Questo CSIRT ha recentemente individuato una campagna di phishing finalizzata alla diffusione di malware RAT tramite falsi inviti Zoom che inducono la potenziale vittima a prelevare software, camuffato da client Zoom, il quale nasconde un agente ScreenConnect opportunamente predisposto per connettersi ad un server C2 sotto il controllo dell’attaccante.
Nell'ambito delle proprie attività, volte ad individuare fattori di rischio a cui è esposto lo spazio digitale nazionale, lo CSIRT Italia registra costantemente un alto numero di dispositivi e servizi eterogenei (ad esempio IoT, router industriali, telecamere IP e controllori e sistemi SCADA) esposti su Internet in maniera insicura. L’aumento della relativa superficie di esposizione è tipicamente riconducibile a configurazioni non adeguate, all’utilizzo di credenziali deboli o predefinite o all’assenza di meccanismi di autenticazione robusti (ad es. MFA). Tale scenario comporta l’aumento del rischio di compromissione dei sistemi target da parte di minacce informatiche sempre più evolute e persistenti non solo in contesti strutturati, quali ad esempio reti aziendali o industriali, ma anche in contesti domestici mettendo anche in questo caso a rischio la privacy degli utenti o fungendo da piattaforma per ulteriori attacchi verso terzi.
Sanata una vulnerabilità in Apache Airflow Providers Snowflake con gravità “critica”.
Rilevata una nuova vulnerabilità di sicurezza, con gravità “critica”, nei prodotti “NetScaler ADC” e “NetScaler Gateway”.Tale vulnerabilità potrebbe consentire a un utente malintenzionato di causare l’indisponibilità del servizio sui sistemi interessati.
Rilasciati dettagli in merito a una vulnerabilità di sicurezza – già sanata dal vendor – presente nel noto software di compressione e archiviazione file WinRAR. Tale vulnerabilità potrebbe essere sfruttata da un utente malintenzionato remoto per eseguire codice arbitrario sui sistemi interessati.
Rilevate 3 vulnerabilità, di cui 1 con gravità “critica”, in Mattermost, piattaforma di collaborazione open-source progettata per la comunicazione interna di organizzazioni e aziende. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato l’esecuzione di codice remoto sul sistema target.
Aggiornamenti di sicurezza sanano una nuova vulnerabilità in OpenVPN, software open-source per la creazione di reti private virtuali (VPN). Tale vulnerabilità potrebbe consentire a un utente malintenzionato di compromettere la disponibilità del servizio sul sitema interessato.
Descrizione e potenziali impatti Questo CSIRT ha effettuato un’analisi di un malware open source pubblicamente disponibile su GitHub, noto con la denominazione venom.
Rilasciato un aggiornamento di sicurezza che mira a sanare due vulnerabilità, di cui una con gravità “critica”, relativamente al prodotto ClamAV di Cisco. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di causare l’indisponibilità del servizio e/o l’esecuzione di codice arbitrario sui sistemi interessati.
Aggiornamento di sicurezza sana una nuova vulnerabilità, con gravità “alta”, che riguarda la componente Cisco AnyConnect VPN server dei prodotti Cisco Meraki MX e Cisco Meraki Z. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di causare l’indisponibilità del servizio sui sistemi interessati.
BeyondTrust ha rilasciato aggiornamenti per correggere una vulnerabilità con gravità “alta” relativamente ai prodotti BeyondTrust Remote Support (RS), progettato per fornire supporto remoto sicuro e immediato agli utenti finali e ai dispositivi, e Privileged Remote Access (PRA), utilizzato per gestire e monitorare gli accessi privilegiati ai sistemi critici in modo sicuro. Tale vulnerabilità, qualora sfruttata, potrebbe permettere ad un utente malintenzionato remoto di eseguire codice arbitrario sui sistemi target.
Rilevate due vulnerabilità di sicurezza con gravità “alta” in Traffic Server, noto proxy server open source sviluppato da Apache Software Foundation.
CSIRT Toscana