Un nuovo allarme di sicurezza si fa sentire nel panorama aziendale: un Threat Actor, attivo sulla nota piattaforma BreachForums, ha presumibilmente messo in vendita un consistente volume di dati sensibili appartenenti a Royal Caribbean International, leader nel settore crocieristico.

Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.

Dettagli del Post nel Forum Underground

Secondo quanto riportato nel post da parte dell’attore malevolo, i dati compromessi comprenderebbero:

• 79.000 record di transazioni aziendali.
• Dati personali di 33.500 dipendenti, inclusi potenzialmente dettagli sensibili come nomi, indirizzi e informazioni contrattuali.

L’offerta sembra essere chiara e senza scrupoli: vendere tutto al miglior offerente, aprendo la strada a possibili abusi che spaziano da frodi su larga scala a sofisticati attacchi di social engineering, diretti magari proprio contro il personale della compagnia.

Le aziende come Royal Caribbean non sono semplici obiettivi: esse rappresentano ecosistemi complessi, dove i dati sensibili di clienti e dipendenti si intrecciano. Qualora tale attacco venga confermato potrebbe avere conseguenze devastanti, che vanno ben oltre la violazione dei sistemi:

• Fiducia dei dipendenti compromessa.
• Potenziali sanzioni legali per la violazione della protezione dei dati.
• Rischi di ricatti informatici o utilizzo illecito dei dati rubati.

Se sei un dipendente o un collaboratore di Royal Caribbean, è essenziale agire tempestivamente per ridurre i rischi: monitora i tuoi account cercando eventuali accessi sospetti o tentativi di phishing, aggiorna le credenziali e, quando possibile, attiva l’autenticazione MFAi, segnala anomalie riportando prontamente qualsiasi attività sospetta all’azienda e alle autorità competenti.

Conclusione

Questo presunto incidente dimostra ancora una volta quanto i dati sensibili siano tra i bersagli più ricercati dai cybercriminali. Non è solo una notizia isolata, ma un invito all’azione: aziende e professionisti devono rafforzare le proprie difese e investire nella sicurezza per fronteggiare il crescente rischio di violazioni sempre più sofisticate. La minaccia è reale, e la risposta deve esserlo altrettanto.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Un Threat Actor rivendica compromissione ai danni di Royal Caribbean proviene da il blog della sicurezza informatica.

Gli attacchi SMB Relay sono una tecnica di attacco che sfrutta vulnerabilità nei protocolli di rete, come SMB (Server Message Block), per impersonare un utente legittimo e accedere a risorse di rete sensibili senza necessità di conoscere le credenziali in chiaro.

Questo attacco è comune nei contesti di reti interne e spesso sfrutta l’assenza di SMB Signing obbligatorio.

Questo attacco può essere usato in maniera complementare con LLMR poisoning. LLMNR poisoning può essere usato per catturare hash NTLM che poi sono sfruttati in un SMB relay. Quindi, è importante implementare misure di difesa su entrambi i fronti.

Come funziona un SMB Relay Attack

Condizioni necessarie:

• SMB Signing disabilitato o non obbligatorio.
• Un utente o amministratore con privilegi elevati deve essere attivo sulla rete.

Attacco: L’attaccante si posiziona come intermediario (Man-in-the-Middle) utilizzando strumenti come Responder per catturare hash NTLM. Questi possono essere “relayati” direttamente a un server SMB vulnerabile tramite strumenti come ntlmrelayx, bypassando l’autenticazione.

Nel cuore di un attacco SMB relay, gli aggressori intercettano e trasmettono le sessioni di autenticazione SMB per sfruttarle a proprio vantaggio. Questo metodo subdolo è potente perché non richiede la decifrazione degli hash delle password. I professionisti della sicurezza devono essere informati su come questo attacco possa penetrare nei sistemi, rendendo vitale l’utilizzo di misure preventive.

Mitigare il rischio di attacchi SMB relay richiede l’applicazione di tecniche specifiche, come l’abilitazione della firma SMB e l’adozione di protocolli crittografati. Queste tecniche riducono drasticamente la possibilità che un attaccante possa sfruttare una sessione di autenticazione intercettata. Attraverso un’attenta pianificazione delle difese, le organizzazioni possono proteggere efficacemente i propri sistemi informatici.

Key Takeaways

• Gli attacchi SMB relay permettono accessi non autorizzati senza credenziali
• Intercettazione delle sessioni di autenticazione SMB sfrutta punti deboli
• Tecniche di difesa includono la firma SMB e protocolli crittografati

Fondamenti Tecnici

Il protocollo SMB è fondamentale per le reti Windows, permettendo la condivisione di file tra macchine. SMB opera utilizzando NTLM per l’autenticazione, che è cruciale per comprendere la vulnerabilità degli attacchi relay.

Cos’è SMB e il suo Ruolo nelle Reti

SMB (Server Message Block) è un protocollo di rete che facilita la condivisione di file, stampanti e porte seriali tra diversi computer all’interno di una rete. In ambienti Windows, SMB è essenziale perché permette una comunicazione efficace tra client e server.

SMB lavora nel livello di applicazione nel modello OSI, permettendo agli utenti di accedere alle risorse condivise come cartelle e file. È anche utilizzato per richieste di operazioni su file e per comunicazioni inter-processo. La sua funzionalità include richieste di apertura e lettura di file su dispositivi remoti, rendendolo essenziale in ambienti di lavoro collaborativi e integrati.

NTLM e il Processo di Autenticazione

NTLM (NT LAN Manager) è un protocollo di autenticazione utilizzato in molte implementazioni di SMB. Utilizza un meccanismo di sfida e risposta per verificare l’identità dell’utente. Questo processo inizia con il server che invia una sfida al client, a cui il client risponde con un hash calcolato.

Il protocollo NTLM è vulnerabile a diversi tipi di attacchi, tra cui il relay, poiché l’hash intercettato può essere utilizzato per autenticarsi senza conoscere la password originale. Questo è un punto critico perché consente agli attaccanti di sfruttare le credenziali intercettate per accedere indebitamente a risorse di rete, rappresentando un rischio significativo per le infrastrutture IT aziendali.

Descrizione dell’Attacco SMB Relay

Gli attacchi SMB Relay consentono agli aggressori di sfruttare una sessione di autenticazione SMB intercettata. L’attaccante può relayare le informazioni per ottenere accesso non autorizzato senza la necessità di conoscere le credenziali dell’utente.

Fasi Principali dell’Attacco

Un attacco di tipo SMB Relay inizia con l’intercettazione della comunicazione tra un client e un server. L’attaccante si pone tra i due, facendo credere al client di comunicare con il server legittimo.

Il primo passo è catturare la richiesta di autenticazione SMB inviata dal client. Una volta ottenuto, l’attaccante inoltra questa richiesta al server destinato per approvarla. Questo si traduce in un accesso non autorizzato, poiché il server cerca di autenticare il client a causa dell’intermediazione dell’attaccante.

Questo attacco sfrutta vulnerabilità nella configurazione delle reti, in particolare quando non vengono utilizzate misure di sicurezza avanzate come la firma obbligatoria per l’SMB. È fondamentale essere consapevoli di queste tecniche per adottare misure preventive.

Possibili Vettori di Attacco

Ci sono numerosi vettori che possono essere sfruttati negli attacchi SMB Relay. Uno comune è il cosiddetto attacco man-in-the-middle, in cui l’attaccante si interpone tra una comunicazione di rete SMB.

Un altro vettore frequente è l’utilizzo di vulnerabilità note all’interno della rete, dove mancano protocolli di autenticazione come l’uso del NTLMv2. Gli attacchi possono anche derivare da configurazioni errate o da una gestione inadeguata delle credenziali di rete.

Gli amministratori di rete devono essere vigili e utilizzare strumenti di monitoraggio per ridurre il rischio di attacchi SMB Relay. Implementare difese efficaci è essenziale per proteggere l’integrità della rete.

Strategie di Mitigazione e Prevenzione

Per ridurre il rischio di attacchi SMB Relay, è essenziale adottare tecniche di configurazione sicura, protezione dei client, e implementazione di policy di sicurezza. Ogni area gioca un ruolo cruciale nel rafforzare la sicurezza della rete e minimizzare le vulnerabilità.

Consigli:

• Abilitare SMB Signing: Questa misura garantisce l’integrità della comunicazione SMB, prevenendo l’uso di hash intercettati.
• Disabilitare LLMNR e NetBIOS: Questi protocolli facilitano il poisoning delle risposte DNS sulla rete locale.
• Implementare il principio del least-privilege: Ridurre i diritti amministrativi assegnati agli utenti finali.
• Evitare il riutilizzo delle password: Gli attaccanti sfruttano hash identici su più dispositivi per ampliare il compromesso.

Configurazione del Server

Configurare i server per utilizzare protocolli sicuri è fondamentale. L’abilitazione della firma SMB aiuta a impedire attacchi non autorizzati. Questo processo assicura che i dati inviati e ricevuti siano autenticati.

È importante aggiornare regolarmente i server con le patch di sicurezza più recenti. Queste proteggono contro le vulnerabilità note che potrebbero essere sfruttate dagli aggressori.

L’uso di protocolli crittografati come SMBv3 aggiunge un ulteriore livello di sicurezza alla configurazione del server. Questo assicura una protezione più robusta contro tentativi di intercettazione e manipolazione dei dati.

Protezione dei Client

I client devono avere sistemi operativi aggiornati per prevenire sfruttamenti attraverso le vulnerabilità esistenti. Questo include l’applicazione di patch di sicurezza che risolvono le falle nei protocolli più vecchi.

L’installazione di software antivirus e firewall ben configurati fornisce una barriera aggiuntiva contro gli attacchi. Questi strumenti rilevano e bloccano tentativi sospetti di accesso alla rete.

La disabilitazione degli account inutilizzati e privilegiati sui client limita le possibilità per gli aggressori di ottenere accesso tramite credenziali compromesse.

Implementazione di Policy di Sicurezza

L’implementazione di policy di sicurezza efficace è essenziale per prevenire gli attacchi SMB Relay. L’adozione di NTLMv2, ad esempio, migliora la sicurezza dell’autenticazione riducendo il rischio di attacchi di relay.

L’imposizione di politiche di password sicure garantisce che le credenziali degli utenti non siano facilmente compromesse.

Monitorare e registrare costantemente le attività di rete aiuta a rilevare attività sospette in tempo reale. La visibilità sulla rete consente una risposta più rapida e mirata agli incidenti di sicurezza.

Strumenti e Tecniche di Difesa

Per proteggere i sistemi dagli attacchi SMB relay, è essenziale impiegare strumenti di monitoraggio avanzati e implementare tattiche di inganno come gli honeypots. Questi approcci aiutano ad individuare e prevenire attività malevole, assicurando al contempo un ambiente più sicuro per i dati sensibili.

Software di Monitoraggio e Rilevamento

Software dedicati al monitoraggio e al rilevamento sono cruciali nella difesa contro gli attacchi SMB relay. Tali strumenti possono eseguire una scansione continua delle reti per identificare comportamenti anomali. Nei tool di rilevamento avanzato, i dati di rete vengono analizzati in tempo reale, il che permette di intervenire prima che si verifichino danni significativi. Un esempio di ciò sono le soluzioni proposte da Microsoft, che offrono strategie difensive per il traffico SMB. Inoltre, è importante abilitare le firme SMB per garantire integrità e autenticità nei messaggi di autenticazione. Questi software devono poter integrare allarmi rapidi che avvisano gli amministratori di rete in caso di potenziali attacchi.

Uso di Honeypots

Gli honeypots rappresentano una tecnica ingegnosa per distrarre e analizzare gli aggressori. Questi sistemi fungono da trappole all’interno delle reti, fingendo di contenere informazioni importanti. Quando un aggressore interagisce con un honeypot, vengono raccolte informazioni preziose sulle sue tecniche e motivazioni. Per implementare honeypots efficaci contro gli attacchi SMB relay, è fondamentale configurare correttamente i loro parametri e monitorarli attivamente. Gli honeypots permettono di studiare il comportamento di un attacco in un ambiente controllato, consentendo aggiornamenti e adeguamenti delle difese basati su dati concreti. Tali informazioni possono essere usate per rafforzare le difese esistenti e prevenire futuri attacchi.

Dimostrazione Pratica

Invece di decifrare gli hash raccolti con Responder, possiamo invece inoltrare quegli hash a macchine specifiche e potenzialmente ottenere accesso. Utilizzeremo il laboratorio AD creato nei precedenti ariticoli, per questo attacco é necessario che:

Requisiti:

La firma SMB deve essere disabilitata o non applicata (disabled or not enforced) , come di default, sul target.

Le credenziali utente inoltrate devono essere da admin sulla macchina per ottenere un accesso, nel nostro caso :

prima di continuare dobbiamo configurare correttamente responder per fare in modo che gli hash che cattureremo non siano intercettati ma inoltrati (RELAYED , appunto):

sudo mousepad /etc/responder/Responder.conf

ed ora usaimo ntlmrelay.py che riceverá da RESPONDER l’hash e lo indirizzerá verso la macchina target, se l’utente é una admin della macchina (e “sesposito” lo é) l’attacco funzionerà.

ora serve un evento sulla rete, per esempio una richiesta di accesso ad un folder che non esiste:

Un attacco SMB Relay si basa sul fatto che un dispositivo della rete (la vittima) invii volontariamente una richiesta SMB o NTLM di autenticazione. Senza questa interazione iniziale, l’attaccante non può ottenere l’hash NTLM dell’utente da “inoltrare”. L’evento può essere causato in diversi modi:

Attivato da un utente:

Un utente accede a una condivisione di rete SMB malevola (ad esempio, cliccando su un link “smb://attacker-ip” inviato in un’email).

L’utente tenta di stampare su una stampante SMB configurata in modo malevolo.

Attivato passivamente:

L’attaccante utilizza un tool come Responder per “spoofare” (falsificare) risposte a richieste di rete DNS o WPAD. La vittima, in cerca di un servizio SMB o WPAD, si connette automaticamente al server malevolo.

Alcuni dispositivi inviano automaticamente richieste SMB alla rete (ad esempio, per cercare condivisioni di rete o stampanti).

Perché funziona?

L’attacco funziona sfruttando le debolezze del protocollo NTLM in combinazione con configurazioni di rete non sicure. Ecco i dettagli tecnici:

Autenticazione tramite NTLM:

Quando un dispositivo cerca di autenticarsi con SMB, invia un hash NTLM (challenge-response) al server. Questo hash rappresenta le credenziali dell’utente.

L’attaccante cattura questo hash durante l’evento e lo inoltra a un altro server (il “target”) che accetta la stessa autenticazione.

Assenza di SMB Signing:

L’attacco SMB Relay funziona solo se il SMB Signing è disabilitato o non richiesto sul server target.

SMB Signing protegge l’integrità del traffico SMB verificando che i messaggi non siano stati alterati. Se non è abilitato, l’attaccante può inoltrare il traffico senza che il server si accorga della manipolazione.

Credenziali valide:

Se l’utente le cui credenziali sono state inoltrate ha i privilegi di amministratore sul server target, l’attaccante ottiene accesso completo.

Assenza di MFA (Autenticazione Multifattore):

NTLM non supporta nativamente l’autenticazione a due fattori. Pertanto, l’attacco funziona se il sistema non richiede ulteriori verifiche.

Gli hash del SAM locale sono stati estratti. Questi hash possono ora essere portati offline e decifrati. Ancora meglio, possiamo utilizzare attacchi pass-the-hash per accedere alle macchine senza mai decifrare la password.

Nota: non abbiamo compromesso un account di dominio, né era necessario farlo. Ancora una volta, la bellezza degli attacchi relay è che non è mai necessario conoscere la password per portare a termine l’attacco. Quindi, serve una buona password policy!

Ricezione qui sopra di una reverse shell.

L'articolo SMB Relay: Attacco, Mitigazione, Strategie e Soluzioni Efficaci proviene da il blog della sicurezza informatica.

The crystal radio is a time-honored build that sadly doesn’t get much traction anymore. Once a rite of passage for electronics hobbyists, the classic coil-on-an-oatmeal-carton and cat’s whisker design just isn’t that easy to pull off anymore, mainly because the BOM isn’t really something that you can just whistle up from DigiKey or Mouser.

Or is it? To push the crystal radio into the future a bit, [tsbrownie] tried to design a receiver around standard surface-mount inductors, and spoiler alert — it didn’t go so well. His starting point was a design using a hand-wound air-core coil, a germanium diode for a detector, and a variable capacitor that was probably scrapped from an old radio. The coil had three sections, so [tsbrownie] first estimated the inductance of each section and sourced some surface-mount inductors that were as close as possible to their values. This required putting standard value inductors in series and soldering taps into the correct places, but at best the SMD coil was only an approximation of the original air-core coil. Plugging the replacement coil into the crystal radio circuit was unsatisfying, to say the least. Only one AM station was heard, and then only barely. A few tweaks to the SMD coil improved the sensitivity of the receiver a bit, but still only brought in one very local station.

[tsbrownie] chalked up the failure to the lower efficiency of SMD inductors, but we’re not so sure about that. If memory serves, the windings in an SMD inductor are usually wrapped around a core that sits perpendicular to the PCB. If that’s true, then perhaps stacking the inductors rather than connecting them end-to-end would have worked better. We’d try that now if only we had one of those nice old variable caps. Still, hats off to [tsbrownie] for at least giving it a go.

Note: Right after we wrote this, a follow-up video popped up in our feed where [tsbrownie] tried exactly the modification we suggested, and it certainly improves performance, but in a weird way. The video is included below if you want to see the details.

youtube.com/embed/3jleBhsdZig?…

youtube.com/embed/-N85ixkloNs?…

hackaday.com/2024/12/03/fail-o…

Da qualche ora su Breach Forum un threat actor dal nome “newplzqibeme”, ha condiviso un repository GitHub dove è pubblicato un exploit scritto in python per lo sfruttamento attivo della CVE-2024-0012 su PanOS (il sistema operativo dei firewall Palo Alto).

L’exploit garantisce all’attaccante, accesso completo amministrativo al firewall con un meccanismo di Authentication Bypass, ottenendo l’accesso come amministratore.

Nel post di “newplzqibeme” sono riportati a titolo di esempio due IP pubblici, che sono molto probabilmente dei firewall esposti e vulnerabili.

I firewall con PanOS 10.2, 11.0, 11.1 e 11.2 sono affetti da questa CVE se non aggiornati alle rispettive versioni (>= 10.2.12-h2, >= 11.0.6-h1, >= 11.1.5-h1 e >= 11.2.4-h1).

La CVE, categorizzata con livello 9.3 (ancora sotto revisione), permette appunto accesso amministrativo completo al firewall e il tool di exploit a disposizione pubblicamente su GitHUB, permette anche la creazione di una Reverse Shell per l’attaccante.

Lo script su GitHUB è aggiornatissimo (ultimo update 1 Dicembre 2024).

Sul sito di Paolo Alto ci sono tutte le informazioni sulla CVE, le possibili mitigazioni e i dettagli tecnici.

Viene anche citata un POC (Proof Of Concept) per lo sfruttamento di tale CVE che abbiamo trovato su GitHUB (anche questa relativamente aggiornata alla data di 15 giorni dalla stesura di questo articolo).

Il nostro consiglio è quello di intervenire immediatamente sui firewall eventualmente esposti su internet con l’interfaccia web di amministrazione, ma non solo!

Anche i firewall non esposti sono vulnerabili a tale attacco se l’accesso avviene da una trusted network; nel malaugurato caso in cui un thread actor abbia già accesso alle vostre reti.

In questo momento ci sono circa 257 mila dispositivi esposti su internet che rispondo a Palo Alto Global Protect. Si consiglia di aggiornare tali device, se ne siete in possesso, per evitare accessi indesiderati da parte degli attaccanti

L'articolo L’Exploit per l’RCE sui Firewall Palo Alto è Online! Amministrazione Inclusiva… per Tutti! proviene da il blog della sicurezza informatica.

Recently, there was a Mastodon post from [nixCraft] challenging people to drop their NAT routers for the month of November and use only IPv6. What would it be like to experience “No NAT November?” [Alex Haydock] decided to find out.

What did he learn? You’d imagine he’d either wholeheartedly embrace IPv6 or stagger back in and warn everyone not to mess with their configuration. Instead, he recommends you go IPv6 mostly. He notes he is only talking about a home network, not necessarily networks for a big company or an Internet carrier. That’s a different topic.

IPv6 has been around since 1998, but it has been slow to catch on. However, OS support seems universal at this point. [Alex] was able to easily switch on IPv6 only using Windows, macOS, and several Linux flavors. He didn’t use any Android devices, but they should be OK. His iOS phones were fine.

Where he did have problems was with embedded devices like the Nintendo Switch and a Steam Deck — surprising, since the Steam Deck uses Linux. Actually, the Steam device does support IPV6, it just thinks that if it doesn’t have an IPv4 network, the network must be down.

Some home networking gear also required IPv4 addresses to use their management interfaces. That’s especially funny since the devices clearly know about IPv6. They just don’t serve web pages over their IPv6 address.

Unfortunately, there are many websites that do not have IPV6 servers. That’s not as rare as you might think and [Alex] points out offenders like GitHub, Reddit, Discord, and Steam. No IPv4, no access to those and many other sites.

So despite being No NAT November, it was necessary to set up a NAT64 gateway to read IPv4-only websites. However, unlike normal IPv4 NAT (NAT44), you can use a NAT64 gateway anywhere on the network. [Alex’s] ISP hosts a NAT64 and DNS64 instance and that solved his problem.

The post goes on about other specific cases — if you’ve ever even thought about IPv6, it is worth a read. Switching over? Probably not yet, but as [Alex] points out, with a little work and perseverance, it is possible.

In addition to our earlier coverage of why IPv6 isn’t more popular, we’ve also made the arguments about why it should be.

hackaday.com/2024/12/03/a-mont…

“Faccio parte di un’organizzazione giornalistica, di coloro che hanno fiducia nel giornalismo. Il giornalismo oggi non è più quello che era, sta scomparendo. Il potere del giornalismo si sta erodendo e probabilmente morirà. Questa è la dura realtà che ci occorre affrontare. Nelle nostre società, in occidente, il giornalismo è sotto attacco, la verità è […]

freeassangeitalia.it/intervent…