Gli attacchi informatici si fanno sempre più sofisticati, sfruttando vulnerabilità in piattaforme come Google OAuth, Aviatrix Controller e WordPress Skimmer. Queste minacce, capaci di compromettere dati sensibili e sistemi critici, sottolineano l’importanza di interventi tempestivi per proteggere utenti e infrastrutture.
Google OAuth: un rischio per gli account abbandonati
Una falla nella funzione “Sign in with Google” espone gli account associati a domini di startup non più operative. Questo problema, segnalato dai ricercatori di TruffleSecurity, permette agli attaccanti di acquisire vecchi domini, ricreare indirizzi email e accedere a piattaforme SaaS come Slack, Zoom e Notion, violando dati sensibili come documenti fiscali e informazioni personali.
Il problema risiede nel sistema OAuth di Google, che non garantisce identificatori univoci immutabili per utenti e organizzazioni. Così, il riutilizzo di vecchi domini consente agli attaccanti di impersonare ex dipendenti e accedere a dati critici. La soluzione potrebbe essere l’introduzione di identificatori permanenti, ma al momento la vulnerabilità rimane sfruttabile, mettendo milioni di account a rischio.
Aviatrix Controller: una falla critica nei sistemi cloud
Un’altra minaccia riguarda la vulnerabilità CVE-2024-50603, identificata nell’Aviatrix Controller, una piattaforma per la gestione del networking cloud. Questa falla consente agli attaccanti di eseguire codice da remoto senza autenticazione, sfruttando endpoint API non sicuri. Gli exploit già osservati includono l’installazione di miner di criptovalute come XMRig e il framework Sliver per persistenza e controllo remoto.
Secondo il report della società di sicurezza Wiz, circa il 65% delle installazioni di Aviatrix Controller potrebbe essere vulnerabile a escalation di privilegi, soprattutto in ambienti AWS. Aviatrix ha rilasciato patch per le versioni vulnerabili e avviato campagne di sensibilizzazione per aiutare i clienti a proteggere i propri sistemi.
WordPress Skimmers: attacchi invisibili sui siti e-commerce
Nel panorama degli attacchi ai sistemi CMS, una nuova campagna di skimmer per carte di credito prende di mira i siti WordPress. Gli attaccanti inseriscono codice JavaScript dannoso direttamente nei database del sito, attivandolo solo nelle pagine di checkout. Il malware cattura dati sensibili come numeri di carte di credito, CVV e informazioni di fatturazione, trasmettendoli a server controllati dagli attaccanti.
Questa tecnica di evasione è particolarmente insidiosa perché il malware si nasconde nelle tabelle wp_options del database, sfuggendo agli strumenti di scansione standard. I dati rubati vengono cifrati e inviati ai server malevoli, rendendo difficile rilevare e mitigare l’attacco.
Un panorama in evoluzione
Le vulnerabilità in Google OAuth, Aviatrix Controller e WordPress mostrano come le minacce informatiche continuino a evolversi, sfruttando debolezze tecniche e operative per ottenere accessi non autorizzati. Gli utenti e le aziende devono adottare misure proattive, come aggiornamenti regolari, implementazione di identificatori univoci e monitoraggio costante, per mitigare i rischi e proteggere i dati.
