If you’re into electronics you can never have too many digital multimeters (DMMs). They all have different features, and if you want to make multiple measurements simultaneously, it can pay to have a few. Over on his video blog [joe smith] reviews the new Brymen BM788BT, which is a new entry into the Bluetooth logging meter category.

This is a two-part series: in the first he runs the meter through its measurement paces, and in the second he looks at the Bluetooth software interface. And when we say “new” meter, we mean brand new, this is a review unit that you can’t yet get in stores.

According to a post on the EEVblog, this Bluetooth variant was promised five years ago, and back then Brymen even had the Bluetooth module pin header on the PCB, but it has taken a long time to get the feature right. If you scroll through the thread you will find that Brymen has made its protocol specification available for the BM780 series meters.

It looks like some Bluetooth hacking might be required to get the best out of this meter. Of course we’re no strangers to hacking DMMs around here. We’ve taken on the Fluke 77 for example, and these DMM tweezers.

youtube.com/embed/BhzNb9l6dRU?…

youtube.com/embed/h6N6VmGnqPQ?…

hackaday.com/2025/04/15/new-br…

A partire da poco dopo la mezzanotte del 15 aprile 2025, BreachForums – uno dei principali forum underground – risulta offline sia nella sua versione clearnet che nella controparte su rete TOR. Nessun avviso ufficiale, nessuna comunicazione dagli amministratori. Solo silenzio ed il laconico “No such device or address” sul sito checkhost.

Le prime ipotesi circolano da qualche ora su X (ex Twitter) da alcuni noti profili del settore OSINT e threat intelligence. Il post più interessante arriva da LEAKD, che suggerisce l’esistenza di un documento classificato dell’FBI che menzionerebbe un’operazione sotto copertura denominata Operation Spectral Tango. Secondo la ricostruzione, si tratterebbe di una manovra coordinata per prendere il controllo del forum e monitorare dall’interno le attività criminali in corso, trasformando de facto BreachForums in un honeypot federale.

Nel documento – che non è stato confermato ufficialmente ma che circola da ore nelle board russe – si accenna a un coinvolgimento diretto del Federal Bureau of Investigation in collaborazione con partner internazionali, con lo scopo di profilare, tracciare e identificare i key players nel mercato nero digitale.

Approfondiamo la questione con un’ipotesi che circola: IntelBroker arrestato?

Abbiamo provato ad approfondire ed in particolare su “Cracked” – un forum recentemente tornato attivo – emergono dettagli ancora più pesanti. Nella chat board, decine di utenti confermano (meglio dire ipotizzano) l’arresto di IntelBroker, uno degli amministratori di BreachForums.

IntelBroker era noto per aver pubblicato leak clamorosi, inclusi documenti militari e sanitari statunitensi, e negli ultimi mesi era diventato un punto di riferimento nel forum. La sua assenza improvvisa, insieme al down completo del sito, rende plausibile lo scenario di un’operazione repressiva in corso.

Cosa si dice nel gruppo Jacuzzi

Il gruppo Jacuzzi, covo noto dei criminali informatici che frequentano Breach Forums, nella giornata di oggi si è ravvivato mostrando moltissimi messaggi inerenti la mancata raggiungibilità di breach Forums.

Un utente luna ha riportato “Questo è solo l’inizio, nuovi arresti pioveranno, dopo mesi scoprirete la verità. Per ora posso solo dire che il forum tornerà presto, il circo sta per riempirsi di comici.”

Nel mentre altri criminali informatici, nel covo dei criminali pubblicizzano ulteriori forum underground o canali telegram per migrare gli utenti di breach forums. Ma di questo modo di agire ne abbiamo parlato molto tempo fa quando alcuni forum underground vollero prendere il posto di Raidforums e poi Breachforums, senza riuscire nell’intento.

Altre evidenze: la nascita del canale telegram BreachForumsV4

Approfondendo le nostre ricerche ci imbattiamo in un canale telegram che sembra essere creato ad-hoc per dare aggiornamenti sulla vicenda ma contemporaneamente per “pubblicizzare” la nascita di un nuovo dominio breachforums.cc battezzato “BreachForums V4”. Sul canale un unico messaggio pubblicato alle 12:39 del 15 aprile:

“IntelBroker arrested. No other infos yet. Stay tuned, I’ll share some good infos. – new domain o breachforums.cc”

Il dominio breachforums.cc è effettivamente online. Si presenta come un’istanza “V4” del forum, ma con registrazioni chiuse e accesso solo tramite pagamento. Per unirsi, si viene invitati a contattare un utente identificato come BAPCOMET.

Al momento non è possibile verificare con certezza se si tratti di una vera migrazione, di un tentativo di truffa o – ipotesi più inquietante – di un progetto controllato da forze dell’ordine.

Questo è uno scenario in evoluzione, e come tale va trattato. Se confermato, sarebbe il secondo grande smantellamento del forum dopo la chiusura del predecessore RaidForums e l’arresto di Pompompurin. Ma la domanda resta sempre la stessa: quando un forum underground muore, è davvero morto… o sta solo cambiando pelle?

Stay tuned – aggiorneremo questo articolo con ulteriori sviluppi.

L'articolo Breach Forums che fine hai fatto? Sequestro in corso, Honeypot federale o Disservizio? proviene da il blog della sicurezza informatica.

Image by [akavel] via GitHubReader [akavel] was kind enough to notify me about Clawtype, which is a custom wearable chorded keyboard/mouse combo based on the Chordite by [John W. McKown].

First of all, I love the brass rails — they give it that lovely circuit sculpture vibe. This bad boy was written in Rust and currently runs on a SparkFun ProMicro RP2040 board. For the mouse portion of the program, there’s an MPU6050 gyro/accelerometer.

[akavel]’s intent was to pair it with XR glasses, which sounds like a great combination to me. While typing is still a bit slow, [akavel] is improving at a noticeable pace and does some vim coding during hobby time.

In the future, [akavel] plans to try a BLE version, maybe even running off a single AA Ni-MH cell, and probably using an nRF52840. As for the 3D-printed shape, that was designed and printed by [akavel]’s dear friend [Cunfusu], who has made the files available over at Printables. Be sure to check it out in the brief demo video after the break.

youtube.com/embed/N2PSiOl-auM?…

Wooden You Like To Use the Typewriter?

Image by [bilbonbigos] via redditI feel a bit late to the party on this one, but that’s okay, I made an nice entrance. The Typewriter is [bilbonbigos]’ lovely distraction-free writing instrument that happens to be primarily constructed of wood. In fact, [bilbonbigos] didn’t use any screws or nails — the whole thing is glued together.

The Typewriter uses a Raspberry Pi 3B+, and [bilbonbigos] is FocusWriter to get real work done on it. it runs off of a 10,000 mAh power bank and uses a 7.9″ Waveshare display.

The 60% mechanical keyboard was supposed to be Bluetooth but turned out not to be when it arrived, so that’s why you might notice a cable sticking out.

The whole thing all closed up is about the size of a ream of A4, and [bilbonbigos] intends to add a shoulder strap in order to make it more portable.

That cool notebook shelf doubles as a mousing surface, which is pretty swell and rounds out the build nicely. Still, there are some things [bilbonbigos] would change — a new Raspi, or a lighter different physical support for the screen, and a cooling system.

The Centerfold: A Keyboard For Your House In Palm Springs

Image by [the_real_jamied] via redditCan’t you feel the space age Palm Springs breezes just looking at this thing? No? Well, at least admit that it looks quite atomic-age with that font and those life-preserver modifier keycaps. This baby would look great on one of those giant Steelcase office desks. Just don’t spill your La Croix on it, or whatever they drink in Palm Springs.

Do you rock a sweet set of peripherals on a screamin’ desk pad? Send me a picture along with your handle and all the gory details, and you could be featured here!

Historical Clackers: the Odell Typewriter

First of all, the machine pictured here is not the true Odell number 1 model, which has a pair of seals’ feet at each end of the base and is referred to as the “Seal-Foot Odell“. Ye olde Seal-Foot was only produced briefly in 1889.
Image via The Antikey Chop
But then inventor Levi Judson Odell completely redesigned the thing into what you see here — model 1b, for which he was awarded a patent in 1890. I particularly like the markings on the base. The nickel-plated, rimless model you see here was not typical; most had gold bases.

These babies cost 1/5th of a standard typewriter, and were quite easy to use to boot. With everything laid out in a line, it was far easier to use a slide mechanism than your ten fingers to select each character. On top of everything else, these machines were small enough to take with you.

No matter their appearance, or whether they typed upper case only or both, Odells were all linear index typewriters. The print element is called a type-rail. There is a fabric roller under the type-rail that applies ink to the characters as they pass. Pinch levers on the sides of the carriage did double duty as the carriage advance mechanism and the escapement.

Round-based Odells went by the wayside in 1906 and were replaced by square-based New American No. 5 models. They functioned the same, but looked quite different.

Finally, John Lennon’s Typewriter Is For Sale

Image via Just Collecting
Got an extra ten grand lying around? You could own an interesting piece of history.

This image comes courtesy of Paul Fraser Collectibles, who are selling this typewriter once owned and used by the legendary Beatle himself. While Lennon composed poems and songs on the machine, it’s unclear whether he secretly wanted to be a paperback writer.

This machine, an SCM (Smith-Corona Marchant) Electra 120, is an interesting one; it’s electric, but the carriage return is still manual. I myself have an SCM Secretarial 300, which looks very much the same, but has a frightening ‘Power Return’ that sends the carriage back toward the right with enough power to shake the floor, depending upon the fortitude of your table.

Apparently Lennon would use the machine when traveling, but gave it to a close friend in the music industry when he upgraded or otherwise no longer needed it. A booking agent named Irwin Pate worked with this friend and obtained the typewriter from him, and Irwin and his wife Clarine held on to it until they sold it to Paul Fraser Collectibles. I find it interesting that this didn’t go to auction at Christie’s — I think it would ultimately go for more, but I’m a writer, not an auction-ologist.

Got a hot tip that has like, anything to do with keyboards? Help me out by sending in a link or two. Don’t want all the Hackaday scribes to see it? Feel free to email me directly.

hackaday.com/2025/04/15/keebin…

In un momento in cui la sicurezza della supply chain digitale è sotto i riflettori, dopo l’attacco che ha coinvolto la piattaforma MyCicero e le aziende utilizzatrici come ATM Milano, Bus Italia e TUA Abruzzo, WIIT interviene per chiarire la propria posizione.

La società, leader europeo nel cloud computing e fornitore dell’infrastruttura su cui si basa la piattaforma compromessa, ha emesso un comunicato ufficiale in cui afferma la propria totale estraneità all’incidente informatico.

WIIT sottolinea che non è stata in alcun modo coinvolta né direttamente né indirettamente nell’attacco informatico, precisando che i propri servizi Cloud non sono stati oggetto di compromissione. Da quanto riporta WIIT, l’azienda ha infatti fornito esclusivamente il private cloud a Pluservice S.r.l., responsabile dello sviluppo, della gestione applicativa e della sicurezza della piattaforma MyCicero. La protezione contro i cyber attacchi, ribadisce WIIT, non rientra tra i servizi erogati nei rapporti contrattuali.

Secondo quanto dichiarato, l’attacco ha avuto origine al di fuori dei domini WIIT. Grazie all’alto livello di segregazione e protezione delle infrastrutture, nessun altro cliente WIIT ha subito danni o violazioni. Inoltre, WIIT riporta nel comunicato che non è coinvolta nella gestione o nel trattamento dei dati personali contenuti negli archivi MyCicero.

WIIT ha anche rivelato di aver rilevato comportamenti anomali tramite i propri sistemi di monitoraggio e di aver prontamente avvisato le aziende, suggerendo l’immediato isolamento del servizio. Tale intervento tempestivo ha contribuito a limitare la propagazione del danno. L’azienda coglie l’occasione per ribadire la propria strategia Secure Cloud, che unisce resilienza infrastrutturale e cyber security avanzata. Un modello scelto dalla maggior parte dei clienti WIIT.
COMUNICATO STAMPA

WIIT chiarisce di essere esente da ogni responsabilità in relazione all’attacco hacker che ha
coinvolto la piattaforma MyCicero e i suoi utlizzatori (es. ATM Milano). I servizi Cloud di WIIT non sono stati oggetto di alcun attacco informatico; nessun’altro cliente di WIIT è stato né direttamente né indirettamente coinvolto.

Milano, 15 aprile 2025 – Con riferimento alle recenti notizie rela.ve all’attacco hacker che ha coinvolto la piattaforma MyCicero gestita da Pluservice S.r.l. e gli archivi da. delle aziende utilizzatrici della piattaforma (es. ATM Milano), WIIT S.p.A. (“WIIT” o la “Società”; ISIN IT0005440893; WIIT.MI) chiarisce di essere esente da ogni responsabilità e, al fine di rettifcare alcune informazioni non corrette, rende noto quanto segue, riservandosi ogni valutazione e iniziativa a tutela dei propri diritti.

WIIT fornisce a Pluservice esclusivamente l’infrastruttura su cui è ospitata la piattaforma MyCicero e provvede quindi alla gestione dei servizi tecnologici di base (c.d. private cloud), senza fornire alcun servizio di sicurezza e prevenzione da attacchi cyber. Pertanto, la gestione applicativa della piattaforma nonché l’attività di cyber security a protezione della piattaforma e dei domini sono svolte da Pluservice, direttamente o mediante terzi diversi da WIIT.

Ciò premesso, l’attacco hacker ha avuto ad oggetto direttamente la piattaforma gestita da Pluservice, provenendo dall’esterno dei domini WIIT, mentre i servizi Cloud di WIIT non sono stati oggetto di alcun attacco informatico; nessun’altro cliente di WIIT è stato né direttamente né indirettamente impattato dall’attacco subito dalla piattaforma MyCicero, grazie ad un alto livello di segregazione e di protezione. WIIT non gestisce né è responsabile del trattamento dei dati personali contenuti negli archivi MyCicero.

In particolare, WIIT, dopo aver identificato attraverso i propri sistemi di monitoraggio comportamenti anomali sulle infrastrutture ospitate, ne ha ricondotto l’origine al perimetro di Pluservice e ha quindi suggerito al cliente l’immediato isolamento e sospensione del servizio MyCicero, cosa che è stata attuata tempestivamente. La strategia di riavvio della piattaforma e del servizio è stata decisa in autonomia dal cliente il quale ha manlevato formalmente ed integralmente WIIT da tutti i possibili rischi e danni conseguenti.

WIIT conferma il proprio totale supporto ai cliente che hanno deciso di utilizzare infrastrutture altamente resilienti all’interno di Datacenter di livello Tier IV che garantiscono un più alto livello di resilienza. La necessità ormai imprescindibile di affiancare ad infrastrutture resilienti anche altri livelli di copertura di Cyber Security è il motivo per cui, nella maggioranza dei casi, i clienti adottano il modello di Secure Cloud che integra al suo interno alta resilienza infrastrutturale e di datacenter, gestione attiva dei sistemi e alti livelli di sicurezza attraverso una estesa piattaforma di Cyber Security.

WIIT S.p.A.
WIIT S.p.A., società quotata sul segmento Euronext Star Milan (“STAR”), è leader nel mercato del Cloud Computing. Attraverso un footprint paneuropeo, è presente in mercati chiave quali Italia, Germania e Svizzera, posizionandosi tra i player primari nell’erogazione di soluzioni tecnologiche innovative di Private and Hybrid Cloud. WIIT opera attraverso processi gestione risorse specializzate e asset tecnologici tra cui datacenter di proprietà distribuiti in 7 Regioni: 4 in Germania, 1 in Svizzera e 2 in Italia, di cui 3 abilitate con Premium Zone, ossia con garanzia di alta disponibilità, massimi livelli di resilienza e security by design; di queste, due
ospitano datacenter certificati Tier IV dall’Uptme Instiute. WIIT dispone di 6 certificazioni SAP ai massimi livelli di specializzazione. L’approccio end-to-end consente l’erogazione, alle aziende partner, di servizi personalizzati ad alto valore aggiunto, con elevatissimi standard di sicurezza e qualità, per la gestone di critical application e business continuity, oltre a garantire massima affidabilità nella gestione delle principali piattaforme applicative internazionali (SAP, Oracle e Microsoft`). Dal 2022 il Gruppo WIIT ha aderito all’UN Global Compact delle Nazioni Unite. (www.wiit.cloud)
L'articolo Attacco Informatico a MyCicero: WIIT invia un comunicato stampa a RHC. Nessuna Violazione proviene da il blog della sicurezza informatica.

We’re probably all familiar with the Hall Effect, at least to the extent that it can be used to make solid-state sensors for magnetic fields. It’s a cool bit of applied physics, but there are other ways to sense magnetic fields, including leveraging the weird world of quantum physics with this diamond, laser, and microwave open-source sensor.

Having never heard of quantum sensors before, we took the plunge and read up on the topic using some of the material provided by [Mark C] and his colleagues at Quantum Village. The gist of it seems to be that certain lab-grown diamonds can be manufactured with impurities such as nitrogen, which disrupt the normally very orderly lattice of carbon atoms and create a “nitrogen vacancy,” small pockets within the diamond with extra electrons. Shining a green laser on N-V diamonds can stimulate those electrons to jump up to higher energy states, releasing red light when they return to the ground state. Turning this into a sensor involves sweeping the N-V diamond with microwave energy in the presence of a magnetic field, which modifies which spin states of the electrons and hence how much red light is emitted.

Building a practical version of this quantum sensor isn’t as difficult as it sounds. The trickiest part seems to be building the diamond assembly, which has the N-V diamond — about the size of a grain of sand and actually not that expensive — potted in clear epoxy along with a loop of copper wire for the microwave antenna, a photodiode, and a small fleck of red filter material. The electronics primarily consist of an ADF4531 phase-locked loop RF signal generator and a 40-dB RF amplifier to generate the microwave signals, a green laser diode module, and an ESP32 dev board.

All the design files and firmware have been open-sourced, and everything about the build seems quite approachable. The write-up emphasizes Quantum Village’s desire to make this quantum technology’s “Apple II moment,” which we heartily endorse. We’ve seen N-V sensors detailed before, but this project might make it easier to play with quantum physics at home.

hackaday.com/2025/04/15/shine-…

Per settimane, gli attaccanti sono riusciti a mantenere un accesso nascosto alle reti compromesse, sottraendo informazioni sensibili ed eludendo i sistemi di rilevamento grazie a un’infrastruttura di comando e controllo (C2) multistrato e all’impiego di strumenti avanzati per la cancellazione dei log.

Queste attività fanno parte di una campagna partita alla fine di marzo 2025, che sfrutta due vulnerabilità critiche – CVE-2025-0282 e CVE-2025-22457 – entrambe falle di tipo stack-based buffer overflow con un punteggio CVSS massimo di 9.0. Le falle sono state utilizzate per distribuire SPAWNCHIMERA, una suite malware modulare progettata per ottenere accesso remoto e persistente ai dispositivi compromessi.

Secondo un rapporto diffuso da TeamT5 dietro l’attacco ci sarebbe un gruppo APT legato agli interessi statali cinesi, che ha colpito organizzazioni attive in 12 paesi e in 20 settori industriali, sfruttando le falle nei dispositivi Ivanti Connect Secure VPN.

Il gruppo APT, valutato anche da Mandiant e monitorato come UNC5221 e legato agli interessi dello stato cinese, ha sfruttato le vulnerabilità di Ivanti per ottenere l’esecuzione di codice remoto non autenticato (RCE).

Una volta all’interno, gli aggressori hanno implementato SPAWNCHIMERA, un ecosistema malware modulare progettato specificamente per le appliance Ivanti. I componenti chiave includono:

• SPAWNANT : un programma di installazione stealth che aggira i controlli di integrità;
• SPAWNMOLE : un proxy SOCKS5 per il tunneling del traffico;
• SPAWNSNAIL : una backdoor SSH per l’accesso persistente;
• SPAWNSLOTH : uno strumento di cancellazione dei registri per eliminare le prove forensi.

La capacità di patching dinamico del malware consente di modificare i componenti Ivanti vulnerabili nella memoria, garantendone lo sfruttamento continuo anche dopo l’applicazione delle patch.

Gli analisti della sicurezza di Rapid7 hanno confermato la sfruttabilità delle vulnerabilità, osservando che CVE-2025-22457 inizialmente si presentava come un bug di negazione del servizio a basso rischio, ma è stato successivamente stato sfruttato come una potente RCE. TeamT5 esorta le organizzazioni interessate a:

1. Applicare immediatamente le patch della versione 22.7R2.5 di Ivanti;
2. Eseguire analisi forensi complete della rete per identificare malware dormienti;
3. Reimposta i dispositivi VPN e revoca le credenziali esposte durante le violazioni.

La campagna sottolinea i rischi persistenti dei dispositivi edge di rete non aggiornati, in particolare i gateway VPN. Poiché gli APT cinesi prendono sempre più di mira i sistemi legacy, il CISA ha imposto alle agenzie federali di correggere le vulnerabilità di Ivanti entro il 15 gennaio 2025, una scadenza che molti hanno mancato, aggravando la crisi.

L'articolo APT cinese hackera 12 Paesi con un solo bug di IVANTI VPN. Ecco come hanno fatto proviene da il blog della sicurezza informatica.

There are a number of reasons you might want to build your own smart speaker virtual assistant. Usually, getting your weather forecast from a snarky, malicious AI potato isn’t one of them, unless you’re a huge Portal fan like [Binh Pham].

[Binh Pham] built the potato incarnation of GLaDOS from the Portal 2 video game with the help of a ReSpeaker Light kit, an ESP32-based board designed for speech recognition and voice control, and as an interface for home assistant running on a Raspberry Pi.

He resisted the temptation to use a real potato as an enclosure and wisely opted instead to print one from a 3D file he found on Thingiverse of the original GLaDOS potato. Providing the assistant with the iconic synthetic voice of GLaDOS was a matter of repackaging an existing voice model for use with Home Assistant.

Of course all of this attention to detail would be for not if you had to refer to the assistant as “Google” or “Alexa” to get its attention. A bit of custom modelling and on-device wake word detection, and the cyborg tuber was ready to switch lights on and off with it’s signature sinister wit.

We’ve seen a number of projects that brought Portal objects to life for fans of the franchise to enjoy, even an assistant based on another version of the GLaDOS the character. This one adds a dimension of absurdity to the collection.

youtube.com/embed/cL3-J8UTgvc?…

hackaday.com/2025/04/15/this-p…

Un utente anonimo ha pubblicato nel forum underground chiuso Exploit un annuncio che ha subito attirato l’attenzione della comunità di cybersecurity: la vendita di un exploit zero-day per firewall Fortinet, che permetterebbe l’accesso completo e non autenticato ai dispositivi vulnerabili.

Il post è comparso sul forum underground exploit.in nella sezione dedicata a malware e exploit commerciali. L’attacco di tipo Unauthenticated Remote Code Execution (RCE) consentirebbe l’accesso completo ai dispositivi vulnerabili senza la necessità di autenticazione. Il prezzo per questo exploit? 6.500 dollari.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

L’annuncio, estremamente dettagliato, elenca i file e le informazioni che il tool in vendita sarebbe in grado di estrarre:

• Account VPN e GUI (file local_users.json)
• Credenziali e permessi degli amministratori (admin_accounts.json)
• Stato e configurazione del 2FA (two_factor.json)
• Tutte le policy firewall, NAT, VIP, indirizzi ecc
• Configurazioni SSL-VPN e IPsec, incluse sessioni attive
• Backup completi del sistema (config_backup.conf, backup_full)
• Routing, tabelle ARP, log di sistema, certificati e script CLI
• Certificati SSL utilizzati nei vari contesti dei firewall
• Licenze per le subscription Fortiguard

L’autore sottolinea che non sono necessarie credenziali per sfruttare l’exploit e ottenere il pieno controllo del dispositivo. Al momento, non esiste una conferma ufficiale da parte di Fortinet sull’autenticità dello zero-day, ma la natura tecnica del post e il linguaggio utilizzato fanno ipotizzare che si tratti di una minaccia concreta.

Il contesto in cui si presenta questa nuova minaccia per Fortinet

Il 10 Aprile (qualche giorno prima dell’apparsa del post sullo 0-Day) Fortinet, sul blog ufficiale del PSIRT, ha pubblicato un approfondimento relativo all’analisi di un attacco ad alcuni dispositivi vulnerabili alle CVE-2022-42475, CVE-2023-27997 e CVE-2024-21762 (già note e patchate).

Nel post ufficiale Fortinet descrive come gli hacker, dopo aver sfruttato le vulnerabilità dei dispositivi non aggiornati, abbiamo creato un link simbolico, che collega il filesystem dell’utente con il filesystem di root del firewall, in una cartella utilizzata per servire i file di lingua per il portale di accesso SSL-VPN.

Con questa tecnica i threat actor hanno potuto mantenere un’accesso in read-only ai firewall compromessi sebbene questi fossero stati aggiornati. L’offuscamento del link simbolico nel filesytem dell’utente ha impedito inizialmente la rilevazione di queste modifiche.

Fortinet è riuscita successivamente a mitigare l’accaduto, aggiornando le proprie firme Antivirus/IPS per individuare e pulire i link sospetti. Apportando modifiche alle ultime versioni per rilevare e rimuovere il collegamento simbolico e garantire che il portale SSL-VPN serva solo i file previsti.

Fortinet ha rilasciato patch e mitigazioni per impedire l’abuso di queste tecniche e consiglia l’aggiornamento immediato a:

• FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 o 6.4.16

In allarme tutti i CERT e le agenzie di cyber security

Il Computer Emergency Response Team francese (CERT-FR) ha rivelato, nel suo bollettino di sicurezza, che questa tecnica è stata utilizzata in una massiccia ondata di attacchi a partire dall’inizio del 2023. Ed invita tutti gli amministratori di sistema ad aggiornare i propri dispositivi e porre in atto tutte le mitigazioni indicate.

Il CISA americano ha invitato gli operatori di rete a segnalare eventuali incidenti e attività anomale legate al report di Fortinet al proprio Centro Operativo attivo 24/7.

Il CSIRT Italiano pubblica un bollettino relativo alle tecniche di post-sfruttamento e invita all’aggiornamento immediato dei dispositivi.

Abbiamo condotto una ricerca su shadowserver per renderci conto dei numeri dei dispostivi ad oggi vulnerabili alle 3 CVE in esame. Eccetto la CVE più “anziana” che conta pochi dispositivi, le altre due riportano numeri sull’ordine delle migliaia.

Conclusione

Il presunto zero-day in vendita rappresenta una minaccia attuale e potenzialmente devastante, mentre l’analisi di Fortinet dimostra che i dispositivi già compromessi possono contenere meccanismi di controllo persistente invisibili, anche a seguito di aggiornamenti.

Le due vicende non sono direttamente collegate, ma condividono un comune denominatore: la crescente attrattiva dei dispositivi perimetrali FortiGate come obiettivo critico per attacchi avanzati.

Che si tratti dunque di uno zero-day sconosciuto o di vulnerabilità già note, il pattern è chiaro: i firewall non sono più solo dispositivi di protezione, ma bersagli ad alto valore strategico.

Fonti

• FORTINET PSIRT: fortinet.com/blog/psirt-blogs/…
• CERT-FR: cert.ssi.gouv.fr/alerte/CERTFR…
• CISA: cisa.gov/news-events/alerts/20…
• CSIRT-IT: acn.gov.it/portale/w/rilevato-…
• BLEEPING COMPUTER: bleepingcomputer.com/news/secu…
• SHADOWSERVER CVE-2022-42475: dashboard.shadowserver.org/sta…
• SHADOWSERVER CVE-2023-27997: dashboard.shadowserver.org/sta…
• SHADOWSERVER CVE-2024-21762: dashboard.shadowserver.org/sta…

L'articolo Un Exploit Zero Day su FortiGate in vendita nei forum underground per 6.500 dollari proviene da il blog della sicurezza informatica.