Un’onda d’urto tra vulnerabilità, webshell e gruppi ransomware

Il 14 maggio 2025, il team di intelligence di ReliaQuest ha aggiornato la propria valutazione su una pericolosa vulnerabilità: CVE-2025-31324, una falla di tipo “unrestricted file upload” nel componente SAP NetWeaver Visual Composer, che consente l’esecuzione remota di codice (Remote Code Execution – RCE). Sebbene inizialmente classificata come una semplice “remote file inclusion”, ulteriori analisi hanno rivelato che la natura della falla era decisamente più pericolosa: chiunque, senza autenticazione, poteva caricare file JSP malevoli sul server SAP e ottenere l’accesso remoto.

La piattaforma Recorded Future, in una nota pubblicata il 15 maggio, ha confermato che le campagne di attacco condotte dai gruppi ransomware BianLian e RansomEXX (Defray777) hanno sfruttato attivamente questa vulnerabilità, nonostante SAP avesse già rilasciato una patch il 24 aprile. Il componente coinvolto, va detto, è deprecato dal 2015. Ma come sappiamo bene, nella sicurezza informatica ciò che è vecchio non muore mai… spesso resta esposto, ignorato, e tremendamente vulnerabile.

Cosa dicono i dati: IP, domini e infrastrutture dannose

Secondo l’analisi condotta da Insikt Group (Recorded Future), le infrastrutture dannose riconducibili agli attacchi includono:

• Gli indirizzi IP 184.174.96.70 e 184.174.96.74, entrambi classificati con un rischio moderato (30/100).
• Il dominio dns.telemetrymasterhostname.com, associato alle fasi C2 (command and control) dell’attacco, valutato con un rischio molto alto (66/100).
• Il prodotto coinvolto: SAP NetWeaver Visual Composer, con un indice di rischio di 66, e classificato come obiettivo critico dell’infrastruttura malevola.
• La vulnerabilità principale: CVE-2025-31324, che raggiunge un punteggio di rischio massimo pari a 99.

Tutti questi elementi compongono il mosaico tecnico che ha permesso l’esecuzione remota di codice nei sistemi compromessi.

La dinamica dell’attacco: dalle JSP ai payload modulari

Gli attori della minaccia hanno sfruttato l’endpoint /developmentserver/metadatauploader per caricare JSP webshell come helper.jsp, cache.jsp, rrx.jsp, dyceorp.jsp all’interno della directory:

j2ee/cluster/apps/sap.com/irj/servlet_jsp/irj/root/

Queste webshell consentivano il controllo remoto tramite richieste HTTP GET, permettendo una piena esecuzione di comandi sul server vittima.

Nel caso specifico di RansomEXX, l’infrastruttura di attacco si è dimostrata particolarmente sofisticata: dopo l’upload iniziale, gli attori hanno utilizzato MSBuild per compilare e attivare un backdoor modulare denominata PipeMagic. Questa, a sua volta, ha consentito l’iniezione in memoria del noto framework di red-teaming Brute Ratel, all’interno del processo dllhost.exe. Tutto questo è stato eseguito in modalità stealth, grazie alla tecnica Heaven’s Gate, che permette di passare da 32-bit a 64-bit mode aggirando le difese basate su syscall.

Il ruolo della Cina e la minaccia APT sulle infrastrutture critiche

Non meno rilevante è l’altra faccia di questa minaccia: la componente APT (Advanced Persistent Threat). Il gruppo cinese Chaya_004, secondo Forescout, avrebbe compromesso oltre 581 sistemi SAP NetWeaver non aggiornati e individuato altri 1.800 domini in fase di targeting, inclusi ICS (sistemi di controllo industriale) situati in Stati Uniti, Regno Unito e Arabia Saudita. Altri tre gruppi APT, UNC5221, UNC5174 e CL-STA-0048, avrebbero partecipato a campagne simili, come riportato da EclecticIQ.

Questi attacchi indicano un chiaro interesse geopolitico e strategico nei confronti di infrastrutture industriali e sistemi critici occidentali, aggravando l’urgenza di mitigare la vulnerabilità CVE-2025-31324. SAP, parallelamente, ha rilasciato una patch anche per la vulnerabilità CVE-2025-42999, che veniva utilizzata in combinazione per ottenere un impatto maggiore.

Tecniche MITRE ATT&CK associate

Le TTP (Tactics, Techniques, and Procedures) osservate fanno riferimento a una lunga lista di tecniche MITRE ATT&CK, tra cui:

• T1055.003 – Inject into Process
• T1202 – Indirect Command Execution
• T1548.002 – Bypass User Account Control
• T1071.001 – Application Layer Protocol: Web Protocols
• T1190 – Exploit Public-Facing Application
• T1140 – Deobfuscate/Decode Files or Information

Schermata prelevata dalla piattaforma di intelligence di Recorded Future, partner strategico di Red Hot Cyber
Il vettore d’attacco è chiaro: esposizione pubblica, upload di codice malevolo, comandi remoti, iniezione in memoria e persistente presenza in sistemi compromessi. Una perfetta catena d’infezione in stile APT mista a dinamiche ransomware.

Il prezzo della trascuratezza

Questa campagna mostra, ancora una volta, come l’inerzia nella gestione dei software deprecati e il ritardo nell’applicazione delle patch di sicurezza rappresentino il terreno fertile per minacce sempre più sofisticate. Che si tratti di ransomware o cyber spionaggio, la porta d’ingresso è sempre la stessa: vulnerabilità note, ma ignorate.

Questo articolo si basa su informazioni, integralmente o parzialmente tratte dalla piattaforma di intelligence di Recorded Future, partner strategico di Red Hot Cyber e punto di riferimento globale nell’intelligence sulle minacce informatiche. La piattaforma fornisce analisi avanzate utili a individuare e contrastare attività malevole nel cyberspazio.

L'articolo Ransomware su SAP NetWeaver: sfruttato il CVE-2025-31324 per l’esecuzione remota di codice proviene da il blog della sicurezza informatica.

A terrarium is a little piece of the living world captured in a small enclosure you can pop on your desk or coffee table at home. If you want to keep it as alive as possible, though, you might like to implement some controls. That’s precisely what [yotitote] did with their smart terrarium build.

At the heart of the build is an ESP32 microcontroller. It’s armed with temperature and humidity sensors to detect the state of the atmosphere within the terrarium itself. However, it’s not just a mere monitor. It’s able to influence conditions by activating an ultrasonic fogger to increase humidity (which slightly impacts temperature in turn). There are also LED strips, which the ESP32 controls in order to try and aid the growth of plants within, and a small OLED screen to keep an eye on the vital signs.

It’s a simple project, but one that serves as a basic starting point that could be readily expanded as needed. It wouldn’t take much to adapt this further, such as by adding heating elements for precise temperature control, or more advanced lighting systems. These could be particularly useful if you intend your terrarium to support, perhaps, reptiles, in addition to tropical plant life.

Indeed, we’ve seen similar work before, using a Raspberry Pi to create a positive environment to keep geckos alive! Meanwhile, if you’re cooking up your own advanced terrarium at home, don’t hesitate to let us know.

hackaday.com/2025/05/15/smart-…

Vi segnalo questo podcast in cui se n'è parlato:

Lo trovate un po' su tutte le piattaforme, compreso su Antenna Pod.

In particolare, si spiega perché il testo legato alla raccolta firme che sta girando non è accurato.

open.spotify.com/episode/2QAdk…

#MatrimonioEgualitario #matrimonio #diritti #EQUITA #referendum #gaymarriage #samesexmarriage #Matrimoniogay #lgbtquia #lgbt #italia #repubblicadellebanane

Un nuovo referendum in vista

Closer · Episode

^{Un nuovo referendum in vista (Spotify)}

I ricercatori di sicurezza hanno individuato un nuovo metodo d’attacco in cui i cybercriminali sfruttano gli inviti di Google Calendar per veicolare malware. La tecnica impiegata si basa su un sistema di offuscamento avanzato, dove un solo carattere apparentemente innocuo cela codice malevolo pronto a colpire.

Questa tecnica sottolinea come gli attori delle minacce continuino a raffinare le proprie strategie, puntando su servizi considerati affidabili per bypassare le difese di sicurezza tradizionali. Nel marzo 2025, gli analisti di sicurezza di Aikido hanno individuato un pacchetto npm sospetto, denominato “os-info-checker-es6”. Sebbene apparisse come un modulo legittimo per la raccolta di informazioni sul sistema operativo, il pacchetto nascondeva codice potenzialmente dannoso.

Ciò che catturò la loro attenzione fu quello che sembrava essere solo un carattere di barra verticale (“|”) nel codice, ma che in realtà nascondeva qualcosa di molto più sinistro.

“Ciò che abbiamo scoperto è stato affascinante: quel singolo carattere non era in realtà un semplice simbolo di pipe, ma conteneva caratteri Unicode Private Use Area (PUA) invisibili”, hanno spiegato i ricercatori nella loro analisi. Questi caratteri PUA sono riservati nello standard Unicode alle applicazioni personalizzate e sono intrinsecamente non stampabili, il che li rende perfetti per nascondere codice dannoso.

Una volta decodificato, questo carattere apparentemente innocuo si trasformava in istruzioni codificate in base64 che alla fine si collegavano a Google Calendar per operazioni di comando e controllo. L’indagine ha rivelato che il malware era progettato per recuperare payload dannosi tramite un URL di invito di Google Calendar. L’invito del calendario conteneva stringhe codificate in base64 che, una volta decodificate, indirizzavano le vittime a un server controllato dall’aggressore.

Una volta che un bersaglio interagisce con questi inviti del calendario, può essere indirizzato a siti Web fraudolenti progettati per rubare credenziali o informazioni finanziarie. Gli aggressori non si sono fermati a un solo pacchetto. Tutti questi pacchetti hanno aggiunto il dannoso “os-info-checker-es6” come dipendenza, creando una superficie di attacco più ampia.

Come Proteggersi

Google ha riconosciuto la minaccia e consiglia agli utenti di abilitare l’impostazione “mittenti noti” in Google Calendar per difendersi da questo tipo di phishing. Gli esperti di sicurezza consigliano inoltre:

• Diffidate degli inviti inaspettati nel calendario, soprattutto quelli programmati per un futuro molto lontano.
• Verifica l’identità del mittente prima di accettare inviti o cliccare sui link.
• Mantenere il software aggiornato per correggere le vulnerabilità della sicurezza.
• Segnala gli inviti sospetti al calendario come spam tramite la funzione di segnalazione di Google Calendar.

Questo attacco dimostra come i criminali informatici continuino a trovare modi innovativi per diffondere payload dannosi, sfruttando piattaforme affidabili e sofisticate tecniche di offuscamento.

L'articolo Google Calendar Sotto Tiro! Un Solo Carattere Nasconde Un Attacco Malware Avanzato proviene da il blog della sicurezza informatica.

E' stata denominata “Petrolio dorato” l’operazione dei carabinieri che ha condotto ad arresti e perquisizioni - non solo in Italia - su mandato del gip di Bologna, consentendo di scoprire un sistema illegale di commercio di oli vegetali esausti utili per produrre biodiesel.

Nell’ambito delle attività, i Carabinieri del Gruppo per la tutela ambientale e la sicurezza energetica di Venezia, con il supporto di diversi reparti dell’Arma, sono stati coordinati dalla Procura della Repubblica – Direzione distrettuale antimafia e antiterrorismo – di Bologna.

L’inchiesta ha consentito di documentare l’operatività di un sodalizio che, attraverso società autorizzate alla raccolta di oli vegetali esausti, traeva ingiusti profitti dagli introiti derivanti dal trattamento e dalla rivendita di questo rifiuto pregiato, utilizzato per la produzione del biodiesel. Attualmente sono iscritte nel registro degli indagati 22 persone e 2 società, a vario titolo ritenute responsabili dei reati di associazione a delinquere, attività organizzate per il traffico illecito di rifiuti, favoreggiamento personale, falsità ideologica commessa dal privato in atto pubblico e abuso d’ufficio, in relazione ai fatti accertati in Emilia-Romagna, Veneto, Trentino Alto-Adige e Campania nel periodo 2021 – 2022.

L’indagine ha visto il coinvolgimento nelle varie fasi di Europol per quanto riguarda la cooperazione internazionale di polizia, visto che gli indagati risultano gestire attività economiche anche in Grecia e Spagna, nonché commerciare con Austria, Belgio, Ungheria, Bulgaria, Repubblica Slovacca, Malta e Libia.

Accogliendo le richieste del Pm, il Gip ha disposto la misura cautelare nei confronti di 11 indagati (5 dei quali agli arresti domiciliari, 3 con obbligo di dimora e 3 con divieto di esercitare imprese o uffici direttivi in società del settore della gestione dei rifiuti) e il sequestro preventivo dei compendi societari e delle strutture aziendali delle due società al centro delle investigazioni. Nel corso dell’operazione verranno anche eseguite 17 perquisizioni personali e locali e svolte ispezioni ambientali a impianti di raccolta, gestione e trattamento di oli vegetali esausti.

#Armadeicarabinieri #carabinierinoe #carabinieritase #biodiesel #olivegetaliesausti #ambiente #europol

@Ambiente

Un grave bug di sicurezza è stato risolto da Microsoft nel suo client di posta elettronica Outlook durante il Patch Tuesday di maggio 2025. Si tratta del CVE-2025-32705, che consente l’esecuzione di codice remoto (RCE) in Microsoft Outlook, causato da una debolezza di lettura fuori dai limiti.

Questa vulnerabilità evidenzia ancora una volta i rischi legati agli errori di memoria fuori limite in software ampiamente utilizzati come Microsoft Outlook.

L’anteprima della email di Outlook in questa CVE non consente l’esecuzione dell’exploit ma occorre una interazione attiva dell’utente. Microsoft ha attribuito ad Haifei Li di EXPMON il merito di aver scoperto la vulnerabilità e ha riconosciuto il ruolo svolto dalla più ampia comunità della sicurezza nella divulgazione coordinata delle vulnerabilità.

La vulnerabilità, classificata come High nello score CVSSv3, deriva da una gestione non corretta della memoria in Outlook. Un aggressore potrebbe sfruttare CVE-2025-32705 inviando un file appositamente creato all’utente bersaglio tramite e-mail o altri mezzi.

Quando l’utente apre il file dannoso in una versione interessata di Microsoft Outlook, può essere causato un errore di lettura fuori limite, che consente all’aggressore di eseguire codice arbitrario sul sistema locale. Ciò potrebbe portare alla compromissione totale del sistema, al furto di dati o all’ulteriore distribuzione di malware.

Gli aggiornamenti riguardano più edizioni di Microsoft Office LTSC 2021 e 2024, nonché Microsoft 365 Apps for Enterprise, sia per sistemi a 32 bit che a 64 bit. I prodotti interessati e i link per l’aggiornamento includono:

• Microsoft Office LTSC 2024 (32 bit e 64 bit).
• Microsoft Office LTSC 2021 (32 bit e 64 bit).
• App Microsoft 365 per le aziende (32 bit e 64 bit).

Tutti gli aggiornamenti sono classificati come importanti e risolvono vulnerabilità di esecuzione di codice remoto. Utenti e organizzazioni sono vivamente invitati ad applicare immediatamente queste patch per mitigare i potenziali rischi di sfruttamento. Microsoft ha riportato di alcune mitigazione all’impatto di questo exploit che sono:

• Applica immediatamente gli aggiornamenti di sicurezza: distribuisci le patch ufficiali dal portale degli aggiornamenti di sicurezza di Microsoft a tutte le installazioni di Outlook interessate.
• Prestare attenzione agli allegati e-mail: gli utenti dovrebbero evitare di aprire file inaspettati o sospetti, anche se provenienti da contatti noti.
• Mantenere la sicurezza degli endpoint: utilizzare soluzioni antivirus e di rilevamento degli endpoint aggiornate per identificare e bloccare potenziali tentativi di sfruttamento.
• Monitora gli avvisi di sicurezza: rimani informato sulle minacce emergenti e sugli aggiornamenti da parte di Microsoft e delle community sulla sicurezza informatica.

La combinazione di un vettore di attacco locale con il requisito di interazione dell’utente sottolinea l’importanza della consapevolezza dell’utente insieme alla gestione tempestiva delle patch per prevenire attacchi basati sull’esecuzione di codice arbitrario.

L'articolo Nuova RCE in Microsoft Outlook. La tua azienda compromessa con un semplice click proviene da il blog della sicurezza informatica.

Quando tecnologia e geopolitica si intersecano, il vincitore non è chi ha il chip più potente, ma chi riesce a riscrivere le regole in tempo e ad adattarsi più velocemente degli altri.

Nei prossimi due mesi Nvidia lancerà in Cina una versione ridotta del suo chip AI H20. Secondo quanto riferito da alcune fonti a Reuters, si prevede che il modello modificato sarà disponibile già a partire da luglio; i principali clienti cinesi, tra cui i fornitori di cloud computing, sono già stati avvisati.

La versione rivisitata di H20 rappresenta il tentativo di Nvidia di mantenere la propria posizione in una delle regioni più strategiche, nonostante la crescente pressione di Washington. Inizialmente, l’H20 era il più potente dei chip AI di Nvidia approvati per l’esportazione in Cina, ma il mese scorso le autorità statunitensi hanno inasprito le normative, richiedendo anche una licenza speciale per esportarlo. Ciò di fatto bloccò le forniture.

Successivamente, l’azienda ha rivisto i parametri tecnici della linea e ha sviluppato un piano per lanciare una nuova versione, con caratteristiche significativamente inferiori all’originale. Una fonte sostiene che il taglio principale sarà in termini di capacità di memoria. Si prevede inoltre che gli acquirenti stessi saranno in grado di adattare la configurazione modulare per ottimizzare le prestazioni in base alle proprie esigenze. La protezione non è un’opzione. È una necessità.

La posizione di Nvidia in Cina è difficile: nell’ultimo anno fiscale, il Paese ha garantito all’azienda un fatturato di 17 miliardi di dollari, pari al 13% del suo fatturato totale. Per sottolineare l’importanza dell’attenzione rivolta alla Cina, il CEO di Nvidia Jensen Huang ha visitato personalmente Pechino il mese scorso, subito dopo l’annuncio delle nuove restrizioni. Nei colloqui con i funzionari locali, ha sottolineato l’importanza della Cina come mercato chiave per l’azienda.

Dal 2022 sono in vigore restrizioni all’esportazione dei chip più avanzati di Nvidia verso la Cina, poiché le autorità statunitensi temono il loro utilizzo per scopi militari. In risposta a ciò, nell’ottobre 2023, Nvidia ha presentato l’H20, un processore appositamente adattato alle nuove regole. Tuttavia questa versione alla fine venne vietata.

Ciononostante, l’interesse per l’H2O in Cina è stato enorme. Aziende di primo livello come Tencent, Alibaba e ByteDance hanno iniziato ad acquistare chip per soddisfare la domanda di modelli di intelligenza artificiale a basso costo, popolari tra le startup come DeepSeek. Secondo Reuters, ad aprile Nvidia aveva ricevuto ordini per un valore di circa 18 miliardi di dollari solo attraverso la linea H20.

L'articolo Nvidia sfida le restrizioni USA: in arrivo il chip AI H20 ridotto per la Cina proviene da il blog della sicurezza informatica.

Qualcuno esperto in #legge , magari un #avvocato, mi aiuti a capire, per favore.

Tutto felice e contento ho firmato il referendum di cui si parla, condiviso da alcuni amici, ma sembrerebbe che sia addirittura controproducente una raccolta firme. Che fare, in questo caso? Sarà corretto quello che dice la rete Lenford? (fonte in chiusura del post).

Sono davvero amareggiato e confuso.

"NON ESISTE UN REFERENDUM SUL MATRIMONIO TRA PERSONE DELLO STESSO SESSO
In questi giorni sta circolando online la richiesta di firme per un referendum, che viene descritto dal partito promotore con queste parole: ‘si firma per il referendum sul matrimonio delle coppie same sex’.
Non è così.
Anche se si raccogliessero almeno 500.000 firme entro il 3 agosto 2025 e anche se il referendum venisse giudicato ammissibile (e, quindi, effettivamente proponibile) dalla Corte costituzionale, un esito favorevole nelle urne NON introdurrebbe in Italia il matrimonio per coppie formate da persone dello stesso sesso.
Quel referendum, infatti, vuole mantenere le unioni civili introdotte nel 2016, eliminando le parti che le differenziano dal matrimonio anche rispetto alla filiazione.
La conseguenza di una vittoria dei ‘SÌ’ sarebbe, perciò, questa: le coppie same sex potrebbero continuare soltanto a unirsi civilmente, parificando gli effetti della loro unione a quelli matrimoniali, ma non potrebbero sposarsi.
Questo è un punto che deve essere molto chiaro e che Rete Lenford, nata nel 2007 proprio con la campagna ‘Affermazione civile’ volta a introdurre in Italia il matrimonio per persone dello stesso sesso, ha il dovere di chiarire pubblicamente, a seguito di decine di richieste che ci stanno giungendo nelle ultime ore.
Nei prossimi giorni, e con ampio margine di anticipo rispetto alla scelta che potrà essere fatta sulla firma della proposta referendaria, Rete Lenford lavorerà a una nota illustrativa con uno sguardo ‘bifocale’:
1) tecnico, per un approfondimento sui singoli quesiti e sulla loro dubbia ammissibilità, anche (e soprattutto) per le contraddittorie conseguenze in punto di filiazione, specialmente con riguardo alle coppie conviventi e alla legge sulla procreazione medicalmente assistita (la quale, anche dopo il referendum, continuerebbe a mantenere il requisito esplicito della ‘diversità di sesso’ della coppia richiedente);
2) politico, per le significative implicazioni che questo referendum potrebbe generare sia sul percorso di introduzione del ‘matrimonio same sex’, sia su quello di riconoscimento delle famiglie omogenitoriali.
Naturalmente, e anche al fine di elaborare una posizione condivisa in vista del termine del 3 agosto prossimo, non mancheremo di attivare un confronto con le altre realtà associative, tenute sorprendentemente escluse da questa iniziativa partitica.
Nel frattempo, ci è risultato doveroso prenderci del tempo, ma allo stesso tempo chiarire sin da subito quale sarebbe l’esito del referendum, così da favorire soltanto firme consapevoli da parte di chi, già in questi giorni, decidesse di non aspettare una elaborazione delle realtà LGBT+ e volesse esprimere online la propria posizione."

facebook.com/Rete.Lenford/post…

@Alberto

#lgbt
#LGBTQIA #samesexmarriage #MatrimonioEgualitario

Rete Lenford - Avvocatura per i diritti LGBTI+

NON ESISTE UN REFERENDUM SUL MATRIMONIO TRA PERSONE DELLO STESSO SESSO In questi giorni sta circolando online la richiesta di firme per un referendum, che viene descritto dal partito promotore con...

^{www.facebook.com}