In queste ore, secondo il CSIRT Italia (advisory: AL01/240708/CSIRT-ITA), si sta diffondendo in rete il PoC per lo sfruttamento della vulnerabilità con CVE-2024-29510, che affligge Ghostscript nelle versioni precedenti alla 10.03.1.

Ghostscript è un software open-source sviluppato da Artifex, utilizzato in ambienti di editoria e stampa per la conversione di documenti tra vari formati, il rendering grafico, la stampa, oltre che la visualizzazione ed interpretazione di file PostScript e PDF.

Panoramica della vulnerabilità

CVE-2024-29510, pubblicato il 03/07/2024 e che presenta punteggio CVSS v3 di 5.5 – Medium, è una vulnerabilità che affligge le versioni di Ghostscript precedenti alla 10.03.1.
La vulnerabilità consente ad un attaccante di eseguire codice arbitrario sfruttando l’iniezione di stringhe di formato all’interno del dispositivo uniprint. Il problema si verifica perché Ghostscript non limita adeguatamente le modifiche alle stringhe degli argomenti del dispositivo dopo l’attivazione della modalità SAFER.

La vulnerabilità viene sfruttata tramite stringhe di formato nel dispositivo uniprint, in particolare durante la gestione di parametri come upYMoveCommand e upWriteComponentCommands. Questi parametri contengono specificatori di formato che possono essere manipolati per iniettare codice dannoso. Durante l’inizializzazione del dispositivo, queste stringhe vengono utilizzate senza adeguata validazione, permettendo a un attaccante di eseguire codice arbitrario passando stringhe di formato appositamente create alla funzione gs_snprintf.

Mitigazione

Nel caso non si fosse già provveduto, si consiglia agli utenti di aggiornare alla versione 10.03.1 di Ghostscript, dove questa vulnerabilità (oltre ad alcune altre risalenti a maggio) è stata risolta. Al seguente link è presente l’ultima release del vendor: ghostscript.com/releases/index…

Inoltre, è consigliabile evitare di esporre Ghostscript direttamente su internet per ridurre il rischio di sfruttamento di vulnerabilità.

L'articolo Disponibile PoC per sfruttamento della vulnerabilità di Ghostscript (CVE-2024-29510), software di stampa proviene da il blog della sicurezza informatica.

Un attore malevolo ha dichiarato di aver divulgato un database contenente oltre 1,6 milioni di linee di dati dal governo lettone. La fuga di informazioni, datata 7 luglio 2024, comprende tutte le informazioni provenienti dalle autorità governative della Lettonia.

Dettagli dell’Incidente

L’annuncio della violazione è stato fatto su un forum specializzato, dove l’utente identificato come Hana ha pubblicato il messaggio iniziale. Hana, un utente VIP con 15 post e una reputazione di 30, ha indicato che il dump dei dati include 1.660.183 linee. La pubblicazione contiene una descrizione dell’entità della fuga, sottolineando che tutti i dati del governo lettone sono stati compromessi.

Veridicità della Violazione

Attualmente, non è possibile confermare con precisione l’autenticità della violazione. L’organizzazione interessata non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo all’incidente. Pertanto, questo articolo deve essere considerato come una ‘fonte di intelligence’ piuttosto che una conferma definitiva della violazione.

Implicazioni Potenziali

Se confermata, questa violazione rappresenterebbe un grave rischio per la sicurezza nazionale della Lettonia. I dati governativi potrebbero contenere informazioni sensibili su cittadini, politiche interne e relazioni internazionali. La divulgazione di tali informazioni potrebbe portare a una serie di conseguenze negative, tra cui:

• Furto di Identità: Informazioni personali dei cittadini potrebbero essere utilizzate per scopi fraudolenti.
• Compromissione della Sicurezza Nazionale: Dati sensibili potrebbero essere sfruttati da attori ostili per minare la stabilità del paese.
• Danno alla Reputazione: La fiducia dei cittadini nel governo potrebbe essere gravemente danneggiata.

Conclusioni

La presunta violazione del database del governo lettone è un episodio allarmante che evidenzia la crescente minaccia degli attacchi informatici a livello globale. Sebbene l’autenticità dell’incidente non sia ancora stata confermata ufficialmente, è essenziale monitorare attentamente la situazione e adottare tutte le misure necessarie per proteggere le informazioni riservate e mantenere la fiducia del pubblico.

Rimanete Aggiornati

Continuate a seguirci per ulteriori aggiornamenti su questa storia in evoluzione. Siamo impegnati a fornire informazioni accurate e tempestive su questioni critiche che riguardano la sicurezza e la privacy nel mondo digitale.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Database del Governo Lettone Compromesso: Oltre 1,6 Milioni di Dati Governativi! proviene da il blog della sicurezza informatica.

In the 60’s and 70’s there were many ways to display numeric data. Nixie tubes, Vacuum Florescent Displays (VFD), micro projection systems, you name it. All of them had advantages and drawbacks. One of the simplest ways to display data was the RCA Numitron. [Alec] at Technology Connections has a bit of a love/hate relationship with these displays.

The Numitron is simply a seven-segment display built from light bulb filaments. The filaments run at 5 V, and by their nature are current limited. Seven elements versus the usual ten seen in Nixie tubes reduced the number of switching elements (transistors, relays, or tubes) needed to drive them, and the single low-voltage supply was also much simpler than Nixie or even VFD systems.

Sounds perfect, right? Well, [Alec] has a bone to pick with this technology. The displays were quite dim, poorly assembled, and not very pleasing to look at. RCA didn’t bother tilting the “8” to fit the decimal point in! Even the display background was gray, causing the numbers to wash out in ambient light. Black would have been much better. In [Alec]’s words, the best way to describe the display would be “Janky,” yet he still enjoys them. In fact, he built a fancy retro-industrial-themed clock with them.

The Numitron was not a failure, though — we know variants of this display ended up in everything from gas pumps to aircraft cockpit gauges. You can even build an LED-based replica clock — no glowing filaments necessary.

youtube.com/embed/YGT1EvmDJh4?…

Un attore malevolo, sotto il nome di “tikila”, ha pubblicato su un forum di hacking l’annuncio della vendita di una vulnerabilità di escalation dei privilegi locali (LPE) per Windows. Questa vulnerabilità, secondo quanto dichiarato, è stata testata e confermata funzionante su diverse versioni di Windows, tra cui Windows 10, Windows 11 e vari Windows Server (2008, 2012, 2016, 2019, 2022).

Dettagli della Vulnerabilità

L’annuncio afferma che la vulnerabilità è affidabile al 100% e non provoca crash di sistema, garantendo la continuazione dei processi.

L’autore dell’annuncio specifica che la vulnerabilità è stata testata su sistemi completamente aggiornati e patchati, il che implica che potrebbe sfruttare una falla zero-day ancora sconosciuta ai fornitori di sicurezza.

Termini di Vendita

I termini di vendita della vulnerabilità includono:

• Vendita esclusiva: La vulnerabilità sarà venduta ad un solo acquirente.
• Accettazione di intermediari: L’autore accetta l’uso di intermediari per facilitare la transazione.
• Richiesta di prova dei fondi: Gli acquirenti devono dimostrare di avere i fondi necessari per l’acquisto.
• Condivisione del Proof of Concept (PoC): Un video che dimostra il funzionamento della vulnerabilità può essere condiviso con l’acquirente.

Implicazioni di Sicurezza

La vendita di una vulnerabilità LPE per Windows rappresenta una seria minaccia per la sicurezza informatica, in quanto potrebbe consentire agli attaccanti di ottenere privilegi elevati sui sistemi compromessi. Questo tipo di accesso può essere utilizzato per eseguire codice malevolo, rubare dati sensibili, o prendere il controllo completo delle macchine vittima.

Raccomandazioni

Le organizzazioni dovrebbero essere vigili e monitorare i propri sistemi per segnali di compromissione. È consigliabile mantenere tutti i software aggiornati e applicare le patch di sicurezza rilasciate dai fornitori. Inoltre, è cruciale implementare misure di sicurezza difensive, come l’uso di software antivirus e firewall, e limitare i privilegi utente per ridurre il rischio di escalation dei privilegi.

Conclusioni

L’annuncio di tikila evidenzia ancora una volta la continua evoluzione delle minacce informatiche e la necessità di una vigilanza costante nella protezione delle infrastrutture IT. Le aziende devono rimanere aggiornate sulle nuove vulnerabilità e adottare una strategia di sicurezza proattiva per difendersi contro queste potenziali minacce.

Per restare sempre aggiornati sulle vulnerabilità Microsoft è possibile controllore il servizio Security Update Guide.

L'articolo Pericoloso 0day LPE per Windows in vendita nell’underground proviene da il blog della sicurezza informatica.

Roblox, una delle piattaforme di gioco online più popolari al mondo, ha recentemente informato tutti gli sviluppatori registrati su FNTech di una violazione dei dati che ha compromesso informazioni sensibili. Questo incidente ha sollevato preoccupazioni significative riguardo alla sicurezza dei dati e alla protezione delle informazioni personali degli utenti.

Dettagli della violazione

La violazione dei dati ha coinvolto informazioni personali importanti, tra cui i nomi completi, gli indirizzi email e gli indirizzi IP degli sviluppatori. Gli individui colpiti sono stati avvisati tramite email inviate all’indirizzo di registrazione FNTech, informandoli della compromissione delle loro informazioni personali.

Un fornitore di Roblox ha recentemente notificato all’azienda che si è verificato un accesso non autorizzato a un sottoinsieme delle informazioni degli utenti di Roblox, prelevate dall’elenco di registrazione della Roblox Developer Conference 2022-2024 tramite il suo sito web. Le categorie di informazioni personali che potrebbero essere state incluse tra i dati accessibili sono: nomi registrati, indirizzi email e indirizzi IP.

Impatto e portata

Secondo le informazioni fornite da Have I Been Pwned (HIBP), un servizio online che consente agli utenti di verificare se le loro informazioni personali sono state compromesse in violazioni di dati, la violazione ha interessato circa 10.000 indirizzi email unici, nomi e indirizzi IP. Questo numero significativo di dati compromessi evidenzia la gravità dell’incidente e la necessità di misure di sicurezza più rigorose.

Risposta di Roblox

Roblox ha immediatamente preso provvedimenti per affrontare la situazione, collaborando con FNTech per garantire che gli sviluppatori colpiti ricevano tutte le informazioni necessarie per proteggere i loro dati personali. L’azienda ha inoltre avviato un’indagine approfondita per determinare le cause della violazione e prevenire futuri incidenti simili.

In un comunicato ufficiale, Roblox ha dichiarato: “La sicurezza e la privacy dei nostri utenti sono di fondamentale importanza per noi. Stiamo lavorando instancabilmente per rafforzare le nostre misure di sicurezza e garantire che situazioni del genere non si ripetano.”

Misure di protezione consigliate

Gli esperti di sicurezza informatica consigliano agli sviluppatori colpiti di adottare misure immediate per proteggere i loro dati personali. Tra queste misure, si raccomanda di:

1. Cambiare le password: Utilizzare password uniche e complesse per ogni account e considerare l’uso di un gestore di password.
2. Abilitare l’autenticazione a due fattori (2FA): Questa misura aggiuntiva di sicurezza può impedire l’accesso non autorizzato agli account.
3. Monitorare l’attività dell’account: Tenere sotto controllo qualsiasi attività sospetta sui propri account online e segnalare immediatamente eventuali anomalie.

Conclusioni

La recente violazione dei dati degli sviluppatori di Roblox mette in luce l’importanza di una sicurezza informatica robusta, sia per le aziende che per gli individui. Mentre Roblox sta adottando misure per rafforzare la protezione dei dati, è fondamentale che gli utenti rimangano vigili e proattivi nella salvaguardia delle proprie informazioni personali. Solo attraverso una collaborazione costante e l’adozione di pratiche di sicurezza rigorose, possiamo sperare di minimizzare i rischi associati alle violazioni dei dati.

L'articolo Violazione dei Dati degli Sviluppatori di Roblox Migliaia di Informazioni Sensibili Esposte! proviene da il blog della sicurezza informatica.