La botnet IPStorm smantellata dopo la dichiarazione di colpevolezza dell’hacker
L’FBI ha smantellato la rete proxy botnet IPStorm e la sua infrastruttura questa settimana a seguito di un patteggiamento con l’hacker dietro l’operazione. Il malware IPStorm è stato individuato per la prima volta nel giugno 2019 e utilizzava il protocollo peer-to-peer InterPlanetary File System (IPFS) per infettare migliaia di dispositivi Linux, Mac e Android in tutto il mondo. A settembre, Sergei Makinin, cittadino russo e moldavo, si è dichiarato colpevole di tre accuse di pirateria informatica, ciascuna delle quali prevede una pena massima di dieci anni di carcere. Makinin ha guadagnato almeno 550.000 dollari vendendo l’accesso illegittimo a dispositivi infetti a clienti che cercavano di nascondere le proprie attività su Internet. Ha accettato di rinunciare a tutti i proventi delle criptovalute relativi all’operazione.
(Il disco)
La corte federale stabilisce che i giganti dei social media devono affrontare cause legali sulla sicurezza dei bambini
Martedì, un giudice distrettuale degli Stati Uniti ha respinto una mozione dei giganti dei social media di archiviare le azioni legali contro di loro. I distretti scolastici degli Stati Uniti hanno intentato una causa contro Meta, ByteDance, Alphabet e Snap, sostenendo che le società causano danni fisici ed emotivi ai bambini. Inoltre, il mese scorso, 42 stati hanno citato in giudizio Meta per le affermazioni che Facebook e Instagram “hanno profondamente alterato le realtà psicologiche e sociali di una generazione di giovani americani”. La sentenza di martedì afferma che il Primo Emendamento e la Sezione 230, che afferma che le piattaforme non dovrebbero essere trattate come editori di contenuti di terze parti, non proteggono le piattaforme da ogni responsabilità. Molte delle affermazioni del querelante si riferiscono a presunti “difetti” delle piattaforme, tra cui controlli parentali insufficienti, sistemi deboli di verifica dell’età e difficili processi di cancellazione degli account.
Le autorità avvertono delle attività e del rebranding della banda del riscatto reale
Martedì, l’FBI e la CISA hanno emesso un avviso congiunto incentrato sulla minaccia rappresentata dalla banda di ransomware Royal. Royal ha preso di mira più di 350 vittime in tutto il mondo, guadagnando 275 milioni di dollari da settembre 2022. Le autorità affermano che Royal ha sfruttato il phishing per ottenere l’accesso iniziale alla rete nel 66,7% dei loro attacchi e continua a utilizzare tattiche di crittografia parziale e doppia estorsione. La tecnica di crittografia parziale consente a Royal di ridurre la percentuale di crittografia per file più grandi e aiuta a eludere il rilevamento. Si ritiene che Royal sia emersa dall’ormai defunto Conti Group e potrebbe nuovamente rinominarsi Blacksuit, una banda emersa a metà di quest’anno. L’avviso include un elenco di file, programmi e indirizzi IP associati agli attacchi di Royal e raccomanda alle organizzazioni di dare priorità alla riparazione delle vulnerabilità sfruttabili, rafforzare la formazione sul phishing dei dipendenti e applicare l’autenticazione a più fattori sui loro sistemi.
Intel risolve un bug della CPU di elevata gravità che causa un “comportamento molto strano”
Martedì, Intel ha pubblicato le correzioni per un bug della CPU di elevata gravità (CVE-2023-23583) che colpisce praticamente tutte le moderne CPU Intel, facendole “entrare in uno stato glitch”. Google ha identificato il problema che può provocare arresti anomali del sistema e escalation dei privilegi anche quando viene eseguito codice non attendibile all’interno di un account ospite di una macchina virtuale. Si presumeva che la maggior parte dei modelli di sicurezza cloud fossero al sicuro da tali errori. Il bollettino ufficiale di Intel elenca due classi di prodotti interessati, quelli già risolti e quelli risolti dagli aggiornamenti del microcodice di martedì.
Un enorme ringraziamento al nostro sponsor, Sysdig
Il bug espone 600.000 siti WordPress agli attacchi
Un plugin WordPress chiamato WP Fastest Cache è vulnerabile a una vulnerabilità SQL injection (CVE-2023-6063) che potrebbe consentire ad aggressori non autenticati di leggere il contenuto del database del sito. Il plug-in viene utilizzato per accelerare il caricamento delle pagine, migliorare l’esperienza dei visitatori e aumentare il posizionamento del sito nella ricerca di Google. Secondo WordPress.org, oltre 600.000 siti Web eseguono versioni di plugin vulnerabili, tutte precedenti alla versione 1.2.2. Lunedì è stata rilasciata una correzione per il bug ad alta gravità e WPScan prevede di rilasciare un exploit proof-of-concept (PoC) a bassa complessità il 27 novembre 2023.
Probabilmente dovresti patcharlo (edizione Patch Tuesday)
Martedì, Microsoft ha rilasciato correzioni per oltre cinque dozzine di buchi di sicurezza, comprese tre vulnerabilità zero day sfruttate negli attacchi attivi. Il primo zero-day (CVE-2023-36025) consente ai contenuti dannosi di ignorare la funzionalità di sicurezza Windows SmartScreen dopo che un utente fa clic su un collegamento dannoso. Il secondo zero day (CVE-2023-36033) è una vulnerabilità nella DWM Core Library in Windows 10 e versioni successive e Windows Server 2019 e versioni successive che può essere sfruttata localmente, con bassa complessità e senza bisogno di privilegi di alto livello o interazione con l’utente. L’ultimo zero day è un problema di Windows Cloud Files Mini Filter Driver (CVE-2023-36036) che consente agli aggressori di aumentare i privilegi in un attacco relativamente semplice su Windows 10 e versioni successive e Windows Server 2008 e versioni successive. Altri bug degni di nota includono un difetto di installazione di software dannoso in Microsoft Exchange Server (CVE-2023-36439) e altri tre bug di Exchange designati come “sfruttamento più probabile” (CVE-2023-36050, CVE-2023-36039 e CVE-2023-36035 ). Infine, SANS Internet Storm Center consiglia di dare priorità alla correzione per una vulnerabilità di tipo Denial of Service in ASP.NET Core (CVE-2023-36439) e un bypass della funzionalità di sicurezza di Microsoft Office (CVE-2023-36413).
VMware rivela bug critici dell’appliance senza patch
VMware ha rivelato una vulnerabilità critica di bypass dell’autenticazione (CVE-2023-34060) che interessa le distribuzioni dell’appliance Cloud Director. Cloud Director consente agli amministratori VMware di gestire i servizi cloud come parte dei Virtual Data Center (VDC). Gli aggressori non autenticati potrebbero sfruttare in remoto il bug negli attacchi a bassa complessità che non richiedono l’interazione dell’utente. Il problema riguarda solo gli apparecchi che eseguono VCD Appliance 10.5 precedentemente aggiornati da una versione precedente. La società ha affermato che il bug non influisce sulle nuove installazioni di VCD Appliance 10.5, sulle distribuzioni Linux e su altri dispositivi. VMware non dispone ancora di una patch per il problema ma ha pubblicato una soluzione temporanea nella sua knowledge base.
Una nuova ricerca rivela che le vulnerabilità del software sono in declino
Martedì, Synopsys, Inc. ha pubblicato il rapporto 2023 Software Vulnerability Snapshot che rivela che il numero di vulnerabilità software note è sceso dal 97% nel 2020 all’83% nel 2022. Solo il 27% dei test conteneva vulnerabilità ad alta gravità e il 6,2% conteneva vulnerabilità di gravità critica. Questo è un segnale incoraggiante del fatto che le revisioni del codice, i test automatizzati e l’integrazione continua stanno contribuendo a ridurre gli errori di programmazione comuni. I dati del report sono stati derivati sfruttando tecniche di hacking del mondo reale (test di penetrazione (pen), test dinamici di sicurezza delle applicazioni (DAST), test di sicurezza delle applicazioni mobili (MAST) e test di sicurezza di rete) su applicazioni web, applicazioni mobili, sistemi di rete e codice sorgente . Sebbene si tratti di uno sviluppo positivo per il settore, il rapporto evidenzia che le singole soluzioni di test di sicurezza non sono più sufficienti per identificare le vulnerabilità del software.