Earlier this year, I was required to move my server to a different datacenter. The tech that helped handle the logistics suggested I assign one of my public IPs to the server’s Baseboard Management Controller (BMC) port, so I could access the controls there if something went sideways. I passed on the offer, and not only because IPv4 addresses are a scarce commodity these days. No, I’ve never trusted a server’s built-in BMC. For reasons like this MegaOWN of MegaRAC, courtesy of a CVSS 10.0 CVE, under active exploitation in the wild.

This vulnerability was discovered by Eclypsium back in March It’s a pretty simple authentication bypass, exploited by setting an X-Server-Addr header to the device IP address and adding an extra colon symbol to that string. Send this along inside an HTTP request, and it’s automatically allowed without authentication. This was assigned CVE-2024-54085, and for servers with the BMC accessible from the Internet, it scores that scorching 10.0 CVSS.

We’re talking about this now, because CISA has added this CVE to the official list of vulnerabilities known to be exploited in the wild. And it’s hardly surprising, as this is a near-trivial vulnerability to exploit, and it’s not particularly challenging to find web interfaces for the MegaRAC devices using tools like Shodan and others.

There’s a particularly ugly scenario that’s likely to play out here: Embedded malware. This vulnerability could be chained with others, and the OS running on the BMC itself could be permanently modified. It would be very difficult to disinfect and then verify the integrity of one of these embedded systems, short of physically removing and replacing the flash chip. And malware running from this very advantageous position very nearly have the keys to the kingdom, particularly if the architecture connects the BMC controller over the PCIe bus, which includes Direct Memory Access.

This brings us to the really bad news. These devices are everywhere. The list of hardware that ships with the MegaRAC Redfish UI includes select units from “AMD, Ampere Computing, ASRock, ARM, Fujitsu, Gigabyte, Huawei, Nvidia, Supermicro, and Qualcomm”. Some of these vendors have released patches. But at this point, any of the vulnerable devices on the Internet, still unpatched, should probably be considered compromised.

Patching Isn’t Enough

To drive the point home, that a compromised embedded device is hard to fully disinfect, we have the report from [Max van der Horst] at Disclosing.observer, detailing backdoors discovered in verious devices, even after the patch was applied.

These tend to hide in PHP code with innocent-looking filenames, or in an Nginx config. This report covers a scan of Citrix hosts, where 2,491 backdoors were discovered, which is far more than had been previously identified. Installing the patch doesn’t always mitigate the compromise.

Many of us have found VSCode to be an outstanding IDE, and the fact that it’s Open Source and cross-platform makes it perfect for programmers around the world. Except for the telemetry, which is built into the official Microsoft builds. It’s Open Source, so the natural reaction from the community is to rebuild the source, and offer builds that don’t have telemetry included. We have fun names like VSCodium, and Cursor for these rebuilds. Kudoes to Microsoft for making VSCode Open Source so this is possible.

There is, however, a catch, in the form of the extension marketplace. Only official VSCode builds are allowed to pull extensions from the marketplace. As would be expected, the community has risen to the challenge, and one of the marketplace alternatives is Open VSX. And this week, we have the story of how a bug in the Open VSX publishing code could have been a really big problem.

When developers are happy with their work, and are ready to cut a release, how does that actually work? Basically every project uses some degree of automation to make releases happen. For highly automated projects, it’s just a single manual action, a kick-off of a Continuous Integration (CI) run, that builds and publishes the new release. Open VSX supports this sort of approach, and in fact runs a nightly GitHub Action to iterate through the list of extensions, and pull any updates that are advertised.

VS Code extensions are Node.js projects, and are built using npm. So the workflow clones the repository, and runs npm install to generate the installable packages. Running npm install does carry the danger that arbitrary code runs inside the build scripts. How bad would it be for malicious code to run inside this night update action, on the Open VSX GitHub repository?

A super-admin token was available as an environment variable inside this GitHub Action, that if exfiltrated, would allow complete takeover of the Open VSX repository and unfettered access to the software contained therein. There’s no evidence that this vulnerability was found or exploited, and OpenVSX and Koi Security worked together to mitigate it, with the patch landing about a month and a half after first disclosure.

FileFix

There’s a new social engineering attack on the web, FileFix. It’s a very simple, nearly dumb idea. By that I mean, a reader of this column would almost certainly never fall for it, because FileFix asks the user to do something really unusual. It works like this. You get an email or land on a bad website, and it appears present a document for you. To access this doc, just follow the steps. Copy this path, open your File Explorer, and paste the path. Easy! The website even gives you a button to click to launch file explorer.

That button actually launches a file upload dialog, but that’s not even the clever part. This attack takes advantage of two quirks. The first is that Javascript can inject arbitrary strings into the paste buffer, and the second is that system commands can be run from the Windows Explorer bar. So yes, copy that string, and paste it into the bar, and it can execute a command. So while it’s a dumb attack, and asks the user to do something very weird, it’s also a very clever intersection between a couple of quirky behaviors, and users will absolutely fall for this.

eMMC Data Extraction

The embedded MultiMediaCard (eMMC) is a popular option for flash storage on embedded devices. And Zero Day Initiative has a fascinating look into what it takes to pull data from an eMMC chip in-situ. An 8-leg EEPROM is pretty simple to desolder or probe, but the ball grid array of an eMMC is beyond the reach of mere mortals. If you’re soldering skills aren’t up to the task, there’s still hope to get that data off. The only connections needed are power, reference voltage, clock, a command line, and the data lines. If you can figure out connection points for all of those, you can probably power the chip and talk to it.

One challenge is how to keep the rest of the system from booting up, and getting chatty. There’s a clever idea, to look for a reset pin on the MCU, and just hold that active while you work, keeping the MCU in a reset, and quiet, state. Another fun idea is to just remove the system’s oscillator, as the MCU may depend on it to boot and do anything.

Bits and Bytes

What would you do with 40,000 alarm clocks? That’s the question unintentionally faced by [Ian Kilgore], when he discovered that the loftie wireless alarm clock works over unsecured MQTT. On the plus side, he got Home Automation integration working.

What does it look like, when an attack gets launched against a big cloud vendor? The folks at Cloud-IAM pull the curtain back just a bit, and talk about an issue that almost allowed an enumeration attack to become an effective DDoS. They found the attack and patched their code, which is when it turned into a DDoS race, that Cloud-IAM managed to win.

The Wire secure communication platform recently got a good hard look from the Almond security team. And while the platform seems to have passed with good grades, there are a few quirks around file sharing that you might want to keep in mind. For instance, when a shared file is deleted, the backing files aren’t deleted, just the encryption keys. And the UUID on those files serves as the authentication mechanism, with no additional authentication needed. None of the issues found rise to the level of vulnerabilities, but it’s good to know.

And finally, the Centos Webpanel Control Web Panel has a pair of vulnerabilities that allowed running arbitrary commands prior to authorization. The flaws have been fixed in version 0.9.8.1205, but are trivial enough that this cPanel alternative needs to get patched on systems right away.

hackaday.com/2025/06/27/this-w…

Robots can look like all sorts of things, but they’re often more fun if you make them look like some kind of charming animal. That’s precisely what [Ananya], [Laurence] and [Shao] did when they built Cucumber the Robot Dog for their final project in the ECE 4760 class.

Cucumber is controllable over WiFi, which was simple enough to implement by virtue of the fact that it’s based around the Raspberry Pi Pico W. With its custom 3D-printed dog-like body, it’s able to move around on its four wheels driven by DC gear motors, and it can flex its limbs thanks to servos in its various joints. It’s able to follow someone with some autonomy thanks to its ultrasonic sensors, while it can also be driven around manually if so desired. To give it more animal qualities, it can also be posed, or commanded to bark, howl, or growl, with commands issued remotely via a web interface.

The level of sophistication is largely on the level of the robot dogs that were so popular in the early 2000s. One suspects it could be pretty decent at playing soccer, too, with the right hands behind the controls. Video after the break.

youtube.com/embed/myNXUAshH7Q?…

hackaday.com/2025/06/27/meet-c…

La Liguria, la Regione in cui sono felice di essere nato e vivere, è una regione fortunata anche dal punto di vista dell’assistenza in Oncofertilità. Grazie all’opera di medici di altissimo livello e dalla vista lunga tra cui la Dott.ssa Paola Anserini, la Prof.ssa Lucia del Mastro, il Prof. Matteo Lambertini e i loro collaboratori, l’IRCCS Ospedale Policlinico San Martino in cui mi onoro di lavorare è diventato un centro regionale con oltre 1.000 nuovi casi l’anno presi in carico dalle Unità di Senologia e di Oncofertilità. Queste ultime garantiscono percorsi assistenziali dedicati con particolare attenzione al tema della preservazione della fertilità per le pazienti under 40. Grazie ad esse, una donna su dieci riesce ad avere un figlio dopo la diagnosi di tumore del seno. Un dato doppio rispetto alla media nazionale che colloca l’IRCCS genovese ai primi posti in Europa. Ma molte donne ancora non riescono più a procreare dopo l’uscita dal tunnel della malattia ed anche qui le opportunità di miglioramento non mancano.

A livello nazionale la situazione è variegata, come spesso accade in tema di sanità. Ogni anno in Italia circa 8.000 cittadini under 40 (5.000 donne e 3.000 uomini) sono colpiti da tumore, 30 ogni giorno, pari a circa il 3% del numero totale delle nuove diagnosi. Nel nostro Paese ci sono 319 Oncologie e sono 178 i centri di Procreazione medicalmente assistita che applicano non solo la fecondazione in vitro ma anche la crioconservazione (cioè il congelamento e la conservazione a temperature bassissime) dei gameti. Ma, come anche l’esperienza genovese suggerisce, va migliorata la comunicazione fra le due realtà.

Anche la fertilità maschile può essere compromessa dalle terapie oncologiche, in particolare chemioterapia e radioterapia, che possono ridurre la produzione di spermatozoi o danneggiarne la qualità. Ciò può portare a infertilità temporanea o permanente, con conseguenze che variano a seconda dei farmaci utilizzati, delle dosi e della localizzazione della radioterapia.

Dai pochi dati ricordati, si ricava quindi che il problema del mantenimento della fertilità interessa una varietà di pazienti oncologici, femmine e maschi, adolescenti e giovani adulti, con patologie neoplastiche diverse che richiedono protocolli terapeutici chemio e/o radioterapici spesso tossici sulle gonadi. Ma la distribuzione sul territorio nazionale di centri per l’Oncofertilità e l’accesso alle cure, la formazione del personale sanitario e l’informazione alla popolazione sul tema, come spesso accade in tema di assistenza sanitaria, sono fortemente squilibrate tra le diverse regioni e richiedono interventi .

Peraltro, il problema certamente non riguarda solo i pazienti oncologici, ma una popolazione generale del Paese che va progressivamente invecchiando, divenendo sempre meno fertile e sempre più bisognosa di assistenza medica per la procreazione. Secondo gli ultimi dati ISTAT, gli uomini italiani sono i papà “più vecchi” d’Europa: il primo figlio arriva mediamente dopo i 35 anni d’età. Con l’avanzare dell’età aumenta infatti anche la quantità di danni al DNA spermatico. Così già dai 34 anni in su, i danni accumulati possono impedire il concepimento o aumentare le probabilità di tramandare ai figli difetti genetici, legati a patologie nell’infanzia e anche in età adulta. E’ di pochi giorni fa l’appello degli specialisti della Società Italiana di Andrologia affinché la crioconservazione del seme sia resa più accessibile, all’interno del SSN, agli uomini che per diverse ragioni debbano posticipare la ricerca di paternità.

Se posso fare una considerazione personale, ritengo che tra quelle ragioni, si trovi in posizione preminente, se non al primo posto, la precarietà del posto di lavoro. Garantire ai/alle nostri/e giovani la necessaria stabilità di un lavoro equamente retribuito, per poter affrontare con sufficiente serenità il meraviglioso ma impegnativo progetto di avere un figlio, darebbe a mio avviso un forte stimolo alle nascite. In tal senso, il Centro più importante per lo studio e la cura dell’infertilità degli italiani potrebbe essere in verità il Ministero del Lavoro.

Anche misure sociali che stimolino una più rapida e vera integrazione delle popolazioni immigrate e/o dei loro figli/e con una cittadinanza ottenibile in un numero ragionevole di anni ed un aumento di unioni interetniche potrebbero contrastare il nostro declino demografico. Ricordiamo che al di là di paure irrazionali, il mescolamento di geni e culture diverse sono fattori che irrobustiscono la salute fisica e mentale delle popolazioni.

L’Associazione Luca Coscioni, ha lavorato con giuristi ed esperti ad un disegno di legge che fu depositato nella XVI legislatura per la conservazione di gameti umani e tessuto gonadico, procedure in parte invasive per le persone che vogliano ricorrervi e che vanno sostenute da parte dello Stato. Ad oggi solo la parte del tessuto gonadico è prevista e in vigore. Il nostro auspicio è che possa essere prevista la preservazione della fertilità per tutti coloro che in età fertile vogliano effettuarla a carico del SSN, nell’ambito dei provvedimenti che verranno adottati per il miglioramento del futuro demografico dell’Italia. Vorremmo evidenziarne il principio: per la sua importanza in un Paese con un tasso di natalità basso come il nostro, la preservazione della salute riproduttiva dovrebbe dipendere unicamente dalla scelta delle persone che desiderano un figlio o una figlia, da nient’altro.

L'articolo Per la Fertilità e la Vita proviene da Associazione Luca Coscioni.

We have all suffered from this; the boss wants you to compile a report on the number of paper clips and you’re crawling up the wall with boredom, so naturally your mind strays to other things. You check social media, or maybe the news, and before you know it a while has been wasted. [Neil Chen] came up with a solution, to configure a cheap smart plug with a script to block his diversions of choice.

The idea is simple enough, the plug is in an outlet that requires getting up and walking a distance to access, so to flip that switch you’ve really got to want to do it. Behind it lives a Python script that can be found in a Git Hub repository, and that’s it! We like it for its simplicity and ingenuity, though we’d implore any of you to avoid using it to block Hackaday. Some sites are simply too important to avoid!

Of course, if distraction at work is your problem, perhaps you should simply run something without it.

hackaday.com/2025/06/27/a-chea…

Prendi una Fiat Panda seconda serie del 2003, con 140.000 km sul groppone, il classico motore Fire 1.1, e nessuna dotazione moderna. Ora immagina di trasformarla in una specie di Cybertruck in miniatura, con fari LED stampati in 3D, infotainment touchscreen, comandi da astronave e una connessione satellitare globale.

No, non è una puntata di Black Mirror, è tutto vero. Si chiama Cyberpandino, ed è il progetto assurdo (e geniale) di due sviluppatori romani, Matteo e Roberto, che hanno deciso di iscriversi al Mongol Rally 2025 ,

Red Hot Cyber, essendo sempre pronta per le sfide epiche e impossibili, ha supportato questo “Magic Team”, in questa folle corsa da 14.000 km tra Europa e Asia con mezzi improbabili e zero assistenza ma ad alta tecnologia.

Avete capito proprio bene, tutto questo a bordo di una Panda da 800 euro acquistata a Roma e trasformata, nel tempo libero, in un laboratorio viaggiante open source.

Dietro il cofano: un Raspberry Pi 4B e un mondo di sensori

Il cuore tecnologico del Cyberpandino è una Raspberry Pi 4B, collegata a tutto ciò che può essere sensato (o totalmente folle) mettere su una vecchia utilitaria:

• OBD2: per leggere in tempo reale parametri come giri motore, temperatura, errori diagnostici e tensione batteria.
• Sensori IMU: accelerometro, giroscopio, magnetometro – la macchina sa sempre come si sta muovendo nello spazio, tipo navetta spaziale.
• Modulo GPS: tracking preciso e continuo, utile sia per la navigazione che per raccontare il viaggio.
• Sensori ambientali: qualità dell’aria, temperatura interna/esterna, umidità, VOC… praticamente una stazione meteo su quattro ruote.
• Camere USB ultragrandangolari: per creare una sorta di vista top-down 3D, utile nelle manovre strette (e per fare scena).
• Antenna satellitare Telespazio: Internet via satellite, anche nei deserti più remoti. Letteralmente ovunque.

Tutti questi dati vengono gestiti e sincronizzati da un sistema basato su Node.js, che fa da backend tra la Raspberry e l’interfaccia utente sviluppata in React.js.

L’interfaccia: niente Android Auto, qui c’è Panda OS

La UI principale è una dashboard React minimalista, pensata per essere leggibile anche sotto il sole a picco. Touch-friendly, con uno stile retrò-tech che sembra uscito da una console da battaglia degli anni ’80. Tutto gira su un sistema operativo leggero, basato su Raspberry Pi OS Lite, con servizi custom sviluppati in Node e script bash per il controllo di ogni componente.

Il secondo schermo mostra strumenti analogici digitalizzati in stile aeronautico, con informazioni come assetto, inclinazione del veicolo e stato dei sensori. E sì, c’è anche l’infotainment, con mappe offline, musica, videogiochi e qualche easter egg da nerd DOC.

Estetica da meme, cuore da maker

Esternamente il Cyberpandino prende in giro il Cybertruck: carrozzeria verniciata con vernice per cancelli, inserti neri, linee spigolose e grafiche rivisitate. Ma dietro l’ironia c’è una cura tecnica notevole: motore smontato e ricondizionato, sospensioni rinforzate, taniche di scorta, impianto LED completo e cablaggio interamente rifatto.

Tutto è stato realizzato in garage, con pezzi aftermarket trovati online, budget ridotto all’osso e tanto tempo passato a saldare, testare, riprovare.

Sempre connessi, anche nel nulla

Il punto di svolta è stato l’arrivo della collaborazione con Telespazio, che ha fornito un’antenna satellitare professionale. Questo permette alla Panda di rimanere connessa 24/7 ovunque: upload dei dati, backup, live tracking, aggiornamenti social e persino chiamate VoIP, tutto possibile anche in mezzo al Pamir.

E ovviamente, ogni metro percorso viene documentato in tempo reale su TikTok e Instagram (@cyberpandino), dove il progetto ha già conquistato una discreta community.

Quando l’auto è solo una scusa per imparare (e divertirsi)

Il Cyberpandino non vincerà nessuna gara, ma non è questo il punto. È una dichiarazione d’intenti: con un po’ di fantasia, spirito maker e competenze tecniche, si può trasformare anche una Panda del 2003 in qualcosa di straordinario.

È la dimostrazione che la tecnologia non serve solo a fare profitto o startup: può essere anche gioco, sperimentazione, racconto. E soprattutto: può far sognare.

L'articolo Due sviluppatori, una Panda, 14.000 km e zero paura! Cosa ne esce fuori? Nerd in fuga a tutto Open Source! proviene da il blog della sicurezza informatica.

The next “Brandung-Live” will be on 29.06.2025 at 20.00h CEST/DST.

News from Potsdam, Brandenburg, the Pirates of Germany and international news – in German.

If you want to join the conversation, just contact info@PiratesOnAir.net.

piratesonair.net/brandung-live…

I criminali informatici hanno iniziato adutilizzare attivamente una vulnerabilità criticache consente loro di ottenere il controllo completo di migliaia di server, compresi quelli che eseguono compiti chiave nei data center. Questo è quanto avverte l’Agenzia per la sicurezza informatica e la sicurezza delle infrastrutture degli Stati Uniti.

Il problema è stato rilevato nel firmware AMI MegaRAC Baseboard Management Controller (BMC) sviluppato da American Megatrends International (AMI), utilizzato per la gestione remota di grandi parchi di server. Questo firmware è integrato nei microcontrollori sulle schede madri. Consentono agli amministratori di eseguire operazioni anche quando il sistema operativo non è in funzione o l’alimentazione è disattivata.

Attraverso questi controller, è possibile reinstallare i sistemi operativi, modificare le configurazioni e avviare applicazioni senza accesso fisico al server. Basta compromettere un solo controller per accedere alla rete interna e agli altri dispositivi dell’infrastruttura.

La vulnerabilità ha ottenuto l’identificatore CVE-2024-54085 e una valutazione massima di pericolo – 10/10. La sua essenza è che un aggressore può aggirare l’autenticazione semplicemente inviando una richiesta HTTP speciale al dispositivo vulnerabile. La vulnerabilità è stata rilevata dalla società Eclypsium e segnalata a marzo, con un exploit funzionante che consente di creare un account amministratore senza password. A quel tempo, non erano note attacchi reali.

Il 26 giugno, la vulnerabilità è stata inclusa nella lista ufficiale delle vulnerabilità sfruttate da CISA, il che indica l’inizio degli attacchi reali. Non sono stati resi noti dettagli su quanto sta accadendo, ma Eclypsium ritiene che la portata possa essere seria.

Secondo loro, gli aggressori possono utilizzare le vulnerabilità per inserire codice dannoso direttamente nella firmware BMC. Ciò rende l’attacco praticamente invisibile e il malware può sopravvivere anche alla reinstallazione del sistema o alla sostituzione dei dischi. Tali attacchi aggirano gli antivirus e i sistemi di monitoraggio e consentono inoltre di accendere, spegnere o riavviare il server indipendentemente dallo stato del sistema operativo.

È inoltre possibile rubare le credenziali, utilizzare il server come punto di ingresso nella rete rimanente e persino danneggiare la firmware per disabilitare l’apparecchiatura. Tutto ciò rende la minaccia particolarmente seria per le infrastrutture aziendali e cloud.

L'articolo 10 su 10! Ora i criminali creano account Admin senza password sui server. Il CISA Avverte proviene da il blog della sicurezza informatica.

rieccomi con qualche piccola e deludente novità. Da ieri pomeriggio ho il tanto agognato contratto!
Inizialmente mi era stato "promesso" un contratto di un anno all'80% . Ero contenta, un giorno in più libero non mi fa schifo, e lo stipendio è sufficiente per me.
Poi però si è tramutato in "per il momento possiamo offrirti solo 9 mesi sempre all'80%", ma niente contratto da 10 giorni...
Infine ieri mi è stato detto che purtroppo per una serie disguidi e malfunzionamenti, il contratto me lo possono fare solo fino a dicembre 2025.

Bah, la mia prima reazione è stata quello di rifiutare.
Poi il mio superiore mi ha chiamata nel suo ufficio, si è scusato mille volte e mi ha spiegato che sta facendo di tutto per tramutare il mio contratto in uno a tempo indeterminato, perché anche se sono lì da poco, ho già dimostrato di essere una valida risorsa, e lui ci tiene a valorizzare le persone meritevoli.
Sono volubile e ho detto ok (anche se, a dire tutta la verità non ho ancora firmato nulla).

Scherzi a parte, fino a dicembre mi terrò questo lavoro, almeno posso pagare l'affitto. Intanto continuo la mia formazione e studio, così da poter seguire i miei sogni. 🙃

Ora vado, parrucchiere, medico e poi giornata in spiaggia (del fiume) con la nipotina! #proudaunt

#lavoro #contratto #delusione