Sicurezza Informatica
Nuova vulnerabilità in Glibc espone Linux a gravi rischi
Una grave vulnerabilità nella GNU C Library (glibc), identificata come CVE-2023-6246, minaccia la sicurezza delle principali distribuzioni Linux, consentendo ad attaccanti locali malintenzionati di ottenere pieni privilegi di root. Scoperta di recente, questa vulnerabilità di overflow del buffer basata sul heap ha origine nella funzione __vsyslog_internal()
di glibc, utilizzata per scopi di logging del sistema tramite le funzioni syslog()
e vsyslog()
. Introdotto accidentalmente nell’agosto 2022 con il rilascio di glibc 2.37, questo difetto apre la porta a escalation di privilegio da parte di utenti non privilegiati.
Condizioni Specifiche per l’Esploitazione
Nonostante l’esploitazione di CVE-2023-6246 richieda condizioni particolari, come un argomento argv[0]
o ident
di openlog()
insolitamente lungo, l’impatto è significativo data l’ampia diffusione della libreria colpita. Distribuzioni Linux come Debian, Ubuntu e Fedora sono tra le più impattate.
Ulteriori Vulnerabilità Rilevate
L’analisi approfondita di glibc ha rivelato altre due vulnerabilità nella stessa funzione __vsyslog_internal()
(CVE-2023-6779 e CVE-2023-6780), oltre a un terzo bug nella funzione qsort()
che può portare a corruzione della memoria. Quest’ultimo bug affligge tutte le versioni di glibc rilasciate dal 1992, ampliando ulteriormente la portata dei potenziali rischi.
La Necessità di Misure di Sicurezza Rigide
Queste scoperte sottolineano l’importanza critica di adottare misure di sicurezza rigorose nello sviluppo del software, specialmente per le librerie fondamentali ampiamente utilizzate in numerosi sistemi e applicazioni. La situazione richiede un’attenzione immediata da parte degli amministratori di sistema e degli sviluppatori per mitigare i rischi associati e proteggere le infrastrutture dalle possibili compromissioni.
Riflessioni sull’Impatto e le Misure di Mitigazione
La rivelazione di CVE-2023-6246 e delle vulnerabilità correlate in glibc mette in evidenza i rischi inerenti alla sicurezza delle infrastrutture basate su Linux. La necessità di aggiornamenti tempestivi e l’adozione di best practice di sicurezza sono essenziali per difendersi da potenziali attacchi che sfruttano queste falle. Con il panorama delle minacce in continua evoluzione, la comunità Linux deve rimanere vigile e proattiva nel rafforzare le difese contro le vulnerabilità emergenti.
Sicurezza Informatica
TA397: spionaggio internazionale con WmRAT e MiyaRAT
Tempo di lettura: 2 minuti. TA397 utilizza nuove tecniche di attacco per distribuire WmRAT e MiyaRAT, colpendo organizzazioni governative e della difesa.
Il gruppo di cyber spionaggio TA397, noto anche come Bitter, ha introdotto nuove e sofisticate catene di attacco per colpire organizzazioni governative e del settore della difesa, principalmente nelle regioni EMEA (Europa, Medio Oriente e Africa) e APAC (Asia-Pacifico). Proofpoint ha analizzato una recente campagna che utilizza tecniche avanzate per distribuire i malware WmRAT e MiyaRAT, progettati per raccogliere informazioni sensibili.
Una catena di infezione mirata e ingannevole
Il 18 novembre 2024, TA397 ha condotto un attacco mirato contro un’organizzazione della difesa in Turchia, utilizzando un’esca sotto forma di email di spear phishing. L’email conteneva un archivio RAR con diversi file, tra cui:
- Un documento PDF legittimo proveniente dalla World Bank che descrive un progetto infrastrutturale in Madagascar.
- Un file di collegamento LNK mascherato da documento PDF.
- Flussi di dati alternativi (ADS) nascosti che contenevano codice PowerShell dannoso.
L’utente, attirato dall’apparente legittimità del file PDF, eseguiva inavvertitamente il file LNK, attivando una catena di infezione che includeva:
- L’apertura del PDF come decoy per distrarre l’utente.
- L’esecuzione di script PowerShell tramite il flusso ADS.
- La creazione di un’attività pianificata che comunicava regolarmente con il server di comando e controllo (C2) jacknwoods[.]com.
Questa attività pianificata inviava informazioni di base sul dispositivo della vittima e scaricava ulteriori payload malevoli, tra cui i RAT (Remote Access Trojans) WmRAT e MiyaRAT.
WmRAT e MiyaRAT: strumenti di spionaggio avanzati
WmRAT, scritto in C++, offre funzionalità classiche di RAT, come la cattura di screenshot, l’esfiltrazione di file e l’esecuzione di comandi remoti. Il malware utilizza una semplice crittografia per comunicare con il server C2, rendendo difficile l’intercettazione da parte delle difese di rete.
MiyaRAT, introdotto più recentemente, include funzionalità simili, ma con una crittografia più sofisticata e un livello più elevato di offuscamento del codice. Questo strumento è riservato a obiettivi di alto valore, come evidenziato dalla distribuzione limitata in campagne selezionate.
Entrambi i malware sono stati utilizzati per raccogliere informazioni critiche, come dati sulle directory, processi in esecuzione e geolocalizzazione, e per interagire direttamente con la rete dell’organizzazione compromessa.
Tecniche di persistenza e copertura delle tracce
TA397 dimostra una notevole abilità nell’evadere le misure di sicurezza, utilizzando:
- Attività pianificate per garantire la persistenza.
- Offuscamento dei file esca, mascherati per sembrare innocui.
- Crittografia personalizzata per proteggere le comunicazioni con i server C2.
Queste tecniche, combinate con un’infrastruttura di comando e controllo che utilizza domini legittimi e indirizzi IP non direttamente riconducibili al gruppo, complicano ulteriormente le indagini forensi.
TA397 “rappresenta una minaccia significativa per organizzazioni strategiche in tutto il mondo”. Le sue campagne mirate dimostrano una continua evoluzione delle tecniche di attacco, sottolineando la necessità di misure di difesa avanzate e un monitoraggio costante delle infrastrutture IT per rilevare attività sospette.
Sicurezza Informatica
Careto: ritorna in scena lo storico APT
Tempo di lettura: 2 minuti. Careto APT torna in azione con nuove tecniche di attacco, sfruttando server email e malware avanzati come FakeHMP.
Il leggendario gruppo APT Careto, noto anche come The Mask, è tornato in azione con nuove tecniche di attacco avanzate, dopo un decennio di silenzio. Questo attore, attivo almeno dal 2007, si concentra su attacchi altamente mirati contro organizzazioni governative, diplomatiche e di ricerca. L’ultimo rapporto di Kaspersky, presentato alla Virus Bulletin International Conference 2024, rivela dettagli inediti sulle campagne più recenti di Careto.
Nuove tecniche di persistenza: attacchi al server MDaemon
Una delle campagne più recenti, osservata nel 2022, ha preso di mira un’organizzazione in America Latina, utilizzando un metodo sofisticato per mantenere la persistenza nei sistemi compromessi. Gli attaccanti hanno sfruttato una funzionalità del server email MDaemon, nota come WorldClient, che consente l’aggiunta di estensioni personalizzate per gestire richieste HTTP.
Careto ha creato un’estensione malevola configurata per caricare payload e mantenere il controllo del server tramite richieste HTTP indirizzate a una URL specifica. Questa tecnica ha permesso al gruppo di raccogliere informazioni sensibili e di diffondere l’infezione all’interno della rete tramite movimenti laterali.
FakeHMP e altre innovazioni per il movimento laterale
Un elemento centrale delle nuove campagne di Careto è il malware FakeHMP, progettato per eseguire azioni avanzate come:
- Registrare input da tastiera,
- Catturare screenshot,
- Estrarre file e distribuirli su sistemi compromessi.
Per diffondersi, Careto ha utilizzato file legittimi del software di sicurezza HitmanPro Alert, sfruttandone un driver vulnerabile (hmpalert.sys) per caricare un DLL malevolo. Questo ha permesso agli attaccanti di iniettare codice in processi privilegiati come winlogon.exe, garantendo un controllo persistente.
Una variante di questa tecnica è stata osservata nel 2024, quando gli attaccanti hanno sfruttato il processo di aggiornamento di Google per distribuire il malware.
Attacchi storici e sovrapposizioni tattiche
Il gruppo Careto è stato associato a diverse campagne storiche, tra cui attacchi documentati nel 2019 e tra il 2007 e il 2013. Le tattiche utilizzate, come il COM hijacking per la persistenza e l’uso di sistemi virtuali per archiviare plugin, sono rimaste coerenti nel tempo, suggerendo una continuità operativa.
Nel 2019, Careto ha utilizzato due framework malevoli denominati Careto2 e Goreto. Questi strumenti implementavano funzionalità avanzate, come keylogger e screenshot taker, e sfruttavano servizi cloud come Google Drive per caricare ed eseguire comandi in remoto.
Il ritorno di Careto APT dimostra la resilienza e l’evoluzione del gruppo, che continua a sviluppare tecniche innovative e malware multi-componente. La comunità di sicurezza deve restare vigile, poiché le future campagne di questo attore saranno probabilmente altrettanto sofisticate.
Sicurezza Informatica
Nvidia, SonicWall e Apache Struts: vulnerabilità critiche e soluzioni
Tempo di lettura: 3 minuti. Nvidia, SonicWall e Apache Struts: vulnerabilità critiche e le soluzioni consigliate per migliorare la sicurezza dei sistemi informatici.
Negli ultimi giorni, sono emerse importanti problematiche di sicurezza e prestazioni legate a software e dispositivi di uso comune. Nvidia sta affrontando difficoltà con la sua nuova app che impatta negativamente sulle prestazioni dei giochi, mentre SonicWall e Apache Struts si trovano al centro di vulnerabilità critiche che potrebbero mettere a rischio migliaia di sistemi aziendali e server globali.
Problemi di prestazioni con la nuova app Nvidia
L’app Nvidia, lanciata lo scorso novembre per migliorare l’esperienza di gioco e garantire aggiornamenti automatici dei driver, ha invece creato problemi significativi. Gli utenti hanno riportato un calo delle prestazioni fino al 15% nei giochi, particolarmente evidente quando si utilizzano funzioni come Game Filters e Photo Mode. Questi strumenti, progettati per migliorare la grafica dei giochi, sembrano invece sovraccaricare il sistema, causando lag, cali di frame rate e crash in alcuni titoli.
Nvidia ha riconosciuto il problema e proposto una soluzione temporanea: disabilitare le funzioni incriminate tramite il menu impostazioni dell’app. Tuttavia, questa soluzione ha lasciato insoddisfatti molti utenti, che richiedono un aggiornamento definitivo per risolvere il problema senza compromettere le funzionalità dell’app. Nvidia ha promesso di rilasciare una patch entro il primo trimestre del 2025, ma fino ad allora, molti giocatori potrebbero optare per software alternativi.
Questo problema solleva preoccupazioni anche sull’affidabilità della gestione delle risorse da parte dell’app Nvidia, un elemento critico per i giocatori competitivi e gli utenti professionali che dipendono da una grafica fluida e senza interruzioni.
SonicWall: oltre 25.000 firewall esposti a gravi vulnerabilità
Un’indagine condotta da esperti di sicurezza ha rivelato che oltre 25.000 firewall SonicWall SSL VPN sono vulnerabili a falle di sicurezza critiche. Molti di questi dispositivi operano con firmware non aggiornati o non più supportati, esponendo reti aziendali e dati sensibili a potenziali attacchi.
Le vulnerabilità rilevate sono state già sfruttate da gruppi di ransomware per accedere ai sistemi delle vittime. Le configurazioni errate, che rendono pubbliche le interfacce di gestione, amplificano il rischio. Gli amministratori di sistema sono stati invitati ad aggiornare immediatamente il firmware e a implementare misure di sicurezza più rigorose per mitigare la minaccia.
SonicWall ha rilasciato aggiornamenti per i modelli ancora supportati, ma migliaia di dispositivi restano a rischio, specialmente quelli che non ricevono più assistenza. Questa situazione evidenzia l’importanza di mantenere i dispositivi aggiornati e di ridurre al minimo le esposizioni pubbliche delle reti aziendali.
Apache Struts: una vulnerabilità critica che mette a rischio server globali
Il framework Apache Struts, ampiamente utilizzato per lo sviluppo di applicazioni web, è stato recentemente colpito da una grave vulnerabilità identificata come CVE-2024-53677. Questa falla permette il caricamento di file dannosi sui server vulnerabili, aprendo la strada all’esecuzione di codice remoto (RCE). Attori malevoli stanno già sfruttando questa vulnerabilità per scansionare e attaccare server esposti, utilizzando Proof-of-Concept (PoC) pubblicati online.
La vulnerabilità interessa tutte le versioni di Apache Struts precedenti alla 6.4.0. Sebbene gli sviluppatori abbiano rilasciato un aggiornamento per risolvere il problema, molti server non sono ancora stati aggiornati, rendendo la minaccia particolarmente diffusa.
La natura critica di questa falla evidenzia la necessità di aggiornare immediatamente i server vulnerabili. Tuttavia, il solo aggiornamento potrebbe non bastare: è fondamentale implementare il nuovo sistema di caricamento file Action File Upload, poiché le configurazioni predefinite rimangono vulnerabili.
I server che non verranno aggiornati rischiano di diventare bersagli principali di attacchi, con potenziali conseguenze devastanti, tra cui perdita di dati, downtime prolungati e compromissione di informazioni sensibili.
Avvisi CISA sui sistemi di controllo industriale (ICS)
La Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato cinque avvisi relativi a vulnerabilità nei sistemi di controllo industriale (ICS). Questi avvisi riguardano infrastrutture critiche in settori come energia, trasporti e manifatturiero.
Tra le vulnerabilità segnalate, alcune riguardano difetti nell’autenticazione, esposizioni di rete non autorizzate e la possibilità di eseguire attacchi di tipo denial-of-service. La gravità di queste vulnerabilità sottolinea la necessità di implementare misure di mitigazione immediate, come aggiornamenti software, segmentazione delle reti ICS e rafforzamento delle politiche di autenticazione.
- ICSA-24-352-01 ThreatQuotient ThreatQ Platform
- ICSA-24-352-02 Hitachi Energy TropOS Devices Series 1400/2400/6400
- ICSA-24-352-03 Rockwell Automation PowerMonitor 1000 Remote
- ICSA-24-352-04 Schneider Electric Modicon
- ICSMA-24-352-01 BD Diagnostic Solutions Products
Questi avvisi rappresentano un richiamo all’importanza della protezione delle infrastrutture critiche, in un contesto in cui le minacce cyber continuano a evolversi e a colpire settori strategici.
Dalle problematiche di prestazioni della nuova app Nvidia alle vulnerabilità di SonicWall e Apache Struts, passando per gli avvisi ICS di CISA, queste situazioni evidenziano l’urgenza di una gestione proattiva della sicurezza informatica. È fondamentale mantenere software e dispositivi aggiornati, rafforzare le configurazioni di rete e implementare le patch appena disponibili per mitigare i rischi e garantire la sicurezza delle infrastrutture digitali.
-
Smartphone1 settimana ago
Realme GT 7 Pro vs Motorola Edge 50 Ultra: quale scegliere?
-
Smartphone1 settimana ago
OnePlus 13 vs Google Pixel 9 Pro XL: scegliere o aspettare?
-
Smartphone1 settimana ago
Samsung Galaxy Z Flip 7: il debutto dell’Exynos 2500
-
Smartphone6 giorni ago
Redmi Note 14 Pro+ vs 13 Pro+: quale scegliere?
-
Sicurezza Informatica4 giorni ago
BadBox su IoT, Telegram e Viber: Germania e Russia rischiano
-
Economia1 settimana ago
Controversie e investimenti globali: Apple, Google e TikTok
-
Smartphone2 giorni ago
Galaxy S25 Slim e iPhone 17: nuovi dettagli su produzione e prezzi
-
Sicurezza Informatica6 giorni ago
Vulnerabilità Cleo: attacchi zero-day e rischi di sicurezza