Il ricercatore di sicurezza Egidio Romano, noto anche come EgiX, ha recentemente pubblicato un’analisi approfondita su un exploit che colpisce le piattaforme vBulletin 5.x e 6.x, sfruttando una combinazione di due vulnerabilità (note come N-day): una novità introdotta in PHP 8.1+ relativa alla reflection API e una falla preesistente nel motore dei template di vBulletin.

L’attacco permette l’esecuzione di codice arbitrario da remoto (RCE) senza autenticazione.

L’origine dell’exploit: due vulnerabilità concatenate

L’exploit descritto da Romano si basa sull’interazione tra due distinte vulnerabilità:

1. Invocazione di metodi protected tramite Reflection su PHP 8.1+
   Con PHP 8.1, è possibile invocare metodi protetti e privati usando ad es. ReflectionMethod::invoke() senza dover richiamare esplicitamente setAccessible(true). In vBulletin, questa possibilità si traduce in un problema critico, poiché il framework API della piattaforma non implementa controlli adeguati sulla visibilità dei metodi.
2. RCE attraverso “template injection” nel motore di rendering di vBulletin
   Il motore di template di vBulletin consente di creare interfacce dinamiche, dove il contenuto HTML può includere segnaposto o variabili che vengono valutate al volo prima della visualizzazione. Tuttavia, se non adeguatamente filtrati, questi template possono diventare un vettore di attacco.

Nel contesto dell’exploit analizzato da Egidio Romano (EgiX), la template injection consiste nel far sì che un contenuto controllato dall’utente venga inserito direttamente all’interno di un template e interpretato dal parser come codice da eseguire, invece che come semplice testo.

Dimostrazione tecnica: una doppia leva per ottenere RCE

Nel suo articolo, Romano dimostra come un attaccante possa sfruttare il routing dinamico delle API di vBulletin per invocare un metodo protected, nella fattispecie vB_Api_Ad::replaceAdTemplate(), normalmente inaccessibile. Questo metodo consente di creare un nuovo template.

Il passo successivo è sfruttare la vulnerabilità nel motore di template, facendo sì che i dati iniettati vengano interpretati come codice PHP. In questo modo, l’attaccante ottiene un’esecuzione remota di codice (RCE) sulla macchina che ospita vBulletin.

Riflessioni e considerazioni sulla sicurezza

Il lavoro di Egidio Romano evidenzia l’importanza di considerare l’impatto cumulativo delle vulnerabilità, specialmente quando si aggiornano componenti critici come il motore PHP. L’apparente innocua modifica al comportamento della reflection API in PHP 8.1 si è trasformata in una leva per accedere a metodi sensibili in vBulletin. Se a ciò si aggiunge l’esistenza di vecchie vulnerabilità non completamente mitigate nel sistema di template, si ottiene un vettore di attacco altamente efficace.

Romano invita gli sviluppatori di CMS e framework PHP a non affidarsi alla sola visibilità dei metodi (public, protected, private) come meccanismo di sicurezza, ma a introdurre controlli espliciti sulle autorizzazioni e sull’origine delle richieste.

Approfondimento

L’articolo completo con dettagli tecnici, codice PoC e analisi approfondita è disponibile sul blog ufficiale di EgiX: Don’t Call That ‘Protected’ Method: Dissecting an N-Day vBulletin RCE

L'articolo RCE su vBulletin 5.x e 6.x sfruttando PHP 8.1: il nuovo exploit spiegato da EgiX proviene da il blog della sicurezza informatica.

Part of the charm of having a cat in your life is that by their nature these animals are very interactive. They will tell you in no uncertain terms when something in their lives needs attention, for example when their water dish is empty. But why not give them a drinking fountain all of their own? It’s what [supermarioprof] did for their adorable ginger cat [Piki Piki], providing a cat-operated trickle of water on demand.

It’s a simple enough device in its operation, but very well constructed. There’s a small basin with a train, and a water cistern valve operated by the cat placing a paw on a lever. This starts a trickle of water, from which they can lap as much as they like.

The physical construction comes courtesy of some laser-cut ply, and what looks like some 3D print work. It’s certainly easy to operate for the cat, and has worked reliably for a few years now.

This project is part of the 2025 Pet Hacks contest, so expect to see more in the same vein. If your cat’s life is improved by one of your projects, consider making an entry yourself!

hackaday.com/2025/05/25/2025-p…

È stato pubblicato un proof-of-concept (PoC) dettagliato per la vulnerabilità zero-day critica che colpisce diversi prodotti Fortinet, mentre gli autori della minaccia continuano a sfruttarla attivamente.

La vulnerabilità è un buffer overflow basato sullo stack nell’API amministrativa che consente ad aggressori remoti non autenticati di eseguire codice arbitrario tramite richieste HTTP appositamente predisposte.

Fortinet ha confermato che gli autori della minaccia hanno sfruttato attivamente questa vulnerabilità, prendendo di mira in modo specifico i sistemi di comunicazione unificata FortiVoice.

La falla interessa cinque importanti linee di prodotti Fortinet: FortiVoice, FortiMail, FortiNDR, FortiRecorder e FortiCamera in più versioni.

Il bug monitorato dal CVE-2025-32756, rappresenta un rischio significativo per la sicurezza, con un punteggio CVSS di 9,6 su 10.

Un’analisi tecnica dettagliata pubblicata dai ricercatori di sicurezza di Horizon3 rivela che la vulnerabilità deriva da un controllo dei limiti improprio durante l’elaborazione dei valori APSCOOKIE nella funzione cookieval_unwrap() all’interno della libreria libhttputil.so.

I ricercatori hanno scoperto che mentre le versioni patchate includono controlli delle dimensioni che limitano i valori AuthHash, le versioni vulnerabili consentono agli aggressori di far traboccare un buffer di output di 16 byte e sovrascrivere i valori critici dello stack, incluso l’indirizzo di ritorno.

Il Product Security Team dell’azienda ha scoperto lo sfruttamento attraverso l’attività di minaccia osservata, che comprendeva la scansione della rete, la raccolta delle credenziali e la manipolazione dei file di registro.

Secondo gli indicatori di compromissione (IoC) di Fortinet, gli aggressori sono stati osservati mentre eseguivano scansioni di rete dei dispositivi, cancellavano i log dei crash di sistema e attivavano il “debug fcgi” per catturare i tentativi di autenticazione, inclusi gli accessi SSH. Gli autori della minaccia hanno anche distribuito malware e creato cron job per il furto continuo di credenziali.

La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto la vulnerabilità CVE-2025-32756 al suo catalogo delle vulnerabilità note sfruttate (KEV) il 14 maggio 2025, appena un giorno dopo la segnalazione iniziale di Fortinet. Questa designazione impone alle agenzie federali di porre rimedio alla vulnerabilità entro il 4 giugno 2025, evidenziando l’urgenza della minaccia.

L'articolo Il PoC per l’RCE critica di Fortinet è Online. Aggiorna subito, Attacchi attivi. proviene da il blog della sicurezza informatica.

Il sistema di sicurezza informatica degli Stati Uniti si trova ora ad affrontare una doppia minaccia: la crescente attività dei criminali informatici e i massicci tagli al personale federale. Michael Daniel, ex consigliere della Casa Bianca, mette in guardia dalle conseguenze catastrofiche derivanti dalla mancanza di finanziamenti per la protezione delle infrastrutture critiche. Nel frattempo, l’amministrazione Trump continua a tagliare spietatamente il bilancio, il che, secondo gli analisti, potrebbe paralizzare completamente la capacità del Paese di resistere agli attacchi digitali.

Daniel è a capo della Cyber ​​Threat Alliance, un’organizzazione no-profit che condivide informazioni sui rischi digitali. Dal 2012 al 2017 è stato assistente speciale del presidente Obama e coordinatore per la sicurezza informatica del Consiglio per la sicurezza nazionale. La sua esperienza comprende lo sviluppo di strategie di difesa contro attacchi informatici statali e criminali ai massimi livelli di governo.

L’esperto riconosce la Cina come l’avversario più pericoloso degli Stati Uniti, superando persino le capacità russe nel campo dello spionaggio digitale. Tuttavia, la portata degli interessi nazionali americani richiede la capacità di affrontare più avversari contemporaneamente. Gli interessi economici, la salute pubblica e la sicurezza nazionale creano un’ampia gamma di vulnerabilità che richiedono una protezione completa.

L’errore strategico è che i regolatori si concentrano esclusivamente sugli attori statali, ignorando i gruppi criminali. Ad esempio, l’Iran e la Corea del Nord continuerebbero a rappresentare una seria minaccia per gli interessi americani nel cyberspazio. Parallelamente, esistono decine di gruppi criminali organizzati specializzati in attacchi digitali contro il settore privato e le agenzie governative.

Negli Stati Uniti le aziende tradizionali devono affrontare sfide fondamentalmente diverse rispetto alle agenzie governative. Le aziende manifatturiere e le catene di vendita al dettaglio stanno diventando obiettivi primari per i criminali informatici che utilizzano ransomware e schemi di compromissione delle e-mail aziendali. Per i criminali, tali attacchi generano miliardi di dollari di fatturato annuo con un rischio relativamente basso di essere perseguiti penalmente.

Le aziende tecnologiche sono ulteriormente soggette a furti di proprietà intellettuale da parte delle agenzie di intelligence cinesi. Gli hacker governativi rubano sistematicamente segreti commerciali, dati di ricerca e sviluppi innovativi per trasferirli ai produttori nazionali. Tuttavia, ancora una volta, per la maggior parte delle organizzazioni americane, le attività criminali superano di gran lunga le minacce governative.

La motivazione finanziaria alla base dei reati informatici crea un ecosistema in cui gli attacchi riusciti vengono immediatamente replicati e migliorati. Il ransomware si è evoluto da semplici programmi di blocco dello schermo a complesse operazioni di doppia estorsione in più fasi. I criminali non si limitano a crittografare i dati delle vittime, ma rubano anche informazioni riservate per esercitare ulteriore pressione su di loro.

La Cybersecurity and Infrastructure Protection Agency perderà 491 milioni di dollari di finanziamenti, con una riduzione del 17% rispetto al suo bilancio attuale. E tutto questo sullo sfondo di un aumento esponenziale della complessità e della frequenza degli attacchi digitali.

I 16 settori infrastrutturali critici degli Stati Uniti sono coordinati da agenzie specializzate nella gestione del rischio. I settori dell’energia, dei trasporti, dell’assistenza sanitaria e dei servizi finanziari richiedono un monitoraggio continuo dei rischi e una rapida risposta agli incidenti. Queste agenzie operano sotto l’egida della CISA e soffrivano già di carenze di personale informatico prima dell’inizio degli attuali tagli.

Il numero esatto dei dipendenti licenziati rimane un segreto di Stato, poiché il Dipartimento della Sicurezza Interna si rifiuta di fornire statistiche. È chiaro che la segretezza ostacola il controllo parlamentare e la valutazione dei danni alla sicurezza nazionale.

Tradizionalmente il governo federale ha avuto difficoltà ad attrarre professionisti del settore informatico a causa degli stipendi non competitivi rispetto al settore privato. La domanda di esperti in sicurezza informatica è in crescita in tutti i settori dell’economia, il che determina una grave carenza di personale qualificato.

In linea con le priorità della nuova amministrazione, il Dipartimento di Giustizia e il Dipartimento per la Sicurezza Interna stanno spostando le risorse dalla sicurezza delle reti alla sicurezza delle frontiere. Questa ridistribuzione del potere riduce l’assistenza alle aziende che hanno subito attacchi ransomware e altre intrusioni motivate da motivi finanziari. Per riprendersi dagli incidenti informatici è necessario un coordinamento tra il settore privato e le agenzie federali.

Gli ospedali regionali, gli istituti scolastici e gli enti locali non hanno le risorse per assumere consulenti d’élite come Mandiant o CrowdStrike. Il costo dei loro servizi può superare i budget IT annuali delle piccole organizzazioni. È ovvio che l’assistenza statale è l’unico modo per rafforzare la difesa.

Le reti degli ospedali rurali sono particolarmente vulnerabili al ransomware a causa delle apparecchiature obsolete e del personale IT limitato. Gli attacchi alle strutture sanitarie minacciano direttamente la vita dei pazienti che necessitano di cure d’urgenza. Ripristinare la funzionalità dei sistemi critici dopo la crittografia dei dati può richiedere diverse settimane.

Daniel ritiene che questa politica sia fondamentalmente sbagliata. “Le autorità federali devono aumentare i budget destinati alla sicurezza informatica e al personale, e devono anche fornire maggiore assistenza alle aziende per proteggersi dalle minacce digitali in continua crescita”, sottolinea l’esperto. L’investimento è pienamente giustificato, poiché previene perdite economiche su larga scala. Ancora una volta, la capacità del governo federale di supportare i settori vulnerabili nella lotta alla criminalità informatica organizzata è una questione di interesse nazionale.

L'articolo E’ Cyber-caos negli USA! I tagli ai fondi mettono in ginocchio la Sicurezza Nazionale proviene da il blog della sicurezza informatica.

Alessandro Ferretti:

Si parla molto del riposizionamento di personaggi pubblici, giornalisti e influencer che per mesi hanno taciuto o minimizzato il genocidio in corso a Gaza. Alcuni hanno sperato che questo fosse l’inizio di un ravvedimento dei media e che portasse a una copertura giornalistica più veritiera, che riferisse finalmente in modo corretto e approfondito i crimini israeliani contro i palestinesi.
Queste speranze, purtroppo, sono già morte ancor prima di nascere e le notizie degli ultimi giorni lo dimostrano crudelmente.

Giusto ieri è stata assassinata Yaqeen Hammad , un’attivista umanitaria di 11 anni con 90.000 follower su Instagram, uccisa insieme alla sua famiglia da un raid israeliano a Deir al-Balah. Yaqeen distribuiva cibo e aiuti tra le macerie, incarnando una resistenza che Israele mira a estinguere. Cone al solito, non è un incidente: è parte di una strategia deliberata per cancellare chi testimonia il massacro.

Parallela a questa tragedia è la strage della famiglia della dottoressa Alaa Al-Najjar, pediatra dell’ospedale Nasser. Sempre ieri, durante il suo turno di lavoro, si è vista arrivare all’ospedale i cadaveri ancora caldi di nove dei suoi dieci figli, trucidati da un raid mirato sulla sua casa. Gli unici sopravvissuti, il marito e un figlio, sono gravemente feriti. Il dottor Mads Gilbert riferisce che nonostante questo dolore inimmaginabile, la dottoressa non ha interrotto il suo lavoro. Di nuovo, questo crimine non è casuale: in una settimana, 12 infermieri e paramedici tra i più esperti di Gaza sono stati massacrati insieme alle loro famiglie.

Non si tratta di complottismo: è stato il ministro israeliano Smotrich a dichiarare giubilante che Israele sta “finalmente” mirando ad ammazzare i civili (e le loro famiglie) che lavorano all’amministrazione civile ministri, funzionari, prestatori di denaro, impiegati e in generale tutti quelli che lavorano nelle strutture economiche e governative di Gaza. In pratica, un piano di annientamento della società civile palestinese

Anche la cosiddetta "riapertura degli aiuti umanitari" si sta rivelando (come previsto) un altro tassello del genocidio. Sempre ieri gli israeliani hanno ucciso 6 palestinesi (tra cui poliziotti in borghese) mentre proteggevano camion di farina dai saccheggiatori. Un altro attacco ha colpito persone affamate che si avvicinavano a un camion ad al-Mawasi, un’area dichiarata "zona umanitaria". Israele sta insomma intensificando ulteriormente la sua campagna tesa a far piombare l’intera popolazione di Gaza in un’anarchia fratricida che renda possibile la pulizia etnica totale della striscia.

Ebbene: di fronte a tutto questo campionario di gravissimi crimini, oggi il Corriere della Sera non ha dedicato una riga a queste stragi. Nessun titolo, nessuna foto, nessuna parola, neanche un segno di punteggiatura. Questo silenzio è la dimostrazione che il presunto "riposizionamento" dei media e delle élite non mira a fermare il genocidio, ma a legittimarlo con una retorica compassionevole e a guadagnare tempo per il suo compimento. Mentre Israele completa la sua campagna di sterminio, si cerca di tranquillizzare l’opinione pubblica con dichiarazioni tardive e simboliche, lasciando intatto il sistema di potere che la sostiene.

Tanti di coloro che si riposizionano oggi, dopo anni di silenzio, non lo fanno per salvare Yaqeen, la dottoressa Alaa, i 12 infermieri uccisi o il resto della popolazione di Gaza. Non dobbiamo abbandonare, non dobbiamo lasciare il testimone della lotta contro il genocidio a questi complici ipocriti dell’ultima ora.

Craig Mokhiber in un suo post ha spiegato perfettamente qual è il punto, qual è la posta in gioco:

”Non abbracciare tuo figlio. Non fare beneficenza. Non visitare i malati. Non condannare l'assassino. Non parlare di giustizia. Non aiutare i senzatetto. Non dare da mangiare agli affamati. Non piangere i morti.

Perché se fai una qualsiasi di queste cose e poi rimani in silenzio e inattivo di fronte allo sterminio di un intero popolo - con la complicità del tuo governo - allora sei colpevole del peggior tipo di ipocrisia.

L'essenza della moralità è la coerenza. Senza coerenza morale, si possono compiere atti di gentilezza casuali per rispettare regole di convivenza o per compiacere il proprio ego, ma non si può affermare di agire con moralità.

Il genocidio è il peggior male concepito dalla razza umana. Il silenzio di fronte al genocidio vi priva quindi di ogni autorevolezza morale, di ogni autorità etica, della vostra stessa umanità.

In questo preciso istante, la gente muore di fame. I bambini vengono uccisi a colpi d'arma da fuoco per puro divertimento. I prigionieri vengono torturati. I civili vengono massacrati. Case, ospedali, scuole, luoghi di culto, rifugi vengono rasi al suolo.

Di' qualcosa. Fai qualcosa. Noi ne siamo responsabili. Un giorno dovremo tutti spiegare cosa abbiamo fatto per fermarlo.”

*
Link al post su Substack con le fonti: alessandroferretti123.substack…

Buondì ☺️

(Il mio profilo #pixelfeld è un po' abbandonato a sé stesso, ma me prenderò cura presto)

pixelfed.uno/p/aimee80/8321590…

aimee80

2025-05-25 07:43:05

Sunday's mood.
Colazione con treccia al burro 😋

Non sono brava a fare le foto di cibo "instagrammabili"

#colazione #sunday #sundaysmood #domenica #treccia #love

!Fisica

Comincio io per consigliarvi un libro che sto leggendo da qualche giorno e che descrive una nuova teoria sulla nascita dell'universo. L'idea del "grande botto" da cui sarebbe nato tutto era valida una cinquantina di anni fa, adesso la teoria si è aggiornata con un "prequel" su quanto successo prima del Big Bang: il periodo dell'#inflazione.

Gian Francesco Giudice (*), Prima del Big Bang, BUR Rizzoli.

(*) Direttore del Dipartimento di Fisica Teorica del CERN di Ginevra.

Filippo Ferri nominato questore di Monza: fu condannato per il G8 di Genova
Repubblica: "Dalla Polfer lombarda alla questura brianzola: in Cassazione fu condannato a 3 anni e 8 mesi per le violenze della Diaz"

milano.repubblica.it/cronaca/2…

#ytalya #scuoladiaz #g8 #mattanze #condannati #g8genova

firenzetoday.it/cronaca/senten…

today.it/cronaca/sentenza-diaz…

Nel nostro paese è perfettamente accettabile che alle politiche vada a votare una persona sola, che ii partito dal lei scelto abbia il 100% dei seggi, possa fare qualsiasi legge e anche riscriversi la Costituzione da cima a fondo.

Però, sulle cazzatine come abbassare da 10 a 5 anni il tempo di permanenza in italia per chiedere la cittadinanza ("cazzatine" inteso come decisioni che non hanno il minimo impatto sulla vita della gran parte della popolazione) deve esprimersi il 50% degli aventi diritto, più uno.

Questo quorum non serve a garantire che non ci sia una minoranza che decide per tutti, questo quorum serve per garantire che non si possa mettere in discussione quanto fatto da chi detiene il potere politico e fa comodo tanto alla destra quanto alla sinistra.

Un partito che avesse veramente a cuore i diritti e la democrazia metterebbe l'abolizione del quorum al primo posto del suo programma, invece di stracciarsi le vesti per gli inviti all'astensione e di fare questi teatrini sul "diritto dovere" di andare a votare.

Che poi, a parti invertite, se la destra avesse messo in piedi un referendum per cancellare la possibilità di dare la cittadinanza a chi non ha entrambi i genitori italiani avrei voluto proprio vedere se la sinistra avrebbe invitato a votare "no" o avrebbe invitato all'astensione.

rsi.ch/info/cultura-e-spettaco…

#Salgado