Wall warts. Plug mounted power supplies that turn mains voltage into low voltage DC on a barrel jack to power a piece of equipment. We’ve all got a load of them for our various devices, most of us to the extent that it becomes annoying. [Mikeselectricstuff] has the solution, in the shape of a USB-C PD power supply designed to replace a barrel jack socket on a PCB.

The video below provides a comprehensive introduction to the topic before diving into the design. The chip in question is the CH224K, and he goes into detail on ordering the boards for yourself. As the design files are freely available, we wouldn’t be surprised if they start turning up from the usual suppliers before too long.

We like this project and we can see that it would be useful, after all it’s easy to end up in wall wart hell. We’ve remarked before that USB-C PD is a new technology done right, and this is the perfect demonstration of its potential.

youtube.com/embed/BElU9LPbaA8?…

hackaday.com/2025/07/22/usb-c-…

It hasn’t been that long since humans figured out how to create power grids that integrated multiple generators and consumers. Ever since AC won the battle of the currents, grid operators have had to deal with the issues that come with using AC instead of the far less complex DC. Instead of simply targeting a constant voltage, generators have to synchronize with the frequency of the alternating current as it cycles between positive and negative current many times per second.

Complicating matters further, the transmission lines between generators and consumers, along with any kind of transmission equipment on the lines, add their own inductive, capacitive, and resistive properties to the system before the effects of consumers are even tallied up. The result of this are phase shifts between voltage and current that have to be managed by controlling the reactive power, lest frequency oscillations and voltage swings result in a complete grid blackout.

Flowing Backwards

We tend to think of the power in our homes as something that comes out of the outlet before going into the device that’s being powered. While for DC applications this is essentially true – aside from fights over which way DC current flows – for AC applications the answer is pretty much a “It’s complicated”. After all, the primary reason why we use AC transmission is because transformers make transforming between AC voltages easy, not because an AC grid is easier to manage.
Image showing the instantaneous electric power in AC systems and its decomposition into active and reactive power; when the current lags the voltage 50 degrees. (Credit: Jon Peli Oleaga)
What exactly happens between an AC generator and an AC load depends on the characteristics of the load. A major part of these characteristics is covered by its power factor (PF), which describes the effect of the load on the AC phase. If the PF is 1, the load is purely resistive with no phase shift. If the PF is 0, it’s a purely reactive load and no net current flows. Most AC-powered devices have a power factor that’s somewhere between 0.5 to 0.99, meaning that they appear to be a mixed reactive and resistive load.
The power triangle, showing the relationship between real, apparent and reactive power. (Source: Wikimedia)
PF can be understood in terms of the two components that define AC power, being:

• Apparent Power (S, in volt-amperes or VA) and
• Real Power (P, in watts).

The PF is defined as the ratio of P to S (i.e. `PF = P / S). Reactive Power (Q, in var) is easily visualized as the angle theta (Θ) between P and S if we put them as respectively the leg and hypotenuse of a right triangle. Here Θ is the phase shift by which the current waveform lags the voltage. We can observe that as the phase shift increases, the apparent power increases along with reactive power. Rather than being consumed by the load, reactive power flows back to the generator, which hints at why it’s such a problematic phenomenon for grid-management.

From the above we can deduce that the PF is 1.0 if S and P are the same magnitude. Although P = I × V gets us the real power in watts, it is the apparent power that is being supplied by the generators on the grid, meaning that reactive power is effectively ‘wasted’ power. How concerning this is to you as a consumer mostly depends on whether you are being billed for watts or VAs consumed, but from a grid perspective this is the motivation behind power factor correction (PFC).

This is where capacitors are useful, as they can correct the low PF on inductive loads like electric motors, and vice versa with inductance on capacitive loads. As a rule of thumb, capacitors create reactive power, while inductors consume reactive power, meaning that for PFC the right capacitance or inductance has to be added to get the PF as close to 1.0 as possible. Since an inductor absorbs the excess (reactive) power and a capacitor supplies reactive power, if both are balanced 1:1, the PF would be 1.0.

In the case of modern switching-mode power supplies, automatic power factor correction (APFC) is applied, which switch in capacitance as needed by the current load. This is, in miniature, pretty much what the full-scale grid does throughout the network.

Traditional Grids

Magnetically controlled shunt reactor (MCSR). (Credit: Tayosun, Wikimedia)
Based on this essential knowledge, local electrical networks were expanded from a few streets to entire cities. From there it was only a matter of time before transmission lines turned many into few, with soon transmission networks spanning entire continents. Even so, the basic principles remain the same, and thus the methods available to manage a power grid.

Spinning generators provide the AC power, along with either the creation or absorption of reactive power on account of being inductors with their large wound coils, depending on their excitation level. Since transformers are passive devices, they will always absorb reactive power, while both overhead and underground transmission lines start off providing reactive power, overhead lines start absorbing reactive power if overloaded.

In order to keep reactive power in the grid to a healthy minimum, capacitive and inductive loads are switched in or out at locations like transmission lines and switchyards. The inductive loads often taken the form of shunt reactors – basically single winding transformers – and shunt capacitors, along with active devices like synchronous condensers that are effectively simplified synchronous generators. In locations like substations the use of tap changers enables fine-grained voltage control to ease the load on nearby transmission lines. Meanwhile the synchronous generators at thermal plants can be kept idle and online to provide significant reactive power absorption capacity when not used to actively generate power.

Regardless of the exact technologies employed, these traditional grids are characterized by significant amounts of reactive power creation and absorption capacity. As loads join or leave the grid every time that consumer devices are turned off and on, the grid manager (transmission system operator, or TSO) adjusts the state of these control methods. This keeps the grid frequency and voltage within their respective narrowly defined windows.

Variable Generators

Over the past few years, most newly added generating capacity has come in the form of weather-dependent variable generators that use grid-following converters. These devices take the DC power from generally PV solar and wind turbine farms and convert them into AC. They use a phase-locked loop (PLL) to synchronize with the grid frequency, to match this AC frequency and the current voltage.

Unfortunately, these devices do not have the ability to absorb or generate reactive power, and instead blindly follow the current grid frequency and voltage, even if said grid was going through reactive power-induced oscillations. Thus instead of damping these oscillations and any voltage swings, these converters serve to amplify these issues. During the 2025 Iberian Peninsula blackout, this was identified as one of the primary causes by the Spanish TSO.

Ultimately AC power grids depend on solid reactive power management, which is why the European group of TSOs (ENTSO-E) already recommended in 2020 that grid-following converters should get replaced with grid-forming converters. These feature the ability absorb and generate reactive power through the addition of features like energy storage and are overall significantly more useful and robust when it comes to AC grid management.

Although AC doesn’t rule the roost any more in transmission networks, with high-voltage DC now the more economical option for long distances, the overwhelming part of today’s power grids still use AC. This means that reactive power management will remain one of the most essential parts of keeping power grids stable and people happy, until the day comes when we will all be switching back to DC grids, year after the switch to AC was finally completed back in 2007.

hackaday.com/2025/07/22/power-…

La nuova famiglia di malware LameHug utilizza il Large Language Model (LLM) per generare comandi che vengono eseguiti sui sistemi Windows compromessi. Come riportato da Bleeping Computer, LameHug è scritto in Python e utilizza l’API Hugging Face per interagire con il Qwen 2.5-Coder-32B-Instruct LLM, che può generare comandi in base ai prompt forniti. Si noti che l’utilizzo dell’infrastruttura Hugging Face può contribuire a garantire la segretezza delle comunicazioni e che l’attacco rimarrà inosservato per un periodo di tempo più lungo.

Questo modello, creato da Alibaba Cloud, èopen source e progettato specificamente per la generazione di codice, il ragionamento e l’esecuzione di istruzioni di programmazione. Può convertire descrizioni in linguaggio naturale in codice eseguibile (in più linguaggi) o comandi shell. LameHug è stato scoperto il 10 luglio di quest’anno, quando dipendenti delle autorità esecutive ucraine hanno ricevuto email dannose inviate da account hackerati.

Le email contenevano un archivio ZIP con il loader di LameHug, camuffato dai file Attachment.pif, AI_generator_uncensored_Canvas_PRO_v0.9.exe e image.py. Nei sistemi infetti, LameHug aveva il compito di eseguire comandi per effettuare ricognizioni e rubare dati generati dinamicamente tramite richieste a LLM.
Prompt per la generazione di comandi
Le informazioni di sistema raccolte venivano salvate in un file di testo (info.txt) e il malware cercava ricorsivamente documenti in cartelle come Documenti, Desktop, Download, per poi trasmettere i dati raccolti ai suoi operatori tramite richieste SFTP o HTTP POST. La pubblicazione sottolinea che LameHug è il primo malware documentato che utilizza LLM per eseguire attività dannose.

Sempre più spesso vediamo una preoccupante integrazione tra malware e intelligenza artificiale, che rende le minacce informatiche più sofisticate, flessibili e difficili da individuare. L’uso dei Large Language Model come “motori” per generare in tempo reale comandi dannosi permette agli attaccanti di adattarsi rapidamente, di diversificare le tecniche di attacco e di ridurre la rilevabilità da parte dei sistemi di difesa tradizionali.

LameHug rappresenta un chiaro esempio di questa nuova generazione di minacce: malware che non solo automatizzano le attività dannose, ma sono anche in grado di “ragionare” e rispondere dinamicamente agli input, sfruttando la potenza degli LLM. Un fenomeno che segna l’inizio di una nuova fase nelle minacce informatiche, in cui l’AI non è solo uno strumento difensivo, ma diventa parte integrante e attiva dell’arsenale offensivo dei cyber criminali.

L'articolo Arriva LameHug: il malware che utilizza l’AI per rubare i dati sui sistemi Windows proviene da il blog della sicurezza informatica.

Secondo quanto riportato guancha.cn e da altri media, Louis Vuitton ha recentemente inviato una comunicazione ai propri clienti per informarli di una fuga di dati che ha interessato circa 420.000 clienti a Hong Kong. I dati trapelati comprendono nomi, numeri di passaporto, date di nascita, indirizzi, indirizzi email, numeri di telefono, registri degli acquisti e preferenze sui prodotti. Louis Vuitton Hong Kong (LVHK) ha specificato che non sono stati coinvolti dati relativi ai pagamenti e ha dichiarato di aver notificato tempestivamente l’accaduto sia alle autorità competenti sia ai clienti interessati.

A seguito dell’incidente, l’Ufficio del Commissario per la privacy dei dati personali di Hong Kong ha comunicato di aver avviato un’indagine per accertare i fatti e verificare, tra le altre cose, se vi sia stata una notifica tardiva da parte dell’azienda. Va inoltre sottolineato che dall’inizio dell’anno Louis Vuitton ha già subito diversi gravi incidenti legati alla sicurezza dei dati.

Secondo Lin Yue, consulente capo di Lingyan Management Consulting e analista del settore dei beni di consumo, le cause principali di questi incidenti ricorrenti sarebbero da ricercare nell’abitudine, da parte dei marchi del lusso, di raccogliere quantità eccessive di dati non sempre necessari, come numeri di passaporto, e in misure di protezione e tecnologie di sicurezza non all’altezza della sensibilità dei dati gestiti.

Chen Jingjing, fondatrice di Jingjie Interactive, ha aggiunto che questa vulnerabilità riflette uno squilibrio tra la rapida digitalizzazione del settore del lusso e gli investimenti ancora insufficienti in sicurezza informatica: i marchi sono bravi a comunicare esclusività e artigianalità, ma spesso trascurano le fondamenta tecnologiche per proteggere i dati dei clienti.

Lin Yue ha inoltre sottolineato come la fuga di dati possa causare gravi danni sia per i consumatori, esposti a frodi e molestie, sia per i marchi stessi, che rischiano un crollo della fiducia, procedimenti legali e danni reputazionali. Chen Jingjing ha osservato che per i brand di lusso, la sicurezza dei dati dovrebbe diventare parte integrante dell’esperienza premium offerta ai clienti, e andrebbe inserita come priorità nelle strategie aziendali a lungo termine.

Infine, come misure di tutela, Lin Yue ha consigliato ai consumatori di limitare la quantità di dati personali condivisi con i brand e di cambiare regolarmente le proprie password. Per le aziende, invece, ha suggerito di trattare i dati come asset intangibili fondamentali, adottare tecnologie di protezione più avanzate – come password dinamiche per i sistemi CRM e limitazioni dell’accesso fuori orario – per consolidare davvero la fiducia dei propri clienti.

L'articolo Fuga di dati Louis Vuitton: 420.000 clienti coinvolti a Hong Kong proviene da il blog della sicurezza informatica.

In contrast to the success of their molten-plastic cousins, paste extrusion 3D printers have never really attained much popularity. This is shame because, as the [Hand and Machine] research group at the University of New Mexico demonstrate, you can use them to print with some really interesting materials, including glass and eggshell (links to research papers, with presentations in the supplemental materials).

To print with glass, the researchers created a clay-like paste out of glass frit, methyl cellulose and xanthan gum as shear-thinning binders, and water. They used a vacuum chamber to remove bubbles, then extruded the paste from a clay 3D printer. After letting the resulting parts dry, they fired them in a kiln at approximately 750 ℃ to burn away the binder and sinter the frit. This introduced some shrinkage, but it was controllable enough to at least make decorative parts, and it might be predictable enough to make functional parts after some post-processing. Path generation for the printer was an interesting problem; the printer couldn’t start and stop extrusion quickly, so [Hand and Machine] developed a custom slicer to generate tool paths that minimize material leakage. To avoid glass walls collapsing during firing, they also wrote another slicer to maintain constant wall thicknesses.

The process for printing with eggshell was similar: the researchers ground eggshells into a powder, mixed this with water, methyl cellulose and xanthan gum, and printed with the resulting paste. After drying, the parts didn’t need any additional processing. The major advantage of these parts is their biodegradability, as the researchers demonstrated by printing a biodegradable pot for plants. To be honest, we don’t think that this will be as useful an innovation for hackers as the glass could be, but it does demonstrate the abilities of paste extrusion.

The same team has previously used a paste printer to 3D print in metal. If you don’t have a paste printer, it’s also possible to print glass using a laser cutter, or you could always make your own paste extruder.

hackaday.com/2025/07/22/paste-…

Out on Maui, [rabbitcreek] desired to keep track of local ocean conditions. The easiest way to do that was by having something out there in the water to measure them. Thus, they created a floating ocean sensor that could report back on what’s going on in the water.

The build uses a Xiao ESP32-S3 as the brains of the operation. It’s paired with a Wio-SX1262 radio kit, which sends LoRa signals over longer distances than is practical with the ESP32’s onboard WiFi and Bluetooth connections. The microcontroller is hooked up with a one-wire temperature sensor, a DF Robot turbidity sensor, and an MPU6050 gyroscope and accelerometer, which allow it to measure the water’s condition and the motion of the waves. The whole sensor package is wrapped up inside a 3D printed housing, with the rest of the electronics in a waterproof Pelican case.

It’s a neat project that combines a bunch of off-the-shelf components to do something useful. [rabbitcreek] notes that the data would be even more useful with a grid of such sensors all contributing to a larger dataset for further analysis. We’ve seen similar citizen science projects executed nicely before, too. If you’ve been doing your own ocean science, don’t hesitate to let us know what you’re up to on the tipsline!

hackaday.com/2025/07/22/floati…

For a brief, buzzing moment in 1983, the Coleco Adam looked like it might out-64 the Commodore 64. Announced with lots of ambition, this 8-bit marvel promised a complete computing package: a keyboard, digital storage, printer, and all for under $600. An important fact was that it could morph your ColecoVision into a full-fledged CP/M-compatible computer. So far this sounds like a hacker’s dream: modular, upgradeable, and… misunderstood.

The reality was glorious chaos. The Adam used a daisy-wheel printer as a power supply (yes, really), cassettes that demagnetized themselves, and a launch delayed into oblivion. Yet beneath the comedy of errors lurked something quite tempting: a Z80-based system with MSX-like architecture and just enough off-the-shelf parts to make clone fantasies plausible. Developers could have ported MSX software in weeks. Had Coleco shipped stable units on time, the Adam might well have eaten the C64’s lunch – while inspiring a new class of hybrid machines.

Instead, it became a collector’s oddball. But for the rest of us, it is a retro relic that invites us to ponder – or even start building: what if modular computing had gone mainstream in 1983?

hackaday.com/2025/07/21/coleco…

Recentemente, abbiamo discusso una vulnerabilità critica zero-day, CVE-2025-53770, presente in Microsoft SharePoint Server, che rappresenta un bypass della precedente falla di sicurezza CVE-2025-49706. Già allora si sapeva che la problematica riguardasse la deserializzazione di dati inaffidabili, permettendo così l’esecuzione di codice ancor prima dell’autenticazione. È stato inoltre segnalato che gli aggressori avevano già sfruttato tale falla in un attacco mirato a oltre 85 server.

Ora la situazione si è aggravata significativamente : la portata della campagna malevola si è rivelata molto più ampia del previsto. Come è noto, almeno 100 organizzazioni sono state compromesse, tra cui aziende internazionali e agenzie governative. Lo hanno riferito i rappresentanti di Eye Security, l’azienda che per prima ha scoperto le tracce dell’attacco su uno dei suoi clienti, nonché il progetto no-profit Shadowserver Foundation, che ha condotto una scansione di rete su larga scala.

Rafe Pilling, Director of Threat Intelligence, Sophos Counter Threat Unit: “In base alla coerenza delle tecniche operative osservate negli attacchi, la campagna lanciata venerdì sembra essere opera di un singolo attore. Tuttavia, è possibile che quest’ipotesi cambi rapidamente man mano che la conoscenza della catena di exploit si diffonde. Nella fase iniziale, abbiamo osservato la distribuzione di un codice che tenta di sottrarre informazioni crittografate segrete sensibili di ASP.NET dai server presi di mira. L’attaccante può utilizzare questi codici rubati per consentire un ulteriore accesso alla vittima. Le aziende che utilizzano questo software devono seguire con urgenza i consigli di Microsoft per il patching e il remediation”.

I loro dati indicano una copertura ampia: le vittime si trovano principalmente negli Stati Uniti e in Germania, ma la geografia è molto più ampia. L’attacco sfrutta una vulnerabilità zero-day nelle installazioni locali di SharePoint Server, consentendo all’aggressore di iniettare una backdoor nell’infrastruttura e di infiltrarsi nella rete della vittima. Secondo Eye Security, dopo la penetrazione, gli aggressori rubano le chiavi crittografiche, in particolare MachineKey, responsabile della convalida e della crittografia, e le utilizzano per falsificare il traffico legittimo. In questo modo, le richieste dannose vengono percepite dal sistema come legittime e l’attacco continua anche dopo l’installazione degli aggiornamenti. Questo rende inefficaci le misure di sicurezza standard.

Nel loro rapporto, gli esperti sottolineano che l’exploit viene introdotto prima dell’autenticazione e, all’interno del sistema, vengono utilizzati script di PowerShell e file ASPX dannosi, che scaricano i parametri necessari dalla memoria. Questo approccio consente agli aggressori di muoversi rapidamente all’interno della rete ed eseguire codice arbitrario senza la necessità di ripetuti attacchi.

Shadowserver stima che fino a 9.000 server SharePoint esposti a Internet potrebbero essere a rischio. Tra i potenziali obiettivi figurano aziende industriali, banche, revisori contabili, organizzazioni mediche ed enti governativi. Un rappresentante del gruppo britannico PwnDefend ha affermato che la situazione richiede non solo l’installazione di aggiornamenti, ma anche un audit completo dei sistemi, poiché la vulnerabilità stessa potrebbe già indicare una compromissione nascosta.

Microsoft ha confermato gli attacchi, ha annunciato il rilascio di aggiornamenti e ne ha richiesto l’installazione urgente. Tuttavia, l’azienda ha sottolineato che l‘utilizzo di sole soluzioni standard non garantisce l’eliminazione della minaccia se gli aggressori hanno già ottenuto l’accesso a dati chiave. Come misura temporanea, suggerisce di abilitare Antimalware Scan Interface (AMSI), installare Microsoft Defender e, come ultima risorsa, isolare i server da Internet.

Allo stesso tempo, Eye Security e Palo Alto Networks continuano a osservare una serie di attacchi in cui CVE-2025-49706 viene utilizzato insieme alla vulnerabilità CVE-2025-49704 . La combinazione di questi exploit consente di eseguire comandi sul server con modifiche minime alla richiesta. A quanto pare, la semplice specifica del percorso “_layouts/SignOut.aspx” nell’intestazione Referer trasforma CVE-2025-49706 in una versione completa di CVE-2025-53770. Questa è la tecnica attualmente utilizzata dagli aggressori in campagne in tutto il mondo.

Non è ancora chiaro chi sia esattamente dietro gli attacchi. Tuttavia, Google, avendo accesso al traffico globale, ha collegato parte dell’attività a un gruppo di hacker operante in Cina. I rappresentanti dell’ambasciata cinese, come in precedenza, non hanno commentato queste accuse. Allo stesso tempo, l’FBI e il National Cyber Security Centre del Regno Unito hanno confermato che stanno monitorando la situazione e interagendo con partner privati e pubblici per valutarne l’impatto.

La situazione attuale richiede alle organizzazioni che utilizzano SharePoint Server non solo di effettuare aggiornamenti urgenti, ma anche di rivedere il proprio approccio alla sicurezza. La semplice installazione di patch non sarà più sufficiente: se il sistema è già compromesso, è necessaria un’ispezione approfondita dell’infrastruttura e, in alcuni casi, il suo completo isolamento.

L'articolo La nuova ondata su Microsoft SharePoint Server miete vittime: oltre 100 organizzazioni colpite proviene da il blog della sicurezza informatica.

Pavel Durov, il fondatore di Telegram, ha lanciato l’allarme per una nuova ondata di estorsioni all’interno della piattaforma. Stiamo parlando di truffatori che chiedono agli utenti di consegnare beni digitali di valore: regali, numeri e nomi Telegram rari. Questi oggetti, precedentemente acquistati per pochi dollari, ora possono essere venduti per cifre superiori a 100.000 dollari.

Secondo Durov, recentemente si sono verificati casi di criminali che ricattano i proprietari di tali beni. In alcuni casi, gli estorsori minacciano di rivelare informazioni personali o riservate. C’è anche chi ha trasformato questa pratica in un vero e proprio complotto: pubblicano post compromettenti e chiedono un risarcimento per la loro rimozione.

“Questo è illegale e immorale. Non lo tollereremo”, ha dichiarato Durov sul suo canale ufficiale. Ha sottolineato che Telegram combatterà questo comportamento e cancellerà gli account coinvolti.

A chi è stato vittima di estorsione viene chiesto di raccogliere prove e inviarle direttamente tramite messaggio personale a Pavel Durov. Tuttavia, come ha spiegato lo stesso fondatore di Telegram, non tutti possono farlo a causa dell’accesso a pagamento (paywall) attivo. Ha osservato che quando è disattivato, il numero di messaggi in arrivo supera le migliaia al minuto, motivo per cui non ha fisicamente il tempo di visualizzarli.

A questo proposito, Durov ha suggerito un metodo alternativo: contattare il servizio di supporto ufficiale di Telegram tramite l’account @notoscam, aggiungendo l’hashtag #blackmail al messaggio. Questo aiuterà a inoltrare rapidamente il reclamo al moderatore competente.

L'articolo Sei stato vittima di estorsione su telegram? Contatta Direttamente Pavel Durov proviene da il blog della sicurezza informatica.

Il laboratorio di analisi forense e malware digitale F6 ha introdotto il proprio strumento per decifrare i dati crittografati dal ransomware Phobos. L’utilità è progettata per le aziende, che ora hanno accesso a un metodo gratuito e sicuro per recuperare i file. Il nuovo sviluppo è stato una risposta al recente rilascio di un decryptor alternativo creato dalle forze dell’ordine giapponesi. Tuttavia, come specificato, questa versione presenta gravi limitazioni: non supporta le versioni obsolete di Windows, il che la rende inapplicabile per alcune vittime, soprattutto in organizzazioni con infrastrutture obsolete.

Phobos è stato individuato per la prima volta nell’ottobre 2017, ma è ampiamente diffuso dal 2019. Il programma viene promosso attivamente nelle darknet attraverso il modello ransomware-as-a-service (RaaS), che consente a chiunque di noleggiare strumenti di attacco in cambio di una quota del riscatto. Grazie a questo modello, Phobos è diventato uno dei programmi ransomware più famosi e utilizzati degli ultimi anni.

Gli attacchi Phobos tipici prevedono l’infiltrazione in una rete tramite servizi di accesso remoto vulnerabili (come RDP), la crittografia dei file utente e aziendali e la richiesta di riscatto. Spesso, gli aggressori utilizzano messaggi personalizzati che indicano un importo specifico e minacciano la perdita completa dei dati. Il team di F6 ha pubblicato non solo lo strumento in sé, ma anche una documentazione dettagliata su come gestire diverse famiglie di ransomware. Il repository include materiali sulla decrittazione, l’analisi del comportamento del malware e raccomandazioni per la protezione.

Il rilascio del nuovo strumento di decrittazione da parte del laboratorio F6 rappresenta un passo importante nella lotta contro il ransomware Phobos, offrendo alle aziende colpite una possibilità concreta di recupero senza dover cedere ai ricatti dei cybercriminali. A differenza di altre soluzioni limitate o non più aggiornate, questo decryptor si distingue per la sua ampia compatibilità e per l’approccio responsabile che include documentazione dettagliata e risorse utili per la prevenzione futura.

Il caso Phobos ricorda ancora una volta quanto sia cruciale non solo reagire agli attacchi, ma anche investire nella sicurezza preventiva: aggiornare costantemente le infrastrutture IT, ridurre la superficie di attacco ed educare gli utenti sui rischi legati all’uso di servizi di accesso remoto non protetti.

In definitiva, strumenti come quello sviluppato da F6 non sono solo una risposta tecnica a un problema concreto, ma anche un segnale importante per rafforzare la resilienza collettiva contro le minacce ransomware che continuano a evolvere. La sicurezza, ancora una volta, si dimostra essere una responsabilità condivisa tra ricercatori, aziende e utenti finali.

L'articolo F6 rilascia il decryptor per il ransomware Phobos gratuitamente proviene da il blog della sicurezza informatica.

In un’epoca in cui la connettività è onnipresente e i dispositivi intelligenti sono parte integrante della nostra vita quotidiana, la sicurezza informatica non è più un optional, ma una necessità. Ogni mese, i principali produttori di chip come MediaTek pubblicano bollettini di sicurezza per informare i partner industriali e il pubblico sulle vulnerabilità scoperte nei propri prodotti.

Il bollettino di luglio 2025 di MediaTek rappresenta un esempio concreto di trasparenza e responsabilità nel settore tecnologico, evidenziando 16 nuove vulnerabilità che interessano una vasta gamma di dispositivi consumer e professionali.

Contesto e importanza del bollettino

MediaTek è uno dei principali fornitori mondiali di chip per smartphone, tablet, smart TV, dispositivi AIoT e router. I suoi SoC (System-on-Chip) alimentano milioni di dispositivi in tutto il mondo. La sicurezza di questi chip è fondamentale per proteggere dati personali, comunicazioni sensibili e infrastrutture digitali.

Il bollettino di luglio 2025 è stato pubblicato l’8 luglio e include vulnerabilità classificate secondo il sistema CVSS v3.1, che valuta la gravità delle falle di sicurezza su una scala da 0 a 10. Le vulnerabilità sono state comunicate preventivamente ai produttori di dispositivi (OEM), dando loro il tempo necessario per sviluppare e distribuire le patch.

Analisi delle vulnerabilità

Classificazione e distribuzione:

• 7 vulnerabilità ad alta gravità (High)
• 9 vulnerabilità a gravità media (Medium)

Le vulnerabilità riguardano principalmente i driver Bluetooth e WLAN, componenti critici per la connettività wireless dei dispositivi. Le tipologie di rischio includono:

• Esecuzione di codice da remoto (RCE)
• Escalation locale dei privilegi (EoP)
• Divulgazione di informazioni (ID)
• Denial of Service (DoS)

Chip interessati

Le vulnerabilità colpiscono diversi chip MediaTek, tra cui:

• MT6890, MT6895, MT6985 – utilizzati in smartphone di fascia alta
• MT7915, MT7986, MT7925 – presenti in router, smart display e dispositivi AIoT
• MT7663, MT7668, MT7921 – impiegati in TV e dispositivi multimediali

Esempi di vulnerabilità critiche

CVE-2025-20680: Heap overflow nel driver Bluetooth, che può consentire a un attaccante locale di ottenere privilegi elevati sul dispositivo.

CVE-2025-20685: Heap overflow nel driver WLAN, con possibilità di esecuzione di codice da remoto senza interazione dell’utente.

CVE-2025-20684: Scrittura fuori dai limiti, che può compromettere la stabilità del sistema e aprire la porta a exploit più complessi.

Vulnerabilità a gravità media

Queste vulnerabilità, pur essendo meno gravi, possono comunque compromettere la sicurezza e la privacy degli utenti:

CVE-2025-20687 – CVE-2025-20692: Letture fuori dai limiti che possono causare crash o divulgazione di dati sensibili.

CVE-2025-20694: Buffer underflow nel firmware Bluetooth, con rischio di interruzione del servizio da remoto.

Implicazioni per utenti e produttori

La pubblicazione di queste vulnerabilità ha diverse implicazioni: Per i produttori (OEM): È fondamentale integrare rapidamente le patch fornite da MediaTek nei firmware dei dispositivi. La tempestività è cruciale per evitare che le vulnerabilità vengano sfruttate.

Per gli utenti finali: È importante mantenere i dispositivi aggiornati, installando regolarmente gli aggiornamenti di sistema. La sicurezza dipende anche dalle buone pratiche individuali.

MediaTek e la gestione responsabile della sicurezza

MediaTek dimostra un approccio proattivo alla sicurezza, collaborando con i partner industriali e pubblicando bollettini dettagliati. Questo processo di divulgazione responsabile è essenziale per costruire fiducia nel mercato e per proteggere l’ecosistema digitale globale.

Conclusione

Il bollettino di sicurezza di luglio 2025 di MediaTek è un promemoria potente dell’importanza della cybersecurity nel mondo connesso. Le vulnerabilità scoperte, sebbene tecniche, hanno implicazioni concrete per la privacy, la sicurezza e la stabilità dei dispositivi che usiamo ogni giorno. La collaborazione tra fornitori di chip, produttori di dispositivi e utenti è la chiave per un futuro digitale sicuro. In definitiva, la sicurezza non è solo una questione tecnica, ma una responsabilità condivisa.

corp.mediatek.com/product-secu…

L'articolo Scoperte 16 falle nei chip MediaTek: smartphone e smart TV a rischio! proviene da il blog della sicurezza informatica.

Sophos ha recentemente annunciato la risoluzione di cinque vulnerabilità di sicurezza indipendenti individuate nei propri firewall, alcune delle quali di gravità critica e altre di livello alto e medio. Le vulnerabilità sono state corrette tramite hotfix distribuiti automaticamente, senza che i clienti debbano intervenire, purché sia attiva l’opzione “Consenti installazione automatica di hotfix”, che risulta abilitata di default nelle versioni interessate.

Tra le vulnerabilità corrette, spiccano due falle critiche: la prima (CVE-2025-6704) riguarda una scrittura arbitraria di file nella funzionalità Secure PDF eXchange (SPX), che può consentire l’esecuzione di codice remoto prima dell’autenticazione in configurazioni particolari in modalità High Availability (HA). La seconda (CVE-2025-7624) è una SQL injection nel proxy SMTP legacy che, se combinata con una policy di quarantena per l’email e un aggiornamento da versioni precedenti alla 21.0 GA, può anch’essa portare all’esecuzione di codice remoto. Entrambe sono state segnalate in modo responsabile da ricercatori esterni attraverso il programma bug bounty di Sophos.

Altre vulnerabilità corrette

Le altre vulnerabilità comprendono CVE-2025-7382, una command injection in WebAdmin che può consentire ad aggressori nella rete locale di eseguire codice prima dell’autenticazione su dispositivi in HA con OTP abilitato, e CVE-2024-13974, una falla nella logica di business del componente Up2Date che permette agli aggressori di controllare l’ambiente DNS del firewall per ottenere l’esecuzione di codice remoto. Infine, CVE-2024-13973 è una SQL injection post-autenticazione che potrebbe portare un amministratore autenticato a eseguire codice arbitrario. Quest’ultima è considerata di gravità media.

Versioni interessate e rilascio degli hotfix

Le correzioni sono state rese disponibili per diverse versioni del firewall. Per esempio, gli hotfix per CVE-2025-6704 sono stati rilasciati il 24 giugno 2025 per versioni come la 19.0 MR2, la 20.0 MR2, la 21.0 GA e la 21.5 GA, mentre altre vulnerabilità hanno ricevuto aggiornamenti distribuiti tra gennaio e luglio 2025. Per le vulnerabilità CVE-2024-13974 e CVE-2024-13973, le correzioni sono state incluse a partire dalla versione 21.0 MR1. Gli utenti che utilizzano versioni precedenti sono invitati a effettuare l’aggiornamento per mantenere il massimo livello di protezione.

Verifica dell’applicazione degli hotfix

Per confermare che gli hotfix siano stati correttamente applicati, Sophos consiglia di consultare la guida disponibile sul proprio portale di supporto (KBA-000010589). L’azienda ha espresso riconoscenza verso i ricercatori esterni e il National Cyber Security Centre (NCSC) del Regno Unito per la segnalazione responsabile delle vulnerabilità, sottolineando ancora una volta l’importanza della collaborazione nel rafforzamento continuo della sicurezza dei propri prodotti.

L'articolo Sophos risolve cinque vulnerabilità in Sophos Firewall, due delle quali classificate come critiche proviene da il blog della sicurezza informatica.