Sicurezza Informatica
Attività di cyber spionaggio di RedJuliett contro Taiwan
Tempo di lettura: 3 minuti. RedJuliett intensifica le attività di cyber-spionaggio contro Taiwan sfruttando vulnerabilità nei dispositivi di rete: tecniche e consigli
![](https://www.matricedigitale.it/wp-content/uploads/2024/06/aldebaran33_Chinese_State-Sponsored_RedJuliett_Intensifies_Taiw_e69253e3-9e0d-4575-80cd-c350789b49bb.jpg)
Dal novembre 2023 all’aprile 2024, Insikt Group ha identificato attività di cyber-spionaggio condotte da RedJuliett, un gruppo probabilmente sponsorizzato dallo stato cinese. Questo gruppo ha principalmente preso di mira organizzazioni governative, accademiche, tecnologiche e diplomatiche a Taiwan, sfruttando vulnerabilità note in dispositivi di rete come firewall, VPN e bilanciatori di carico per ottenere l’accesso iniziale. Si ritiene che RedJuliett operi da Fuzhou, Cina, e le sue attività mirano a sostenere la raccolta di informazioni da parte di Pechino sulle relazioni economiche e diplomatiche di Taiwan, nonché sullo sviluppo tecnologico critico.
Attività e tecniche di RedJuliett
![](https://www.matricedigitale.it/wp-content/uploads/2024/06/image-206-3-1024x473.jpg)
Le attività di RedJuliett si sono espanse per includere organizzazioni a Hong Kong, Malesia, Laos, Corea del Sud, Stati Uniti, Gibuti, Kenya e Ruanda. Oltre a sfruttare le vulnerabilità nei dispositivi di rete esposti a Internet, RedJuliett ha utilizzato tecniche di iniezione SQL e traversal di directory contro applicazioni web e SQL. Le organizzazioni dovrebbero integrare la patching di routine con strategie di difesa approfondite, concentrandosi sulla rilevazione della persistenza post-sfruttamento, della scoperta e delle attività di movimento laterale per contrastare queste minacce. È inoltre raccomandato che le organizzazioni auditino regolarmente i dispositivi esposti a Internet e riducano la loro superficie di attacco ove possibile.
Principali risultati
![](https://www.matricedigitale.it/wp-content/uploads/2024/06/image-206-2-1024x863.jpg)
- Organizzazioni Vittime: RedJuliett ha compromesso 24 organizzazioni, inclusi enti governativi a Taiwan, Laos, Kenya e Ruanda. Il gruppo ha inoltre condotto attività di ricognizione di rete o tentativi di sfruttamento contro oltre 70 organizzazioni accademiche, governative, think tank e tecnologiche a Taiwan, oltre a diverse ambasciate de facto operanti sull’isola.
- Tecniche di Sfruttamento: RedJuliett ha creato un ponte o un client VPN SoftEther nelle reti vittime. Inoltre, il gruppo ha condotto attività di ricognizione e tentativi di sfruttamento utilizzando Acunetix Web Application Security Scanners. RedJuliett ha tentato anche tecniche di iniezione SQL e traversal di directory contro applicazioni web e SQL. Dopo lo sfruttamento, il gruppo ha utilizzato web shell open-source e ha sfruttato una vulnerabilità di elevazione dei privilegi nel sistema operativo Linux.
- Infrastruttura: RedJuliett gestisce l’infrastruttura operativa utilizzando SoftEther VPN, sfruttando sia server controllati dagli attori delle minacce sia infrastrutture compromesse appartenenti a università taiwanesi.
- Implicazioni per Taiwan: Le attività di RedJuliett sono allineate agli obiettivi di Pechino di raccogliere informazioni sulla politica economica, commerciale e sulle relazioni diplomatiche di Taiwan. Il gruppo ha preso di mira anche diverse aziende tecnologiche critiche, evidenziando l’importanza strategica di questo settore per gli attori delle minacce sponsorizzati dallo stato cinese.
Raccomandazioni per le Organizzazioni
Le organizzazioni che potrebbero essere prese di mira da RedJuliett dovrebbero adottare le seguenti misure:
- Segmentazione della Rete: Praticare la segmentazione della rete isolando i servizi esposti a Internet in una zona demilitarizzata (DMZ).
- Monitoraggio della Sicurezza: Garantire capacità di monitoraggio e rilevazione della sicurezza per tutti i servizi e dispositivi esterni. Monitorare attività successive come l’uso di web shell, backdoor o reverse shell e movimento laterale all’interno delle reti interne.
- Revisione delle Linee Guida Pubbliche: Rivedere le linee guida pubbliche sulla mitigazione delle TTP comuni utilizzate dai gruppi sponsorizzati dallo stato cinese e il rapporto di Insikt Group sulle tendenze e raccomandazioni per mitigare l’attività APT cinese.
- Patching Basato sul Rischio: Assicurare un approccio basato sul rischio per la patching delle vulnerabilità, dando priorità alle vulnerabilità ad alto rischio e a quelle sfruttate in natura, come identificato dall’Intelligence sulle Vulnerabilità di Recorded Future.
- Priorità alle Vulnerabilità RCE: Concentrarsi sulla risoluzione delle vulnerabilità di esecuzione di codice remoto (RCE) nei popolari dispositivi VPN, server di posta, firewall e bilanciatori di carico, in particolare dispositivi F5 BIG-IP, Fortinet FortiGate e ZyXEL ZyWALL.
- Analisi del Traffico Malevolo: Monitorare l’Analisi del Traffico Malevolo (MTA) per rilevare e allertare proattivamente sulle infrastrutture che comunicano con indirizzi IP di comando e controllo (C2) noti di RedJuliett.
- Monitoraggio delle Catene di Fornitura: Utilizzare l’Intelligence di Terze Parti di Recorded Future per monitorare in tempo reale e identificare attività sospette di intrusione che coinvolgono fornitori e partner chiave.
- Estensione dell’Intelligence sulle Minacce: Installare l’Estensione del Browser per l’Intelligence sulle Minacce di Recorded Future per accedere istantaneamente all’intelligence sulle minacce da qualsiasi risorsa web, abilitando un’elaborazione più rapida degli allarmi all’interno dei sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM) e priorizzando le vulnerabilità da patchare.
Insikt Group prevede che RedJuliett e altri gruppi di minacce sponsorizzati dallo stato cinese continueranno a prendere di mira Taiwan per la raccolta di informazioni, concentrandosi su università, organizzazioni governative, think tank e aziende tecnologiche. Questi gruppi continueranno le loro attività di ricognizione e sfruttamento dei dispositivi esposti al pubblico, una tattica che si è dimostrata efficace per scalare le loro operazioni e ottenere l’accesso iniziale a una vasta gamma di obiettivi globali.
Per leggere l’analisi completa, clicca qui per scaricare il rapporto in formato PDF.
Sicurezza Informatica
La sicurezza della memoria nei progetti Open Source critici
Tempo di lettura: 2 minuti. Rapporto congiunto di CISA, FBI, ASD e CCCS sulla sicurezza della memoria nei progetti open source critici: rischi e raccomandazioni.
![](https://www.matricedigitale.it/wp-content/uploads/2024/06/image-254.jpg)
La sicurezza dei progetti open source critici è di fondamentale importanza per garantire la protezione delle infrastrutture digitali. La Cybersecurity and Infrastructure Security Agency (CISA), in collaborazione con il Federal Bureau of Investigation (FBI), l’Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC) e il Canadian Centre for Cyber Security (CCCS), ha pubblicato un rapporto congiunto che esplora la sicurezza della memoria nei progetti open source. Questa guida, pubblicata il 26 giugno 2024, analizza i rischi associati all’uso di linguaggi di programmazione non sicuri per la gestione della memoria.
Il rapporto congiunto evidenzia che le vulnerabilità legate alla sicurezza della memoria sono tra le più comuni e costose da gestire. Queste vulnerabilità possono portare a buffer overflow, uso dopo il rilascio della memoria e altri problemi che consentono agli avversari di prendere il controllo dei software, sistemi e dati. La guida mira a fornire un punto di partenza per creare roadmap di sicurezza della memoria, identificando i progetti open source critici e valutando l’uso di linguaggi di programmazione sicuri e non sicuri.
Metodologia e Risultati
L’analisi ha coinvolto 172 progetti critici identificati dalla Open Source Security Foundation (OpenSSF). Tra questi, il 52% dei progetti contiene codice scritto in linguaggi non sicuri per la memoria, e il 55% del totale delle linee di codice (LoC) è scritto in tali linguaggi. I linguaggi non sicuri per la memoria richiedono che i programmatori gestiscano manualmente l’uso e l’allocazione della memoria, aumentando il rischio di errori e vulnerabilità.
Proporzione di Linguaggi non sicuri nei Progetti
Categoria | Progetti | Proporzione |
---|---|---|
Solo linguaggi sicuri | 82 | 48% |
Almeno un linguaggio non sicuro | 90 | 52% |
Linee di codice totali | 314,755,905 | |
Linee di codice non sicure | 173,588,291 | 55% |
Discussione
L’analisi ha rivelato che molti progetti critici open source sono parzialmente scritti in linguaggi non sicuri per la memoria. Anche i progetti scritti principalmente in linguaggi sicuri possono contenere dipendenze da componenti scritti in linguaggi non sicuri. Questo aumenta il rischio di vulnerabilità di sicurezza della memoria.
È importante continuare a promuovere l’uso di linguaggi di programmazione sicuri per la memoria, come Rust, che trasferiscono la responsabilità della gestione della memoria dal programmatore al compilatore o all’interprete. Questo riduce significativamente le opportunità di introdurre vulnerabilità di sicurezza della memoria. Inoltre, è fondamentale adottare pratiche di codifica sicura e test di sicurezza rigorosi.
Raccomandazioni
Il rapporto congiunto raccomanda agli sviluppatori di software di creare roadmap per la sicurezza della memoria, compresi piani per affrontare la sicurezza della memoria nelle dipendenze esterne. È inoltre incoraggiato lo sviluppo e l’adozione di strumenti di analisi delle dipendenze per identificare e mitigare i rischi associati all’uso di linguaggi non sicuri.
Per ulteriori dettagli, il rapporto completo è disponibile qui.
Sicurezza Informatica
Vulnerabilità nei Router D-Link DIR-859: CVE-2024-0769
Tempo di lettura: 2 minuti. Scoperta vulnerabilità critica CVE-2024-0769 nei router D-Link DIR-859, che mette a rischio informazioni sensibili.
![](https://www.matricedigitale.it/wp-content/uploads/2024/06/image-253.png)
GreyNoise Labs ha recentemente scoperto una grave vulnerabilità nei router WiFi D-Link DIR-859. Identificata come CVE-2024-0769, questa vulnerabilità permette un traversal dei percorsi, portando alla divulgazione di informazioni sensibili. La vulnerabilità colpisce tutte le revisioni e i firmware dei router DIR-859, dispositivi che non riceveranno mai patch di sicurezza essendo stati dichiarati EOL.
Dettagli della Vulnerabilità
CVE-2024-0769 è una vulnerabilità di traversal dei percorsi che consente di accedere a file riservati all’interno del router, rivelando informazioni sensibili come nomi utente, password, gruppi e descrizioni di tutti gli utenti del dispositivo. L’exploit originale è stato descritto in un report disponibile qui. L’attacco utilizza il seguente payload per sfruttare la vulnerabilità:
bashCopia codice../../../../htdocs/webinc/getcfg/DHCPS6.BRIDGE-1.xml
GreyNoise ha osservato una variazione di questo exploit che rende visibile un file PHP diverso, permettendo di raccogliere informazioni complete sugli utenti del dispositivo.
Impatto e Rischi
Questa vulnerabilità rappresenta un rischio significativo, poiché permette agli attaccanti di accedere a dati sensibili e di utilizzarli per ulteriori attacchi. I router D-Link DIR-859 non riceveranno patch di sicurezza per questa vulnerabilità, aumentando il rischio di esposizione prolungata. Gli attaccanti possono sfruttare queste informazioni per compromettere ulteriormente le reti domestiche e aziendali.
Esempio di exploit osservato da GreyNoise:
xmlCopia codicePOST /hedwig.cgi HTTP/1.1
Host: <ip>:8088
Content-Length: 141
Content-Type: text/xml
Cookie: uid=R8tBjwtFc8
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; The World)
<?xml version="1.0" encoding="utf-8"?>
<postxml><module><service>
../../../htdocs/webinc/getcfg/DEVICE.ACCOUNT.xml
</service></module></postxml>
Misure di Sicurezza
Gli utenti dei router D-Link DIR-859 dovrebbero considerare seriamente la sostituzione dei loro dispositivi con modelli più recenti e sicuri che ricevano aggiornamenti regolari. È fondamentale monitorare costantemente le reti per individuare eventuali attività sospette e adottare misure preventive per proteggere le informazioni sensibili.
La vulnerabilità CVE-2024-0769 nei router D-Link DIR-859 evidenzia l’importanza di mantenere aggiornati i dispositivi di rete e di sostituire quelli dichiarati End-of-Life. La sicurezza delle informazioni è fondamentale, e le vulnerabilità non risolte rappresentano un rischio elevato per gli utenti. GreyNoise Labs ha dichiarato che continuerà a monitorare l’attività relativa a questa vulnerabilità per proteggere gli utenti e migliorare la sicurezza della rete.
Sicurezza Informatica
Google rafforza la sicurezza dei Certificati Digitali in Chrome
Tempo di lettura: 3 minuti. Google rafforza la sicurezza dei certificati digitali revocando la fiducia ai certificati Entrust a partire da novembre 2024.
![](https://www.matricedigitale.it/wp-content/uploads/2023/04/image-156.png)
Il Team di Sicurezza di Chrome dà priorità alla sicurezza e alla privacy degli utenti di Chrome e non è disposto a comprometterle e la Chrome Root Program Policy stabilisce che i certificati CA inclusi nel Chrome Root Store devono fornire un valore agli utenti di Google Chrome che superi il rischio della loro inclusione continuativa.
Negli ultimi anni, i rapporti sugli incidenti hanno evidenziato un comportamento preoccupante da parte di Entrust che non soddisfa le aspettative di affidabilità e integrità come CA di fiducia.
In risposta a queste preoccupazioni, Chrome adotterà le seguenti azioni per preservare l’integrità dell’ecosistema Web PKI.
Cambiamenti previsti in Chrome 127 e Versioni Successive
I certificati di autenticazione server TLS che validano alle seguenti radici Entrust con il primo Signed Certificate Timestamp (SCT) datato dopo il 31 ottobre 2024, non saranno più considerati affidabili per impostazione predefinita:
- CN=Entrust Root Certification Authority – EC1
- CN=Entrust Root Certification Authority – G2
- CN=Entrust.net Certification Authority (2048)
- CN=Entrust Root Certification Authority
- CN=Entrust Root Certification Authority – G4
- CN=AffirmTrust Commercial
- CN=AffirmTrust Networking
- CN=AffirmTrust Premium
- CN=AffirmTrust Premium ECC
I certificati che validano alle radici sopra elencate e con il primo SCT datato entro il 31 ottobre 2024 non saranno influenzati da questo cambiamento.
Perché Chrome sta adottando questa misura?
Le Autorità di Certificazione (CA) hanno un ruolo privilegiato e di fiducia su Internet, che supporta le connessioni crittografate tra browser e siti web. Questa grande responsabilità comporta l’adesione a aspettative di sicurezza e conformità ragionevoli e basate sul consenso, inclusi i requisiti di base TLS CA/Browser.
Negli ultimi sei anni, abbiamo osservato un modello di fallimenti di conformità, impegni di miglioramento non soddisfatti e l’assenza di progressi tangibili in risposta ai rapporti sugli incidenti divulgati pubblicamente. Quando questi fattori sono considerati in aggregato e confrontati con il rischio intrinseco che ogni CA di fiducia pubblica rappresenta per l’ecosistema Internet, riteniamo che la fiducia continuata di Chrome in Entrust non sia più giustificata.
Quando avverrà questa azione?
L’azione di blocco inizierà circa il 1° novembre 2024, influenzando i certificati emessi da quel momento in poi. L’azione di blocco avverrà nelle versioni di Chrome 127 e successive su Windows, macOS, ChromeOS, Android e Linux.
Impatto sugli Utenti
Gli utenti di Chrome che navigheranno su un sito web che serve un certificato emesso da Entrust o AffirmTrust dopo il 31 ottobre 2024 vedranno un’interstiziale a pagina intera simile a questa. I certificati emessi da altre CA non sono influenzati da questa azione.
![](https://www.matricedigitale.it/wp-content/uploads/2024/06/image-252-1024x603.png)
Come verificare se il proprio sito è coinvolto
Gli operatori dei siti web possono determinare se sono coinvolti utilizzando il Chrome Certificate Viewer:
- Navigare su un sito web (es. https://www.google.com)
- Cliccare sull’icona “Tune”
- Cliccare su “Connessione Sicura”
- Cliccare su “Certificato Valido” (si aprirà il Chrome Certificate Viewer)
- Non è richiesta azione se il campo “Organizzazione (O)” sotto l’intestazione “Emesso Da” non contiene “Entrust” o “AffirmTrust”.
- È richiesta azione se il campo “Organizzazione (O)” sotto l’intestazione “Emesso Da” contiene “Entrust” o “AffirmTrust”.
Azioni da Intraprendere
Si consiglia agli operatori dei siti web coinvolti di passare a una nuova CA di fiducia pubblica il prima possibile. Per evitare un impatto negativo sugli utenti, l’azione deve essere completata prima che i certificati esistenti scadano, se la scadenza è prevista dopo il 31 ottobre 2024.
Testare le Modifiche
Un flag della riga di comando è stato aggiunto a partire da Chrome 128, consentendo agli amministratori e agli utenti avanzati di simulare l’effetto di un vincolo di diffidenza SCTNotAfter.
Per ulteriori dettagli, è possibile visitare il blog ufficiale di sicurezza di Google.
- Smartphone1 settimana fa
Aggiornamenti di sicurezza Galaxy S21 FE e A55
- Smartphone1 settimana fa
Realme GT 6 vs POCO F6: quale scegliere?
- Smartphone1 settimana fa
Honor 200 Pro vs. Google Pixel 8 Pro: quale scegliere?
- Smartphone1 settimana fa
Galaxy A42 5G, S20 FE e A52s si aggiornano: One UI 6.1.1 arriva presto
- Smartphone1 settimana fa
Samsung Galaxy A53 5G, S23 FE e One UI 6.1.1: novità e aggiornamenti
- Smartphone1 settimana fa
Samsung dice addio a A51, A41 e M01: resiste l’S21 Ultra
- Smartphone1 settimana fa
Samsung Galaxy Z Fold 6, Z Flip 6 e S25 Ultra: novità e specifiche
- Tech1 settimana fa
Prezzi di Samsung Galaxy Buds 3, Watch 7 e Watch Ultra Online. Sono dolori