VMware ha risolto quattro vulnerabilità in ESXi, Workstation, Fusion e Tools che erano state utilizzate comeexploit zero-day nella competizione di hacking Pwn2Own Berlin 2025 tenutasi a maggio. Le vulnerabilità consentivano agli aggressori di eseguire comandi sul sistema host dall’interno di una macchina virtuale, rappresentando una seria minaccia per la sicurezza dell’infrastruttura di virtualizzazione.

Tre delle quattro vulnerabilità hanno ricevuto un punteggio di gravità elevato, pari a 9,3 su 10. Tutte e tre hanno consentito ai programmi in esecuzione all’interno della macchina virtuale di ottenere la capacità di eseguire codice sul sistema principale.

• CVE-2025-41236 è una vulnerabilità di tipo integer overflow nella scheda di rete VMXNET3 utilizzata in ESXi, Workstation e Fusion. Questa vulnerabilità è stata sfruttata durante la competizione da Nguyen Hoang Thac del team SG di STARLabs.
• CVE-2025-41237 colpisce la VMCI (Virtual Machine Communication Interface), dove un errore aritmetico consente la scrittura fuori dai limiti. Questo bug è stato sfruttato con successo da Corentin Baillet di REverse Tactics.
• CVE-2025-41238 – Nel controller PVSCSI (Paravirtualized SCSI), un errore di gestione della memoria consente un attacco heap-overflow e l’esecuzione di codice per conto del processo VMX del sistema host. Questa vulnerabilità è stata sfruttata da Thomas Bouzerard ed Etienne Elluy-Lafon del team Synacktiv.
• CVE-2025-41239 ha un punteggio inferiore, pari a 7,1, perché si tratta di una fuga di informazioni. Tuttavia, è stato utilizzato insieme a CVE-2025-41237 dallo stesso partecipante a REverse Tactics e ha svolto un ruolo chiave nel dimostrare la catena di attacco. Questo problema riguarda VMware Tools per Windows e richiede una procedura di aggiornamento separata per la correzione .

VMware non offre soluzioni alternative: le minacce possono essere eliminate solo installando le versioni più recenti del software interessato. Gli aggiornamenti sono ora disponibili per tutti i prodotti interessati.

Tutte le vulnerabilità sono state dimostrate come zero-day all’evento Pwn2Own Berlin 2025, dove i ricercatori di sicurezza hanno guadagnato 1.078.750 dollari sfruttando con successo 29 vulnerabilità.

La competizione ha dimostrato ancora una volta la rapidità con cui le vulnerabilità negli strumenti di virtualizzazione più comuni possono essere individuate e sfruttate, evidenziando la necessità di mantenere aggiornati anche i sistemi aziendali.

L'articolo VMware risolve 4 vulnerabilità critiche scoperte a Pwn2Own Berlin2025 proviene da il blog della sicurezza informatica.

The old saying that the best way to learn is by doing holds as true for penetration testing as for anything else, which is why intentionally vulnerable systems like the Damn Vulnerable Web Application are so useful. Until now, however, there hasn’t been a practice system for penetration testing with drones.

The Damn Vulnerable Drone (DVD, a slightly confusing acronym) simulates a drone which flies in a virtual environment under the command of of an Ardupilot flight controller. A companion computer on the drone gives directions to the flight controller and communicates with a simulated ground station over its own WiFi network using the Mavlink protocol. The companion computer, in addition to running WiFi, also streams video to the ground station, sends telemetry information, and manages autonomous navigation, all of which means that the penetration tester has a broad yet realistic attack surface.

The Damn Vulnerable Drone uses Docker for virtualization. The drone’s virtual environment relies on the Gazebo robotics simulation software, which provides a full 3D environment complete with a physics engine, but does make the system requirements fairly hefty. The system can simulate a full flight routine, from motor startup through a full flight, all the way to post-flight data analysis. The video below shows one such flight, without any interference by an attacker. The DVD currently provides 39 different hacking exercises categorized by type, from reconnaissance to firmware attacks. Each exercise has a detailed guide and walk-through available (hidden by default, so as not to spoil the challenge).

This seems to be the first educational tool for drone hacking we’ve seen, but we have seen several vulnerabilities found in drones. Of course, it goes both ways, and we’ve also seen drones used as flying security attack platforms.

youtube.com/embed/EHTQv6IfnwI?…

hackaday.com/2025/07/18/a-vuln…

Una recente violazione dei dati ha rivelato una vulnerabilità nei sistemi di Paradox.ai, uno sviluppatore di chatbot basati sull’intelligenza artificiale utilizzati nei processi di assunzione di McDonald’s e di altre aziende Fortune 500. La grave violazione è stata causata da un semplice errore: un bug di tipo IDOR (acronimo di Insecure Direct Object Reference, oggi Broken Access Control nella TOP10 Owasp) contenente un codice debole.

Tutto è iniziato quando i ricercatori di sicurezza Ian Carroll e Sam Curry hanno ottenuto l’accesso al backend di McHire.com, una piattaforma che utilizza il bot di intelligenza artificiale Olivia di Paradox.ai per elaborare le candidature dei candidati. Come si è scoperto, un account di prova con un codice “123456” ha dato loro accesso a un set di dati di 64 milioni di record, inclusi nomi, numeri di telefono e indirizzi email dei candidati.

L’azienda ha ammesso che si trattava effettivamente del loro account di prova, inutilizzato dal 2019 e che avrebbe dovuto essere eliminato. Paradox sostiene che nessuno, a parte i ricercatori stessi, abbia avuto accesso al sistema e che nessuna delle registrazioni sia stata resa pubblica. Allo stesso tempo, sottolinea che si trattava solo della corrispondenza con il bot e non delle candidature di lavoro in sé.

Tuttavia, i problemi non sono finiti qui. Un’analisi indipendente delle perdite di password ha mostrato che nel giugno 2025 il dispositivo di un dipendente vietnamita di Paradox è stato infettato dal malware Nexus Stealer. Questo tipo di malware è noto per il furto di password e dati di autorizzazione, inclusi cookie e dati di accesso immessi manualmente. Dopo l’infezione, le informazioni del dipendente sono state esposte e indicizzate dai servizi che monitorano le perdite.

I dati rubati includevano centinaia di password semplici e ripetitive, spesso diverse solo per gli ultimi caratteri. Alcune di queste venivano utilizzate per accedere ai servizi interni di clienti Paradox, tra cui Aramark, Lockheed Martin, Lowe’s e Pepsi. La stessa password, composta da sole sette cifre, veniva utilizzata per accedere a diversi sistemi aziendali. Password di questo tipo possono essere decifrate in un solo secondo utilizzando moderni strumenti di attacco a forza bruta.

Ciò che è particolarmente allarmante è che i dati compromessi includevano accessi alla piattaforma Single Sign-On paradoxai.okta.com, che Paradox utilizza dal 2020 e supporta l’autenticazione a due fattori. Sebbene l’azienda affermi che la maggior parte delle password compromesse non sia più valida, includevano i dettagli di accesso per Okta e Atlassian , un servizio di project management e sviluppo software. Entrambi i token di autorizzazione sarebbero scaduti a dicembre 2025.

La fuga di dati ha interessato non solo gli accessi, ma anche i cookie, che potrebbero potenzialmente bypassare l’autenticazione a più fattori. Inoltre, in alcuni casi, il malware lascia delle backdoor sui dispositivi, consentendo l’accesso remoto. Uno di questi computer, appartenente a uno sviluppatore Paradox in Vietnam, è stato successivamente messo in vendita.

Paradox afferma che l’incidente non ha interessato altri account clienti e che i requisiti per i collaboratori esterni sono stati inaspriti dall’audit di sicurezza del 2019. Paradox cita il fatto che nel 2019 i collaboratori esterni non erano tenuti a rispettare gli stessi standard del personale interno.

È emerso anche che un altro dipendente Paradox in Vietnam è stato infettato da un malware simile alla fine del 2024. Tra i dati rubati c’erano i suoi account GitHub e la cronologia del browser, il che suggerisce che l’infezione potrebbe essere avvenuta durante il download di film piratati, un modo comune per questi virus, spesso mascherati da codec, di diffondersi.

La storia dimostra quanto possano essere fragili anche le aziende che dichiarano di avere standard di sicurezza rigorosi. Un account di prova dimenticato e un laptop infetto hanno potenzialmente compromesso i dati di diverse aziende.

L'articolo Un account di test dimenticato e un malware: dietro le quinte del data breach che ha colpito McDonald’s proviene da il blog della sicurezza informatica.

L’ufficio stampa del Cremlino ha riferito che il presidente russo Vladimir Putin ha incaricato il governo di sviluppare ulteriori restrizioni per i software (inclusi i “servizi di comunicazione”) prodotti in paesi ostili entro il 1° settembre 2025. L’elenco delle istruzioni è stato redatto a seguito di un incontro con i rappresentanti del mondo imprenditoriale tenutosi il 26 maggio di quest’anno. Il Primo Ministro Mikhail Mishustin è stato nominato responsabile dell’attuazione di queste istruzioni e dovrà preparare una relazione in merito entro il 1° settembre.

Il sito web del Cremlino afferma che i software provenienti da paesi ostili includono anche i “servizi di comunicazione”, ma non specifica quali. L’elenco delle istruzioni include anche la valutazione della questione dell’introduzione di ulteriori misure di sostegno per gli esportatori di software nazionale. Una relazione in merito dovrebbe essere predisposta da Mishustin entro il 1° settembre. In un incontro con i rappresentanti degli ambienti imprenditoriali tenutosi nel maggio 2025 è stata discussa la possibilità di limitare gradualmente l’uso di servizi cloud esteri con analoghi servizi russi .

Vladimir Putin ha suggerito di “strangolare” le aziende IT straniere che avevano annunciato il loro ritiro dal mercato russo e che cercavano di “strangolare” la Russia, sebbene continuassero a occupare le loro nicchie nel mercato russo. Ha consigliato ai russi che hanno mantenuto determinate abitudini di utilizzo e un attaccamento ai programmi e ai servizi occidentali di sbarazzarsi di “queste cattive abitudini”. Poco dopo, il capo del Ministero dello sviluppo digitale, Maksut Shadayev, ha commentato le parole del presidente russo sullo “strangolamento” dei servizi IT stranieri che agiscono contro la Federazione Russa, ma che non hanno abbandonato completamente il mercato russo.

“Il Presidente ha parlato di “strangolaremo”. In generale, considererei la questione in un contesto più ampio. È chiaro che il nostro settore si sta sviluppando a un ritmo molto rapido”, ha detto Shadayev. Secondo il ministro, l’attuale situazione economica in Russia è difficile e molti grandi clienti stanno letteralmente “tagliando” i loro budget IT. In questa situazione, è necessario pensare a ulteriori incentivi per incrementare la crescita della domanda di offerte nazionali in questo settore.

“In questa situazione, il nostro approccio è che le grandi aziende possano valutare di limitare gradualmente l’uso di servizi cloud esteri laddove esistano analoghi russi maturi. In questo modo, si supporteranno [le aziende IT russe] e si darà loro l’opportunità di generare entrate aggiuntive”, ha aggiunto il ministro.

L'articolo Putin impone restrizioni ai software esteri che hanno “strangolato” la Russia proviene da il blog della sicurezza informatica.

Devo mettere gli occhiali, mi servono delle lenti progressive, mi sono fatto fare un paio di preventivi e la "forchetta" tra i prezzi che mi hanno dato è molto alta.

Purtroppo non ho nessun modo di capire quale sia la scelta più razionale e attualmente ho solo due criteri a disposizione:

a) compro le economiche così risparmio;
b) compro le costose perché se costano di più sono migliori ed è meglio non risparmiare sulla salute.

Nessuno dei due criteri mi sembra quello ottimale. L'unica cosa utile sarebbe provarle entrambe e vedere come sono ma ovviamente non è possibile.

Voi che le avete come vi regolate?

#lenti #occhiali

Hanno cominciato ad ammazzare cattolici, stai a vedere che adesso comincia a importarcene qualcosa...

La presidente del Consiglio Giorgia Meloni ha condannato l’attacco contro la chiesa e in generale contro la popolazione civile con toni particolarmente duri: in un comunicato ha detto che «sono inaccettabili gli attacchi contro la popolazione civile che Israele sta dimostrando da mesi. Nessuna azione militare può giustificarla.

ilpost.it/2025/07/17/chiesa-sa…

Israele ha attaccato l’unica chiesa cattolica nella Striscia di Gaza

Quella della Sacra Famiglia: tre persone sono state uccise e nove ferite, fra cui il parroco

^{Il Post}