It doesn’t matter if its a Vespa or a Peterbilt truck — if you ignore the maintenance needs of your vehicle, you do so at your own peril. But it can be difficult enough to keep track of basic oil changes, to say nothing of keeping records on what parts were changed when. Instead of cramming more receipts into your glove box, maybe give LubeLogger a try.

This free and open source software tool is designed to make it easy for individuals to keep track of both the routine maintenance needs of their vehicles, as well as keep track of any previous or upcoming repairs and upgrades. Released under the MIT license, LubeLogger is primarily distributed as a Docker image that makes it easy to self-host the tool should you wish to keep your data safe at home rather than on somebody’s server out in the Wild West of the modern Internet.

In perhaps the most basic example, LubeLogger allows the user to add their vehicle to a virtual garage and set up routine maintenance tasks (such as oil changes), and fire off reminders when tasks are due. But it can also do things like track your vehicle’s mileage and fuel efficiency over time, and break down its operating costs.

LubeLogger has been around for a little over a year now, and it seeing active development, with the last release dropping just a few weeks back. While not everyone is going to need such a powerful tool, we’re glad to see there’s a self-hosted open source option out there for those that do.

Thanks to [STR-Alorman] for the tip.

hackaday.com/2025/03/28/keep-t…

In risposta all’aumento degli attacchi alle piattaforme di istruzione digitale, le autorità francesi hanno lanciato una campagna nazionale per sensibilizzare gli studenti sui rischi del phishing. L’operazione CACTUS, condotta nel marzo 2025, ha rappresentato un passo importante nello sviluppo dell’alfabetizzazione digitale tra i giovani.

Negli ultimi mesi, le scuole sono diventate sempre più spesso bersaglio di attacchi informatici contro gli spazi di apprendimento digitale. Gli attacchi tramite queste piattaforme creano ulteriore pressione sugli studenti e hanno già portato alla sospensione temporanea nel 2024 di molti istituti. I più vulnerabili sono gli adolescenti di età compresa tra 11 e 18 anni.

Dal 19 al 21 marzo, 2,5 milioni di bambini in età scolare hanno ricevuto un messaggio tramite ENT con un link che offriva “giochi hackerati e trucchi gratuiti”. L’obiettivo era testare le reazioni degli adolescenti a una potenziale minaccia in condizioni simili a quelle reali. Circa 210.000 studenti, ovvero circa uno su 12, hanno cliccato sul collegamento e sono stati reindirizzati a una pagina con un video che spiegava i pericoli del phishing.

L’obiettivo principale della campagna era quello di trasmettere agli studenti l’importanza di prestare attenzione su Internet e di metterli in guardia sulle possibili conseguenze legali della criminalità informatica.

Dopo il completamento della fase principale, le autorità intendono proseguire l’istruzione nelle scuole. L’iniziativa prevede sessioni di formazione faccia a faccia con esperti invitati per approfondire la comprensione delle minacce digitali. Inoltre, è stato sviluppato un set di allenamento e dei materiali creati congiuntamente da tutti i partecipanti al progetto. Questi materiali forniscono indicazioni e strumenti per aiutare gli insegnanti a continuare il loro lavoro volto a migliorare l’alfabetizzazione digitale tra i giovani.

Ricordiamo che la Francia si sta preparando a varare leggi che potrebbero cambiare radicalmente i principi della sicurezza online, obbligando i fornitori di servizi di comunicazione a installare backdoor nei servizi di messaggistica crittografata e limitando l’accesso alle risorse Internet tramite VPN. L’iniziativa ha suscitato aspre critiche da parte di Tuta (ex Tutanota) e della VPN Trust Initiative (VTI).

La Francia non è l’unico Paese in cui il controllo sui dati Internet sta aumentando. Nel Regno Unito, il governo ha recentemente richiesto da Apple di fornire l’accesso ai backup crittografati di iCloud. In Svezia è in preparazione un disegno di legge che obbligherà i messaggeri Signal e WhatsApp creare backdoor tecniche per fornire l’accesso ai messaggi crittografati.

L'articolo Arriva la “Cyber Vaccinazione” in Francia. Gli studenti hackerati per educarli alla Cybersecurity proviene da il blog della sicurezza informatica.

This week, researchers from Wiz Research released a series of vulnerabilities in the Kubernetes Ingress NGINX Controller that, when chained together, allow an unauthorized attacker to completely take over the cluster. This attack chain is known as IngressNightmare, and it affected over 6500+ Kubernetes installs on the public Internet.

The background here is that web applications running on Kubernetes need some way for outside traffic to actually get routed into the cluster. One of the popular solutions for this is the Ingress NGINX Controller. When running properly, it takes incoming web requests and routes them to the correct place in the Kubernetes pod.

When a new configuration is requested by the Kubernetes API server, the Ingress Controller takes the Kubernetes Ingress objects, which is a standard way to define Kubernetes endpoints, and converts it to an NGINX config. Part of this process is the admission controller, which runs nginx -t on that NGINX config, to test it before actually deploying.

As you might have gathered, there are problems. The first is that the admission controller is just a web endpoint without authentication. It’s usually available from anywhere inside the Kubernetes cluster, and in the worst case scenario, is accessible directly from the open Internet. That’s already not great, but the Ingress Controller also had multiple vulnerabilities allowing raw NGINX config statements to be passed through into the config to be tested.

And then there’s nginx -t itself. The man page states, “Nginx checks the configuration for correct syntax, and then tries to open files referred in the configuration.” It’s the opening of files that gets us, as those files can include shared libraries. The ssl_engine fits the bill, as this config line can specify the library to use.

That’s not terribly useful in itself. However, NGINX saves memory by buffering large requests into temporary files. Through some trickery, including using the /proc/ ProcFS pseudo file system to actually access that temporary file, arbitrary files can be smuggled into the system using HTTP requests, and then loaded as shared libraries. Put malicious code in the _init() function, and it gets executed at library load time: easy remote code execution.

This issue was privately disclosed to Kubernetes, and fixed in Ingress NGINX Controller version 1.12.1 and 1.11.5, released in February. It’s not good in any Kubernetes install that uses the Ingress NGINX Controller, and disastrously bad if the admission controller is exposed to the public Internet.

Next.js

Another project, Next.js, has a middleware component that serves a similar function as an ingress controller. The Nixt.js middleware can do path rewriting, redirects, and authentication. It has an interesting behavior, in that it adds the x-middleware-subrequest HTTP header to recursive requests, to track when it’s talking to itself. And the thing about those headers is that they’re just some extra text in the request. And that’s the vulnerability: spoof a valid x-middleware-subrequest and the Next.js middleware layer just passes the request without any processing.

The only hard part is to figure out what a valid header is. And that’s changed throughout the last few versions of Next.js. The latest iteration of this technique is to use x-middleware-subrequest: middleware:middleware:middleware:middleware:middleware or a minor variant, to trigger the middleware’s infinite recursion detection, and pass right through. In some use cases that’s no problem, but if the middleware is also doing user authentication, that’s a big problem. The issue can be mitigated by blocking x-middleware-subrequest requests from outside sources, and the 14.x and 15.x releases have been updated with fixes.

Linux’ No-op Security Function

The linux kernel uses various hardening techniques to make exploitation of bugs difficult. One technique is CONFIG_RANDOM_KMALLOC_CACHES, which makes multiple copies of memory allocation caches, and then randomizes which copy is actually used, to make memory corruption exploitation harder. Google researchers found a flaw in nftables, and wrote up the exploit, which includes the observation that this mitigation is completely non-functional when used from kvmalloc_node.

This happens as a result of how that randomization process is done. The function that calculates which of the copies to actually call actually uses its own return address as the seed value for the random value. That makes sense in some cases, but the calling function is an “exported symbol”, which among other things, means the return value is always the same, rendering the hardening attempt completely ineffective. Whoops. This was fixed in the Linux 6.15 merge window, and will be backported to the stable kernels series.

Your DNA In Bankruptcy

I’ve always had conflicting feelings about the 23andMe service. On one hand, there is some appeal to those of us that may not have much insight to our own genetic heritage, to finally get some insight into that aspect of our own history. On the other hand, that means willingly giving DNA to a for-profit company, and just trusting them to act responsibly with it. That concern has been brought into sharp focus this week, as 23andMe has filed for Chapter 11 bankruptcy. This raises a thorny question, of what happens to that DNA data as the company is sold?

The answer seems to be that the data will be sold as well, leading to calls for 23andMe customers to log in and request their data be deleted. Chapter 11 bankruptcy does not prevent them from engaging in business activities, and laws like the GDPR continue to apply, so those requests should be honored. Regardless, it’s a stark reminder to be careful what data you’re willing to entrust to what business, especially something as personal as DNA. It’s unclear what the final fallout is going to be from the company going bankrupt, but it’s sure to be interesting.

Appsmith and a Series of Footguns

Rhino Security did a review of the Appsmith platform, and found a series of CVEs. On the less severe side, that includes a error handling problem that allows an unauthorized user to restart the system, and an easily brute-forced unique ID that allows read-only users to send arbitrary SQL queries to databases in their workspace. The more serious problem is a pseudo-unauthenticated RCE that is in some ways more of a default-enabled footgun than a vulnerability.

On a default Appsmith install, the default postgres database allows local connections to any user, on any database. Appsmith applications use that local socket connection. Also in the default configuration, Appsmith will allow new users to sign up and create new applications without needing permission. And because that new user created their own application on the server, the user has permissions to set up database access. And from there postgres will happily let the user run a FROM PROGRAM query that runs arbitrary bash code.

Bits and Bytes

There’s been a rumor for about a week that Oracle Cloud suffered a data breach, that Oracle has so far denied. It’s beginning to look like the breach is a real one, with Bleeping Computer confirming that the data samples are legitimate.

Google’s Project Zero has a blast from the past, with a full analysis of the BLASTPASS exploit. This was a 2003 NSO Group exploit used against iMessage on iOS devices, and allowed for zero-click exploitation. It’s a Huffman tree decompression vulnerability, where attempting to decompress the tree overwrites memory and triggers code execution. Complicated, but impressive work.

Resecurity researchers cracked the infrastructure of the BlackLock ransomware group via a vulnerability in the group’s Data Leak Site. Among the treasures from this action, we have the server’s history logs, email addresses, some passwords, and IP address records. While no arrests have been reported in connection with this action, it’s an impressive hack. Here’s hoping it leads to some justice for ransomware crooks.

And finally, Troy Hunt, master of pwned passwords, has finally been stung by a phishing attack. And had a bit of a meta-moment when receiving an automated notice from his own haveibeenpwned.com service. All that was lost was the contents of Troy’s Mailchimp mailing list, so if your email address was on that list, it’s available in one more breach on the Internet. It could have been worse, but it’s a reminder that it can happen to even the best of us. Be kind.

This is too many levels of meta for my head to grasp pic.twitter.com/Pr0iFQGNlh

— Troy Hunt (@troyhunt) March 25, 2025

hackaday.com/2025/03/28/this-w…

Di EDRKillShifter ne avevamo abbondantemente parlato in passato sulle nostre pagine con diversi articoli sul tema Bring Your Own Vulnerable Driver (BYOVD).

Ricerche recenti condotte da ESET, hanno rivelato stretti legami tra vari gruppi ransomware: RansomHub, Medusa, BianLian e Play. Il collegamento tra loro era uno strumento specializzato per disattivare i sistemi di protezione: EDRKillShifter, sviluppato originariamente dai partecipanti a RansomHub. Ora viene utilizzato anche in attacchi da parte di altri gruppi, nonostante la natura chiusa dei loro modelli di distribuzione.

EDRKillShifter utilizza una tecnica nota come Bring Your Own Vulnerable Driver (BYOVD). La sua essenza sta nel fatto che gli aggressori installano un driver legittimo ma vulnerabile sui dispositivi infetti, attraverso il quale vengono disattivati ​​i mezzi di rilevamento e risposta alle minacce.

Ciò consente di eseguire il programma di crittografia senza il rischio di essere individuati dalle soluzioni antivirus e altre soluzioni di sicurezza.

Come hanno notato i ricercatori, gli autori di ransomware aggiornano raramente i loro programmi di crittografia per evitare bug che potrebbero danneggiare la loro reputazione. Pertanto, il software di sicurezza ha il tempo di imparare a rilevarli in modo efficace. In risposta a ciò, gli aggressori affiliati utilizzano sempre più spesso strumenti di disabilitazione della sicurezza per preparare il sistema al ransomware.

Di particolare interesse è il fatto che EDRKillShifter è stato creato appositamente per gli affiliati di RansomHub e ora viene utilizzato in attacchi per conto di Medusa, BianLian e Play. Inoltre, gli ultimi di due gruppi tradizionalmente non accettano nuovi membri e si affidano solo ad affiliati collaudati. Ciò indica una potenziale cooperazione tra membri di diversi gruppi criminali.

ESET suggerisce che alcuni membri dei gruppi RaaS chiusi, nonostante il loro isolamento interno, condividano gli strumenti con i concorrenti, compresi i nuovi arrivati. Questo comportamento è particolarmente atipico per coloro che solitamente si attengono a un set di strumenti di hacking collaudati.

I ricercatori ritengono che diversi attacchi recenti possano essere stati condotti dallo stesso attore, nome in codice QuadSwitcher. Secondo una serie di segnali, le sue azioni sono vicine ai metodi caratteristici del gruppo Play, il che potrebbe indicare una connessione diretta.

Inoltre, EDRKillShifter è stato utilizzato anche in attacchi per conto di un altro affiliato, CosmicBeetle, che lo ha utilizzato in almeno tre casi mentre agiva per conto di RansomHub e LockBit.

L’uso di queste tecniche BYOVD, soprattutto in ambienti aziendali, sta diventando sempre più comune. Nel 2024, il gruppo Embargo ho usato il programma MS4Killer per disattivare le soluzioni di sicurezza e più recentemente è stata individuata Medusa con il suo driver ABYSSWORKER , che svolgono funzioni simili.

Per impedire che tali strumenti vengano attivati, è necessario bloccare le azioni degli intrusi prima che ottengano i diritti di amministratore. Nei sistemi aziendali vale la pena attivare il riconoscimento delle applicazioni potenzialmente pericolose e monitorare l’installazione dei driver, soprattutto quelli con vulnerabilità note.

L'articolo EDRKillShifter: Lo Strumento che Unisce le Cyber Gang Ransomware più Temute! proviene da il blog della sicurezza informatica.

Alla fine non è stato troppo difficile salutare #Firefox dopo 22 anni di utilizzo.

Le nuove politiche che ha adottato @Mozilla non riesco proprio a digerirle; non amo il fatto che una fondazione (o chiunque altro) possa dirmi come devo usare il mio browser, e che in qualunque momento possa cambiare decisione senza nemmeno farmelo sapere. A questo punto, tanto vale usare un browser proprietario. Quale sarebbe il vantaggio di continuare ad usare Firefox?

Odio il fatto che i dati immessi nel browser non siano più miei. E tutto questo, badate bene, per un software #opensource !

Valutando tutte le complesse variabili della mia presenza on line e della geografia, ho scelto Vivaldi che ha importato tutte le password e la cronologia in un attimo, senza battere ciglio. Le impostazioni fondamentali ci sono tutte; mi mancano alcune funzioni peculiari di firefox, come la modalità lettura scura, ma sopravvivrò; non sono cose che non ci si dorme la notte.

Unica scocciatura, siccome avevo usato la funzione firefox relay, che trovavo comodissima, la Mozilla foundation stava nel mezzo tra la mia casella e molti servizi a cui mi ero iscritto, che così non conoscevano il mio indirizzo reale. Bella pensata, mi mancherà. Pazienza. Ho dovuto cambiare un po' di email, ma ne è valsa la pena.

Ci rivedremo, spero, quando vorrete di nuovo aderire alla filosofia OpenSource.

E poi ci sono i fork, io continuo a sperare in qualche fork del browser più bello ed equo che ci sia mai stato.

Fino ad ora.

#browser #opensource #vivaldi #brave #chromium #mozilla #firefox #softwarelibero #fsf