebbene questo metodo non funzioni con tutti gli emulatori di terminali, inclusi quelli di Gnome.
Misure di mitigazione
Gli amministratori di sistema possono mitigare immediatamente CVE-2024-28085 rimuovendo i permessi setgid dal comando ‘wall’ o disabilitando la funzionalità di trasmissione dei messaggi usando il comando ‘mesg’ per impostare la sua flag su ‘n’.
Gli utenti sono invitati ad aggiornare alla versione 2.40 di linux-utils per correggere la vulnerabilità, normalmente disponibile tramite il canale di aggiornamento standard della distribuzione Linux nel gestore di pacchetti, sebbene possano verificarsi dei ritardi.
L’exploit di WallEscape dipende dall’accesso locale (fisico o remoto tramite SSH), limitandone la gravità, ma il rischio persiste per utenti non privilegiati con accesso allo stesso sistema della vittima in contesti multi-utente come i server di un’organizzazione.
Tech
Grok si aggiorna alla versione 1.5: risultati eccezionali in vista?
Tempo di lettura: < 1 minuto. Scopri Grok 1.5, l’ultimo modello AI di X.ai, con avanzamenti significativi in programmazione e matematica e una capacità di contesto estesa.
L’avviamento di Elon Musk, X.ai, è in procinto di introdurre un significativo aggiornamento per il suo chatbot Grok, elevandolo alla versione 1.5. Questo nuovo modello promette avanzamenti notevoli in termini di capacità di ragionamento, soprattutto in ambiti quali la programmazione e la matematica. Grok 1.5 ha infatti ottenuto risultati eccezionali, superando di gran lunga il predecessore nei benchmark matematici MATH e migliorando sensibilmente nelle competenze di generazione del linguaggio di programmazione e risoluzione di problemi, come evidenziato dal test HumanEval.
Contesto ampliato e prestazioni superiori
Una delle migliorie più rilevanti di Grok 1.5 è la sua capacità di gestire un contesto significativamente più ampio, con una finestra di 128.000 token.
Benchmark | Grok-1 | Grok-1.5 | Mistral Large | Claude 2 | Claude 3 Sonnet | Gemini Pro 1.5 | GPT-4 | Claude 3 Opus |
---|---|---|---|---|---|---|---|---|
MMLU | 73% 5-shot | 81.3% 5-shot | 81.2% 5-shot | 75% 5-shot | 79% 5-shot | 83.7% 5-shot | 86.4% 5-shot | 86.8 5-shot |
MATH | 23.9% 4-shot | 50.6% 4-shot | — | — | 40.5% 4-shot | 58.5% 4-shot | 52.9% 4-shot | 61% 4-shot |
GSM8K | 62.9 8-shot | 90% 8-shot | 81% 5-shot | 88% 0-shot CoT | 92.3% 0-shot CoT | 91.7% 11-shot | 92% 5-shot | 95% 0-shot CoT |
HumanEval | 63.2% 0-shot | 74.1% 0-shot | 45.1% 0-shot | 70% 0-shot | 73% 0-shot | 71.9% 0-shot | 67% 0-shot | 84.9% 0-shot |
Questo ampliamento consente al modello di analizzare e utilizzare informazioni estratte da documenti molto più estesi, affrontando prompt più complessi senza perdere di vista le istruzioni ricevute.
Svolta nel dialogo AI
Grok si distingue per la sua tendenza a trattare argomenti spesso evitati da altri modelli AI, inclusi quelli di natura controversa o politica. Questa caratteristica, unita alla capacità di esprimersi con un “tono ribelle” descritto da Musk, rende Grok un modello unico nel suo genere. Non sono ancora chiare le specifiche novità che Grok 1.5 apporterà in questo ambito.
Prossimi passi e accessibilità
Grok 1.5 verrà presto reso disponibile ai tester anticipati sulla piattaforma social X, arricchito da nuove funzionalità che Musk ha lasciato intendere potrebbero includere la sintesi di discussioni e la proposta di contenuti per i post. L’annuncio di Grok 1.5 segue la recente decisione di X.ai di rendere open source il modello base di Grok-1, sebbene senza il codice per il suo ulteriore sviluppo.
- L'Altra Bolla1 settimana fa
Meta riduce costo abbonamento
- Inchieste7 giorni fa
Elezioni: Google finanzia il Ministero della Verità, Meta alle prese con i Watermark AI
- Notizie6 giorni fa
Sicurezza full-optional: garanzia di un Cloud di qualità
- Economia1 settimana fa
Svolta IA in Microsoft e Google Deep Mind: entrano Mustafa Suleyman e Liz Reid
- Economia4 giorni fa
Apple, Meta e Google nel mirino dell’UE per non conformità al DMA
- Economia4 giorni fa
Chi è Jay Graber? CEO del social decentralizzato BlueSky
- Economia4 giorni fa
Cina ban semiconduttori USA dai PC governativi
- Economia3 giorni fa
Sanzioni USA colpiscono settore crypto per presunti legami con banche russe