Dai primi mesi del 2025, gli esperti di sicurezza hanno registrato un aumento esponenziale degli attacchi informatici a livello globale, con oltre 125.000 tentativi di sfruttamento in più di 70 paesi, riguardanti le vulnerabilità di Apache Tomcat e Apache Camel. Queste falle di sicurezza, identificate come CVE-2025-24813 per Apache Tomcat e CVE-2025-27636 e CVE-2025-29891 per Apache Camel, permettono l’esecuzione remota di codice, configurandosi come minacce considerevoli per le organizzazioni che impiegano queste piattaforme Java di ampio utilizzo.

A partire dalla loro divulgazione, avvenuta nel marzo 2025, i malintenzionati hanno cominciato ad approfittare delle debolezze critiche presenti in queste soluzioni, mettendo a rischio la sicurezza delle imprese che le adottano. I ricercatori di Palo Alto Networks hanno individuato un drammatico aumento dei tentativi di sfruttamento subito dopo la divulgazione pubblica delle vulnerabilità, con un picco di frequenza degli attacchi.

I sistemi di telemetria dell’azienda di sicurezza hanno bloccato 125.856 sonde, scansioni e tentativi di exploit, di cui 7.859 specificamente mirati alla vulnerabilità di Tomcat. Apache Tomcat, la popolare piattaforma di server web che consente applicazioni web basate su Java, è vulnerabile tramite CVE-2025-24813, che colpisce le versioni da 9.0.0.M1 a 9.0.98, da 10.1.0-M1 a 10.1.34 e da 11.0.0-M1 a 11.0.2. La falla sfrutta la funzionalità PUT parziale di Tomcat combinata con le caratteristiche di persistenza della sessione, consentendo agli aggressori di manipolare i file di sessione serializzati e di ottenere l’esecuzione di codice arbitrario .

Apache Camel, un framework di integrazione per la connessione di sistemi diversi, soffre di due vulnerabilità correlate che consentono agli aggressori di aggirare i meccanismi di filtraggio delle intestazioni tramite tecniche di manipolazione con distinzione tra maiuscole e minuscole.

Due fasi dell’exploit (Fonte – Palo Alto Networks)

L’analisi dei modelli di attacco rivela sia strumenti di scansione automatizzati sia tentativi di sfruttamento attivi, con molti attacchi che sfruttano il framework Nuclei Scanner disponibile gratuitamente. Il panorama delle minacce si è evoluto rapidamente dalle prime divulgazioni, con exploit proof-of-concept diventati pubblici subito dopo il rilascio delle patch di sicurezza da parte di Apache.

La facilità di sfruttamento ha abbassato la barriera per gli autori delle minacce meno sofisticati, rendendo queste vulnerabilità particolarmente pericolose per le organizzazioni che non hanno applicato gli aggiornamenti necessari. La vulnerabilità CVE-2025-24813 sfrutta un sofisticato processo di attacco in due fasi che sfrutta la gestione da parte di Tomcat delle richieste PUT parziali con intestazioni Content-Range.

La distribuzione iniziale del payload richiede configurazioni server specifiche, tra cui un parametro di sola lettura disabilitato e la persistenza della sessione abilitata. Quando queste condizioni sono soddisfatte, Tomcat salva il codice serializzato dell’aggressore in due posizioni: un normale file di cache nella directory webapps e un file temporaneo con un punto iniziale nella directory di lavoro. Il processo di sfruttamento si conclude quando l’aggressore invia una richiesta HTTP GET di follow-up contenente un valore cookie JSESSIONID accuratamente creato che innesca la deserializzazione del codice dannoso memorizzato nella cache.

L'articolo Vulnerabilità critiche in Apache Tomcat e Apache Camel vengono sfruttate attivamente proviene da il blog della sicurezza informatica.

I ricercatori dell’Università della Carolina del Nord hanno sviluppato un nuovo metodo per ingannare i sistemi di intelligenza artificiale che analizzano le immagini. Il metodo, chiamato RisingAttacK, può indurre l’IA a “non vedere” oggetti chiaramente presenti in una fotografia. L’essenza della tecnologia risiede in cambiamenti nell’immagine impercettibili all’occhio umano. Due immagini possono sembrare perfettamente identiche, ma l’IA vedrà l’auto solo in una delle due e non nella seconda. Allo stesso tempo, una persona vedrà facilmente l’auto in entrambe le foto.

Tali attacchi potrebbero rappresentare gravi rischi per la sicurezza nelle aree in cui vengono utilizzati sistemi di visione artificiale . Ad esempio, gli aggressori potrebbero impedire a un’auto a guida autonoma di riconoscere semafori, pedoni o altre auto sulla strada. Tali influenze in campo medico non sono meno pericolose. Gli hacker possono iniettare codice in un apparecchio a raggi X , il che porterebbe a diagnosi imprecise da parte di un sistema di intelligenza artificiale. Anche le tecnologie di sicurezza basate sul riconoscimento automatico di pattern sono a rischio.

RisingAttacK funziona in diverse fasi. Innanzitutto, il programma identifica tutte le caratteristiche visive dell’immagine, quindi determina quali di esse sono più importanti per raggiungere l’obiettivo dell’attacco. Questo richiede potenza di calcolo, ma consente modifiche molto precise e minime. “Volevamo trovare un modo efficace per hackerare i sistemi di visione artificiale perché vengono spesso utilizzati in contesti che possono avere un impatto sulla salute e la sicurezza umana”, spiega Tianfu Wu, uno degli autori dello studio.

Gli sviluppatori hanno testato il loro metodo con quattro dei programmi di visione artificiale più comuni: ResNet-50, DenseNet-121, ViTB e DEiT-B. La tecnologia si è dimostrata efficace su tutti i sistemi, senza eccezioni. I ricercatori sottolineano l’importanza di identificare tali vulnerabilità. Solo conoscendo l’esistenza di una minaccia è possibile sviluppare una protezione affidabile contro di essa. Pertanto, il team sta già lavorando alla creazione di metodi per contrastare tali attacchi .

I ricercatori stanno ora esplorando la possibilità di utilizzare RisingAttacK contro altri tipi di sistemi di intelligenza artificiale, compresi i grandi modelli linguistici, per comprendere la portata completa delle potenziali minacce .

L'articolo RisingAttacK: Quando con un exploit l’intelligenza artificiale diventa cieca proviene da il blog della sicurezza informatica.

Hunters International, il gruppo responsabile di uno dei più grandi attacchi ransomware degli ultimi anni, ha annunciato ufficialmente la cessazione delle sue attività. In una dichiarazione pubblicata sul suo portale darknet, il gruppo ha dichiarato di voler cessare le attività e di offrire strumenti gratuiti per decriptare i dati delle aziende colpite.

Secondo il gruppo criminale, questa decisione è stata presa dopo un’analisi approfondita ed è legata a eventi recenti, i cui dettagli non sono stati divulgati. Tuttavia, è noto che già a novembre 2024 i criminali informatici avevano annunciato l’intenzione di ridurre le loro attività a causa del crescente interesse da parte delle forze dell’ordine e della diminuzione della redditività degli attacchi.

Chiusura del progetto e software di decodifica gratuito per le aziende interessate.
Noi di Hunters International desideriamo informarvi di una decisione importante che riguarda le nostre attività. Dopo un’attenta considerazione e alla luce dei recenti sviluppi, abbiamo deciso di chiudere il progetto Hunters International. Questa decisione non è stata presa a cuor leggero e ci rendiamo conto dell’impatto che ha sulle organizzazioni con cui abbiamo interagito.
Come gesto di buona volontà e per aiutare coloro che sono stati colpiti dalle nostre precedenti attività, stiamo offrendo un software di decriptazione gratuito a tutte le aziende che sono state colpite dal nostro ransomware. Il nostro obiettivo è garantire che possiate recuperare i vostri dati criptati senza dover pagare riscatti.
Siamo consapevoli delle sfide che gli attacchi ransomware pongono e speriamo che questa iniziativa vi aiuti a recuperare l’accesso alle vostre informazioni critiche in modo rapido ed efficiente. Per accedere agli strumenti di decriptazione e ricevere indicazioni sul processo di recupero, visitate il nostro sito web ufficiale.
Apprezziamo la vostra comprensione e collaborazione durante questa transizione. Il nostro impegno a sostenere le organizzazioni colpite rimane la nostra priorità mentre concludiamo le nostre operazioni.

Come “gesto di buona volontà”, Hunters International promette di fornire a tutte le aziende colpite strumenti gratuiti per recuperare i dati crittografati. Anche la pagina compromettente del loro sito web, che in precedenza pubblicava i dati delle vittime che si erano rifiutate di pagare il riscatto, è stata completamente cancellata. Qualsiasi organizzazione attaccata dal gruppo può richiedere programmi di decifratura e istruzioni su come recuperare le informazioni.

Vale la pena notare che ad aprile gli specialisti del Group-IB hanno segnalato la riformattazione di Hunters International e il lancio di un nuovo progetto chiamato World Leaks, incentrato esclusivamente sul furto di dati e sulla successiva estorsione. A differenza dell’approccio precedente, in cui i criminali informatici combinavano la crittografia dei dati con la fuga di dati, il nuovo schema prevedeva solo il furto di informazioni utilizzando il proprio strumento di esfiltrazione. Si dice che questo strumento sia una versione migliorata del sistema precedentemente utilizzato dai membri di Hunters International.

Hunters International è apparso sulla scena della criminalità informatica alla fine del 2023 e ha immediatamente attirato l’attenzione degli esperti. Gli esperti hanno quindi attirato l’attenzione sulla somiglianza del loro codice di programmazione con il malware precedentemente utilizzato da un altro noto gruppo, Hive, il che ha dato origine a speculazioni su un possibile rebranding. In meno di due anni di attività, Hunters International è riuscita ad attaccare quasi 300 organizzazioni in tutto il mondo, tra cui grandi aziende e medie imprese. L’importo del riscatto variava da diverse centinaia di migliaia a milioni di dollari, a seconda delle dimensioni dell’azienda colpita.

Tra le vittime più note del gruppo figurano entità come l’ US Marshals Service , la società giapponeseHoya , Tata Technologies , la catena nordamericana di concessionarie auto AutoCanada, l’appaltatore della Marina statunitense Austal USA e la più grande organizzazione medica no-profit dello stato dell’Oklahoma, Integris Health. Inoltre, nel dicembre 2024, alcuni criminali informatici hanno hackerato il Fred Hutch Cancer Center negli Stati Uniti, minacciando di pubblicare i dati di oltre 800.000 pazienti se la direzione dell’istituto non avesse accettato le loro condizioni.

Il ransomware Hunters International era pericoloso perché supportava un’ampia gamma di sistemi operativi e architetture. Il malware può essere eseguito su server Windows, Linux, FreeBSD, SunOS e VMware ESXi, e supporta anche piattaforme x64, x86 e ARM. Nonostante la dichiarazione ufficiale sulla cessazione delle attività, gli esperti ritengono che i criminali informatici possano continuare gli attacchi sotto un nuovo nome o all’interno di altri gruppi, cosa che è già accaduta più volte in un simile contesto.

L'articolo Dopo aver criptato mezzo mondo, Hunters International chiude! Distribuito gratuitamente il Decryptor proviene da il blog della sicurezza informatica.

These days ‘AI’ is everywhere, including in software development. Coming hot on the heels of approaches like eXtreme Programming and Pair Programming, there’s now a new kind of pair programming in town in the form of an LLM that’s been digesting millions of lines of code. Purportedly designed to help developers program faster and more efficiently, these ‘AI programming assistants’ have primarily led to heated debate and some interesting studies.

In the case of [Jj], their undiluted feelings towards programming assistants like GitHub Copilot burn as brightly as the fire of a thousand Suns, and not a happy kind of fire.

Whether it’s Copilot or ChatGPT or some other chatbot that may or may not be integrated into your IDE, the frustration with what often feels like StackOverflow-powered-autocomplete is something that many of us can likely sympathize with. Although [Jj] lists a few positives of using an LLM trained on codebases and documentation, their overall view is that using Copilot degrades a programmer, mostly because of how it takes critical thinking skills out of the loop.

Regardless of whether you agree with [Jj] or not, the research so far on using LLMs with software development and other tasks strongly suggests that they’re not a net positive for one’s mental faculties. It’s also important to note that at the end of the day it’s still you, the fleshy bag of mostly salty water, who has to justify the code during code review and when something catches on fire in production. Your ‘copilot’ meanwhile gets off easy.

hackaday.com/2025/07/04/why-gi…

Here’s a clever hack. Simple, elegant, and eminently cost-effective: using an SMD capacitor to hold your flash media in place!

This is a hack that can pretty much be summed up with just the image at the top of the page — a carefully placed SMD capacitor soldered to a routed tab makes for an extremely cost effective locking mechanism for the nearby SD card slot. There’s just enough flexibility to easily move the capacitor when its time to insert or eject your media.

It’s worth noting that the capacitor in this example doesn’t even appear to be electrically connected to anything. But there’s also no reason you couldn’t position one of the capacitors in your existing bill of materials (BOM). This form of mechanical support will be much cheaper than special purpose clips or mounts. Not a big deal for low-volume projects, but if you’re going high-volume this is definitely something to keep in mind.

If you’re just getting started with SMD capacitors then one of the first things to learn is how to solder them. Also, if you’re hoping to salvage them then try to look for newer equipment which is more likely to have SMD components than through-hole. If you’re planning to use your capacitors for… “capacitance” (how quaint), you can start by learning the basics. And if you want to know everything you can learn about the history of capacitors, too.

Thanks to [JohnU] for writing in to let us know about this one. Have your own natty hacks? Let us know on the tipsline!

hackaday.com/2025/07/04/smd-ca…

Microsoft ha annunciato che la sua soluzione di sicurezza basata su cloud Defender per Office 365 (in precedenza Office 365 Advanced Threat Protection o Office 365 ATP) rileverà e bloccherà automaticamente gli attacchi di email bombing. Defender per Office 365 è progettato per proteggere le organizzazioni che operano in settori ad alto rischio e che devono far fronte alle minacce avanzate provenienti da attacchi correlati a e-mail, collegamenti e strumenti di collaborazione.

La funzionalità Mail Bombing inizierà a essere implementata a fine giugno 2025 e dovrebbe essere disponibile per tutte le organizzazioni entro la fine di luglio. La funzionalità sarà abilitata per impostazione predefinita, non richiederà alcuna configurazione manuale e invierà automaticamente tutti i messaggi di Mail Bombing alla cartella Posta indesiderata.

“Introduciamo una nuova funzionalità in Microsoft Defender per Office 365 che aiuterà a proteggere la tua organizzazione da una minaccia crescente nota come email bombing”, scrivono gli sviluppatori. “Questa forma di abuso inonda le caselle di posta con grandi volumi di email, nascondendo messaggi importanti e sovraccaricando i sistemi. La nuova funzionalità Mail Bombing rileva e blocca automaticamente questi attacchi, aiutando i team di sicurezza a monitorare le minacce reali.”

Mail Bombing è disponibile anche per analisti e amministratori come nuovo tipo di rilevamento in Threat Explorer, nella pagina Email, nel pannello Riepilogo Email e in Advanced Hunting. L’email bombing viene in genere utilizzato per inondare le caselle di posta delle vittime con migliaia o decine di migliaia di messaggi in pochi minuti. Questo viene fatto iscrivendo la vittima a un gran numero di invii o utilizzando speciali servizi di hackeraggio in grado di inviare enormi quantità di email.

Nella maggior parte dei casi, l’obiettivo finale degli aggressori è sovraccaricare i sistemi di sicurezza, e questi attacchi vanno solitamente di pari passo con l’ingegneria sociale. Ad esempio, in passato, il gruppo ransomware BlackBasta ha utilizzato questa tattica inondando le caselle di posta delle vittime di email pochi minuti prima dell’attacco.

Sono seguite le chiamate di phishing vocale, in cui gli hacker criminali si spacciavano per agenti dell’help desk hanno ingannato i dipendenti delle organizzazioni prese di mira, convincendoli a concedere loro l’accesso remoto ai dispositivi tramite AnyDesk o Windows Quick Assist. L’email bombing è stato recentemente utilizzato anche dagli operatori del ransomware 3AM e dagli aggressori associati al gruppo di hacker FIN7.

L'articolo Microsoft Defender per Office 365 a breve bloccherà gli attacchi di email bombing proviene da il blog della sicurezza informatica.

Negli Stati Uniti è stato aperto un procedimento penale contro il 24enne Noah Lamb, che gli inquirenti ritengono sia uno degli organizzatori di un complotto per uccidere alti funzionari e altre personalità note. Secondo l’accusa, Lamb, insieme ad altri membri del gruppo estremista, avrebbe stilato una lista di persone da eliminare. Secondo l’inchiesta, questa lista includeva dipendenti di enti governativi federali, regionali e locali, nonché dirigenti di grandi aziende e organizzazioni pubbliche.

Le vittime non sono state scelte a caso. Le persone sono state incluse in base alla loro razza, religione, origine nazionale, orientamento sessuale o identità di genere. Il caso sarà processato nel distretto orientale della California, dove Lamb è accusato. Il sospettato è legato al movimento radicale Terrorgram Collective. Questo gruppo estremista di estrema destra è stato designato organizzazione terroristica dall’amministrazione Biden all’inizio del 2025.

Terrorgram utilizza attivamente Telegram per diffondere propaganda e coordinare le azioni. L’ideologia del gruppo si basa sul concetto di superiorità razziale e incita alla violenza basata sull’etnia o sulla religione. Anche le autorità britanniche e australiane hanno aggiunto questo movimento alle loro liste di gruppi proibiti. L’indagine su Lamb nasce dall’arresto di due presunti leader del gruppo avvenuto lo scorso autunno, quando le forze dell’ordine hanno preso in custodia Dallas Humber, 34 anni, della California, e Matthew Allison, 37 anni, dell’Idaho.

Furono accusati di aver creato una lista “nera” simile, di aver incitato a omicidi, di aver incitato all’odio etnico e di aver sostenuto altre strutture terroristiche. Ciò includeva la distribuzione di istruzioni su come fabbricare ordigni esplosivi. L’identità delle presunte vittime coinvolte nelle indagini su Lamb e sui suoi complici non è stata resa pubblica ufficialmente, ma è noto che si tratta di persone di notevole levatura sociale o politica.

Secondo il Dipartimento di Giustizia degli Stati Uniti, Lamb deve rispondere di otto capi d’accusa, tra cui cospirazione, istigazione all’omicidio di dipendenti federali, pubblicazione di informazioni personali di funzionari governativi e minacce nei loro confronti. Il vice procuratore generale John Eisenberg ha sottolineato che le reti criminali internazionali che diffondono idee radicali e pianificano omicidi rappresentano una minaccia diretta per la società e saranno perseguite con il massimo rigore previsto dalla legge. Se condannato, Lamb rischia fino a 85 anni di carcere. Il processo si terrà in California.

Le forze dell’ordine hanno parlato per la prima volta del Terrorgram Collective nel 2017. Gli ideologi del gruppo sono convinti che una serie di attacchi e atti terroristici potrebbero provocare un conflitto razziale, distruggere le istituzioni di potere esistenti e portare alla creazione di uno stato etnocratico.

Il canale Telegram principale invia regolarmente ai partecipanti materiale che incita ad attaccare oppositori politici e minoranze. Distribuisce inoltre istruzioni su come preparare gli attacchi ed elenchi di obiettivi prioritari, tra cui infrastrutture strategiche. L’indagine ha già collegato i membri di Terrorgram a reati specifici. Lo scorso luglio, il gruppo stava preparando un attacco a impianti energetici nel New Jersey. Ad agosto, si è verificato un accoltellamento in una moschea in Turchia. E nell’autunno del 2022, si è verificata una sparatoria nei pressi di un bar frequentato da membri della comunità LGBT in Slovacchia.

L'articolo Terrorgram Collective: 24enne accusato di complotto per uccidere funzionari rischia 85 anni proviene da il blog della sicurezza informatica.

You could use a little pocket-sized Pez dispenser if you’re a humble, reserved person. Or, you could follow the example of [Backhaul Studios], and build a dangerously powerful blaster that shoots Pez fast enough to shatter them into pieces. Just don’t aim it at your own mouth.

As the video explains, Pez is really the perfect candy for this application. It’s compact, hard, and already designed to be dispensed via a magazine. It’s thus not a big stretch to set it up to be fired out of a pistol-like blaster. The build is of the flywheel type, where a pair of counter-rotating wheels fling the candy out at great speed. The wheels themselves are spun up to high speed with a pair of small brushless motors, running off hobby speed controllers and lithium-ion batteries. A simple trigger mechanism dispenses the rectangular candies into the wheel mechanism, sending them flying out of the blaster at will. It’s all 3D-printed, designed specifically for the purpose of high-speed candy delivery.

The video goes into great detail on the design, from the development of the TPU treads on the flywheels and other details that helped improve the effectiveness of the design. The final build shoots Pez fast enough that they practically detonate upon hitting a surface.

We’ve featured some innovative work in this space from [Backhaul Studios] before—the condiment cannon was really quite something. Video after the break.

youtube.com/embed/wibRAZ_pmeY?…

hackaday.com/2025/07/03/pez-bl…

È stata scoperta una vulnerabilità nel plugin Forminator per WordPress che consente l’eliminazione non autorizzata di file arbitrari, il che potrebbe portare al controllo completo del sito vulnerabile. Al problema è stato assegnato l’identificatore CVE-2025-6463 (8,8 punti sulla scala CVSS) e riguarda tutte le versioni di Forminator fino alla 1.44.2. Il bug è stato scoperto da un ricercatore soprannominato Phat RiO – BlueRock, che lo ha segnalato a Wordfence il 20 giugno 2025. Lo specialista ha ricevuto una ricompensa di 8.100 dollari per aver scoperto questa vulnerabilità.

Forminator, creato da WPMU DEV, è un generatore di moduli di pagamento, moduli di contatto, moduli di feedback, moduli di quiz, moduli di sondaggio e questionari per siti WordPress. Il plugin utilizza una semplice funzionalità drag-and-drop e offre ampie possibilità di integrazione con terze parti. Secondo le statistiche di WordPress.org , il plugin è attualmente installato e attivo su 600.000 siti.

La vulnerabilità scoperta è correlata a una convalida e sanificazione degli input insufficienti, nonché a una logica di eliminazione dei file non sicura nel codice backend del plugin. Pertanto, quando un utente invia un modulo, la funzione save_entry_fields() salva tutti i valori dei campi, inclusi i percorsi dei file, senza verificare se questi campi debbano funzionare con i file.

Un aggressore può quindi sfruttare questo comportamento per iniettare un array di file appositamente creato in un campo qualsiasi (anche un campo di testo), simulando un file caricato con un percorso personalizzato, ad esempio puntando al file critico /var/www/html/wp-config.php.

Se l’amministratore elimina manualmente tale record (o se è abilitata l’eliminazione automatica dei vecchi record), Forminator cancellerà questo file di sistema di WordPress, dopodiché il sito entrerà in modalità di configurazione iniziale e diventerà vulnerabile agli attacchi. “Rimuovendo wp-config.php il sito entra in uno stato di configurazione che consente a un aggressore di avviare un’acquisizione del sito collegandolo a un database sotto il suo controllo”, spiega Wordfence.

Il 30 giugno, gli sviluppatori del plugin hanno rilasciato una versione patchata, la 1.44.3, che ha aggiunto un controllo per il tipo di campo e il percorso del file. Questo garantisce che le eliminazioni siano limitate alla sola directory di caricamento di WordPress. Da quando è stata rilasciata la patch, il plugin è stato scaricato circa 200.000 volte, ma non si sa quante installazioni siano ancora vulnerabili a CVE-2025-6463.

Si consiglia a tutti gli utenti di Forminator di aggiornare il prima possibile alla versione più recente o di disattivare il plugin finché la patch non sarà installata.

L'articolo Vulnerabilità Forminator: 600.000 siti WordPress a rischio proviene da il blog della sicurezza informatica.