Up first this week is a warning for the few of us still brave enough to host our own email servers. If you’re running Zimbra, it’s time to update, because CVE-2024-45519 is now being exploited in the wild.

That vulnerability is a pretty nasty one, though thankfully requires a specific change from default settings to be exposed. The problem is in postjournal. This logging option is off by default, but when it’s turned on, it logs incoming emails. One of the fields on an incoming SMTP mail object is the RCPT TO: field, with the recipients made of the to, cc, and bcc fields. When postjournal logs this field, it does so by passing it as a bash argument. That execution wasn’t properly sanitized, and wasn’t using a safe call like execvp(). So, it was possible to inject commands using the $() construction.

The details of the attack are known, and researchers are seeing early exploratory attempts to exploit this vulnerability. At least one of these campaigns is attempting to install webshells, so at least some of those attempts have teeth. The attack seems to be less reliable when coming from outside of the trusted network, which is nice, but not something to rely on.

New Tool Corner

What is that binary doing on your system? Even if you don’t do any security research, that’s a question you may ask yourself from time to time. A potential answer is WhoYouCalling. The wrinkle here is that WYC uses the Windows Event Tracing mechanism to collect the network traffic strictly from the application in question. So it’s a Windows only application for now. What you get is a packet capture from a specific executable and all of its children processes, with automated DNS capture to go along.

DNS Poisoning

Here’s a mystery. The folks at Assetnote discovered rogue subdomains from several of their customers, showing up with seemingly random IP addresses attached. A subdomain like webproxy.id.customer.vn might resolve with 10 different addresses, when querying on alibabadns.com.

That turned out to be a particularly important clue. These phantom subdomains were all linked to the Chinese Internet in some way, and it turns out that each subdomain had some interesting keyword in it, like webproxy or VPN. This seems to be a really unique way to censor the Internet, as part of the Chinese Great Firewall. The problem here is that the censorship can escape, and actually poison DNS for those subdomains for the rest of the Internet. And because sometimes the semi-random IPs point at things like Fastly CDN or old cPanel installs. A bit of legwork gets you the equivalent of subdomain takovers. Along with the story, Assetnote have shared a tool to check domains for this issue.

Virtual Name Tags Bring the Creep Factor

What do you get when you combine Internet-connected smart glasses with LLM doing facial recognition? The optimistic opinion is that you get virtual nametags for everybody you meet. I’ve played a video game or two that emulates that sort of ability. Taking a bit more cynical and realistic view, this auto-doxxing of everyone in public strays towards dystopian.

perfctl

There’s a newly discovered Linux malware, perfctl, that specializes in stealth, combined with Monero mining. The malware is also used to relay traffic, as well as install other malware in compromised machines. The malware communicates over TOR, and uses some clever tricks to avoid detection. Log in to a compromised machine, and the Monero mining stops until you log back out.

The malware is particularly difficult to get rid of, and as always, the best solution is to carefully back up and then wipe the affected machine. One of the tells to look for is a machine that’s hard charging when it has no business being spun up to 100% CPU usage, and then when you log in and look for the culprit, it drops to normal.

Bits and Bytes

[nv1t] found a kid’s toy, the Kekz Headphones, and they just begged to be taken apart. This toy has a bunch of audio on an SD Card, and individual NFC-enabled tokens that triggers playback of the right file. This one is interesting from an infosec perspective, because the token actually supplies the encryption key for the file playback, making it a nominally secure system. After pulling everything apart, it became apparent that the encryption wasn’t up to the task, with only about 56 possible keys for each file.

Something we’ve continually talked about is how the subtle mismatches in data parsing often lead to vulnerabilities. [Mahmoud Awali] has noticed this, too, and decided to put together a comparison of how different languages handle HTTP parameters. Did you know that Ruby uses the semicolon as a parameter delimiter? There are a bunch of quirks like this, and this is the sort of material that you’ll need to find that next big vulnerability.

And finally, speaking of Ruby, are you familiar with Ruby’s class pollution category of vulnerabilities? It’s akin to Python and JavaScript’s prototype pollution, and not entirely unlike Java’s deserialization issues. If Ruby is your thing, go brush up on how to avoid this particular pitfall.

hackaday.com/2024/10/04/this-w…

Recentemente, il gruppo ransomware Stormous ha rivendicato la compromissione di OfficeGroup, un’azienda italiana specializzata nello sviluppo di sistemi gestionali e informatici. Questo attacco ha portato all’esfiltrazione e alla pubblicazione di circa 1 GB di dati, come confermato dal gruppo stesso.

Stormous, noto gruppo cyber-criminale attivo dal 2021, ha costruito la propria reputazione attraverso una serie di attacchi a realtà internazionali operanti in vari settori. L’obiettivo principale degli attacchi è l’esfiltrazione di dati sensibili, seguita da richieste di riscatto per evitare la pubblicazione degli stessi. Le comunicazioni di Stormous avvengono tramite un canale Telegram dedicato, su cui pubblicano aggiornamenti sugli attacchi e le presunte violazioni.

Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.

Dettagli della rivendicazione

L’attacco a OfficeGroup è stato segnalato il 3 ottobre 2024, e si presume che il gruppo ransomware abbia esfiltrato 1 GB di dati dall’infrastruttura della società.

Nonostante le informazioni diffuse da Stormous, non ci sono ancora conferme ufficiali da parte di OfficeGroup. La natura e il contenuto dei dati esfiltrati non sono stati divulgati pubblicamente, e l’azienda non ha ancora rilasciato dichiarazioni riguardo all’accaduto.

Il modus operandi di Stormous si basa sull’infiltrazione nei sistemi di aziende di diverse nazioni e settori, con l’intento di rubare dati sensibili e chiedere riscatti. È probabile che l’obiettivo sia non solo quello di ottenere pagamenti dalle vittime, ma anche di intimidire altre organizzazioni mostrando la loro capacità di compromettere sistemi e pubblicare dati riservati.

Conclusione

Al momento, non ci sono conferme ufficiali da parte di OfficeGroup in merito all’entità del danno subito o alle azioni intraprese per mitigare le conseguenze dell’attacco. È auspicabile che l’azienda prenda misure appropriate per garantire la sicurezza dei dati e la continuità dei propri servizi, oltre a collaborare con le autorità competenti per investigare sulla vicenda.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo, possono utilizzare la mail crittografata del whistleblower.

L'articolo Stormous rivendica un attacco all’Italiana Office Group: 1 GB di Dati nel dark web proviene da il blog della sicurezza informatica.

It’s fairly insignificant in the scheme of things, and there’s no hardware as yet for us to look at, but there it is. Tucked away in a device tree file, the first mention of a Raspberry Pi 500. We take this to mean that the chances of an upgrade to the Pi 400 all-in-one giving it the heart of a Pi 5 are now quite high.

We’ve remarked before that one of the problems facing the Raspberry Pi folks is that a new revision of the regular Pi no longer carries the novelty it might once have done, and certainly in hardware terms (if not necessarily software) it could be said that the competition have very much caught up. It’s in the Compute Module and the wildcard products such as the all-in-one computers that they still shine then, because even after several years of the 400 it’s not really seen an effective competitor.

So we welcome the chance of an all-in-one with a Pi 5 heart, and if we had a wish list for it then it should include that mini PCI-E slot on board for SSDs and other peripherals. Such a machine would we think become a must-have for any space-constrained bench.

hackaday.com/2024/10/04/the-ra…

Gli specialisti di Cloudflare hanno riferito di aver recentemente respinto un attacco DDoS che ha stabilito un nuovo record. Secondo Matthew Prince, CEO di Cloudflare, la potenza di attacco ha raggiunto 3,8 Tbps e 2,14 miliardi di pacchetti al secondo (Pps).

L’attacco mirava a un cliente anonimo di un provider di hosting anonimo che utilizza i servizi di Cloudflare.

Per fare un confronto, ricordiamo che il record precedente in questo ambito era stato stabilito alla fine del 2021, quando Microsoft registrò un attacco con una capacità di 3,47 Tbit/s e 340 milioni di PPS. E l’attacco più grande, registrato in precedenza da Cloudflare, ha raggiunto una potenza di 2,6 Tbit/s.

In un post sul blog, gli analisti di Cloudflare hanno affermato che l’attacco è durato quasi un mese ed è consistito in più di un centinaio di attacchi DDoS ipervolumetrici separati. Molti di essi erano destinati all’infrastruttura di rete target (L3 e L4) e la loro capacità superava i 2 miliardi di pacchetti PPS e i 3 Tbit/s.

I dispositivi infetti da cui è stato effettuato l’attacco erano sparsi in tutto il mondo e si trovavano in Russia, Vietnam, Stati Uniti, Brasile e Spagna.

Allo stesso tempo, gli aggressori hanno utilizzato diversi dispositivi hackerati, tra cui router Asus, dispositivi Mikrotik, DVR, server web e così via. Nella maggior parte dei casi i dispositivi compromessi utilizzavano il protocollo UDP su una porta fissa.

Cloudflare afferma di aver mitigato con successo tutti questi attacchi, uno dei quali ha avuto una potenza di picco di 3,8 Tbps e una durata di 65 secondi.

L'articolo Cloudflare: il più grande attacco DDoS della storia da 3,8 Tbps è stato sventato proviene da il blog della sicurezza informatica.

La navicella spaziale Psyche di NASA è stata lanciata il 13 ottobre 2023 e si trova ora in viaggio verso l’asteroide 16 Psyche, situato nella fascia degli asteroidi tra Marte e Giove. Durante il suo viaggio, utilizza propulsori a ioni alimentati da energia solare per spostarsi. La missione Psyche ha come obiettivo di esplorare questo asteroide metallico, che si crede possa fornire informazioni cruciali sulla formazione dei pianeti del nostro sistema solare. La navicella dovrebbe arrivare a destinazione nell’agosto del 2029, dove inizierà ad orbitare attorno all’asteroide per analizzarne la composizione e altre caratteristiche scientifiche

Nell’estate del 2024, la tecnologia Deep Space Optical Communications (DSOC) ha stabilito un nuovo record trasmettendo un segnale laser dalla Terra alla navicella spaziale Psyche, a circa 290 milioni di miglia (460 milioni di chilometri) di distanza. Questa distanza equivale alla massima distanza tra la Terra e Marte.

Un traguardo importante è stato raggiunto il 29 luglio, completando la prima fase della dimostrazione tecnologica lanciata con Psyche il 13 ottobre 2023. Le comunicazioni ottiche hanno dimostrato la loro efficacia su enormi distanze, fornendo dati a velocità fino a 100 volte superiori rispetto ai sistemi radio.

La tecnologia DSOC si basa su un trasmettitore laser e due stazioni di terra. L’Osservatorio Palomar in California riceve i dati dalla navicella spaziale e un laboratorio vicino a Wrightwood invia segnali laser da 7 kW.

L’uso di un laser consente velocità di dati significativamente più elevate rispetto ai segnali radio, il che potrebbe essere fondamentale per le future missioni spaziali, compreso l’invio di astronauti su Marte.

La NASA ha inviato un segnale laser a circa 290 milioni di miglia alla navicella spaziale per le comunicazioni ottiche nello spazio profondo.

A una distanza di 33 milioni di miglia, la velocità di trasmissione ha raggiunto 267 megabit al secondo e a una distanza di 240 milioni di miglia – 6,25 megabit al secondo. Durante la dimostrazione sono stati trasferiti quasi 11 terabit di dati. Un video ultra-HD di 45 secondi contenente riprese della Terra e dello spazio è stato inviato sulla Terra da Psiche.

youtube.com/embed/KGMiAPLRUhs?…

La tecnologia DSOC ha mostrato un’elevata stabilità. Si prevede che il trasmettitore verrà riacceso nel novembre 2024 per testare le sue prestazioni a lungo termine.

L'articolo Internet dallo Spazio Profondo! La NASA Raggiunge Psyche con un Laser da 267 megabit proviene da il blog della sicurezza informatica.

“Uzeda – Do it yourself” è un docufilm, realizzato dalla regista Maria Arena (e prodotto da DNA audiovisivi e dalla casa di produzione indipendente Point Nemo) che racconta la storia degli Uzeda, fondamentale alternative/math/noise rock band italiana, formatasi nel 1987, che ha tracciato il proprio percorso musicale senza scinderlo da quello umano, fortemente etico.... @Musica Agorà

iyezine.com/uzeda-arriva-nei-c…

Uzeda, arriva nei cinema il docufilm "Do it yourself"

Uzeda, arriva nei cinema il docufilm "Do it yourself" - "Uzeda - Do it yourself" è un docufilm, realizzato dalla regista Maria Arena (e prodotto da DNA audiovisivi e dalla casa di produzione indipendente Point Nemo) che racconta la storia degli Uzeda…

^{Reverend Shit-Man (In Your Eyes ezine)}

Monos : la realtà vuole però che la band nasca da una folgorazione (probabilmente non di origine divina) avuta da Mr. Bonobo e Mr. Gorilla rispettivamente alla chitarra e alla batteria. La loro prima uscita è datata 2019 mentre il nuovo album è alle porte.

@Musica Agorà

iyezine.com/monos-road-to-perv…

Monos - "Road to Perversion" e quattro chiacchiere

Monos - "Road to Perversion" e quattro chiacchiere - Monos : la realtà vuole però che la band nasca da una folgorazione (probabilmente non di origine divina) avuta da Mr. Bonobo e Mr. Gorilla rispettivamente alla chitarra e alla batteria.

^{Claudio Frandina (In Your Eyes ezine)}

I Khost sono un pianeta oscuro che vaga per lo spazio cerebrale mietendo vittime, portando con sé un rumorismo molto potente, e fatto di industrial, doom, drone, dark ambient, nosie geneticamente modificato e molto di più.
@Musica Agorà

iyezine.com/khost-many-things-…

Khost - Many Things Afflict Us Few Things Console Us

Khost - Many Things Afflict Us Few Things Console Us - I Khost sono un pianeta oscuro che vaga per lo spazio cerebrale mietendo vittime, portando con sé un rumorismo molto potente, e fatto di industrial, doom, drone, dark ambient, nosie geneticamente…

^{Massimo Argo (In Your Eyes ezine)}

storicang.it/foto-del-giorno/s…

@Storia
@Storiaweb

La spia che si finse donna per venti anni

Shi Pei Pu fu un cantante lirico cinese che lavorava come spia. Fin qui niente di strano, se non fosse perché si finse donna e diventò l'amante di un diplomatico francese per ben venti anni.

^{Abel G.M. (National Geographic Storica)}

Un momento della conferenza stampa

Una rete di contrabbando di cocaina su larga scala è stata smantellata dalle autorità di Italia, Albania, Polonia e Svizzera, supportate da #Eurojust.
Durante la giornata di azione finale, sono stati arrestati in totale 45 sospettati, la maggior parte dei quali in Italia. Tra i fermati referenti della Sacra Corona unita.
In precedenza, sono stati arrestati 21 sospettati coinvolti nella vendita di cocaina nella città di Brescia e nei dintorni. In totale, sono stati effettuati 66 arresti.
Il gruppo criminale organizzato guidato dagli albanesi, vendeva cocaina dall'America Latina da almeno quattro anni, principalmente nel nord Italia.

Eurojust ha istituito un centro di coordinamento per supportare e coordinare le azioni di tutte le autorità coinvolte. Nel corso delle indagini e della giornata di azione, sono stati sequestrati contanti per un importo stimato di 4 milioni di euro, oltre a 360 chilogrammi di cocaina, veicoli e orologi di lusso, apparecchiature per telecomunicazioni, armi e munizioni.

Le indagini sulla rete di spaccio di droga sono iniziate nel 2020 su richiesta della Procura della Repubblica di Brescia. La organizzazione utilizzava cinque magazzini e centri di stoccaggio a Brescia e nei dintorni per distribuire la cocaina.

Gli indagati hanno riciclato i loro profitti illeciti tramite una vasta rete di imprese gestite da un'organizzazione italo-cinese creata a questo scopo, che ha fornito fatture false per un valore complessivo di circa 375 milioni di euro. I membri della organizzazione devono rispondere di traffico di droghe illecite, riciclaggio di denaro e frode sugli investimenti.

Durante la giornata di azione oltre 400 ufficiali sono stati schierati in tutta Italia. Eurojust ha istituito un centro di coordinamento presso la sua sede all'Aia e ha supportato l'esecuzione dei mandati di arresto europei e delle richieste di mutua assistenza giudiziaria nei confronti di Albania e Svizzera.
Europol ha a sua volta facilitato lo scambio di informazioni tra i paesi coinvolti e ha fornito un coordinamento operativo e un supporto analitico. Il giorno dell'azione, un analista Europol con un ufficio mobile è stato dispiegato per effettuare un controllo incrociato delle informazioni sul posto in Italia.

Le operazioni sono state eseguite su richiesta della Procura di Brescia tramite: per l' Italia: #GuardiadiFinanza - Comando provinciale di Brescia; Servizio centrale investigativo per la criminalità organizzata (SCICO), Roma; Ufficio di collegamento del Servizio di cooperazione internazionale di polizia, Tirana
Polonia: Procura di Varsavia; Ufficio centrale investigativo di polizia
Albania: Procura speciale contro la corruzione e la criminalità organizzata (SPAK); Polizia di Stato albanese
Svizzera: Ufficio del procuratore generale; Polizia federale (Fedpol)