Another alarming discovery in the cyber-security landscape shakes the internet. A threat actor put on sale (on BreachForum) a dangerous 0-day vulnerability affecting the Google Chrome browser. This flaw, named “Sandbox RCE”, allows for arbitrary code execution with high privileges, exposing vulnerable systems to an elavated risk.

VULNERABILITY DETAILS

The advertisement specifies that the vulnerability has been tested on two distincts Chrome versions (126.0.6478.128 and 126.0.6478.127) and the targets Windows OS systems (version 21H1 e 21H2). A RCE is a critical vulnerability that permits a bad actor to execute malicious code on a target device remotely, without the victim’s knowledge. The threat is amplified because it bypass the browser’s sandbox, an enviroment designed to isolate browser’s processes from accessing the OS.

PAYMENT METHODS

In the sale announcement the seller states “Selling Chome Sandbox Escape RCE in chrome”, including the price fixed at 1.000.000 USD. The only payment methods allowed are Monero (XMR) or Bitcoin (BTC), cryptocurrency use grant anonymous payments. The elevated cost suggests thatan highly reliable and powerful exploit.

THE MIDDLE MAN

A well-known threat actor called IntelBroker would act as middleman making easy the payment and exploit delivery. Moreover a middleman should provide trust and transparency incentivizing the purchase. This specific couple of buyre and middle-man are the same that provided another advertisment for a Linux Kernel 0-day a few days ago.

SECURITY MEASURES

0-day vulnerabilities define the biggest threat in the digital space, this flaw are unknown to the product supplier and the patch cannot be developed until a proof of the vulnerability gets uncovered. In the context of the Chrome Browser’s Sandbox the potential bypass of the safeguars and the possibility of execute code at OS level expose systems to an high risk. Every user and company should implement available security measures to protect their system. Sharing and collaboration of information inside the infosec community are essential to face dangerous threat like 0-days in an efficient way.

CONCLUSION

Chrome is the most used web browser in the world, with a market share >60%. This means the potential victims range is really wide. Regular updates, security softwareand common sense are required to avoid to be caught by this exploit. Regardless all the mitigation measures active in systems we must remember the zero risk doesn’t exist.

L'articolo 0-day SandBox RCE in Google Chrome on Sale! proviene da il blog della sicurezza informatica.

Negli ultimi mesi, la comunità della sicurezza informatica ha scoperto un nuovo worm noto come P2PInfect che ha iniziato a prendere di mira i server Redis vulnerabili. Questo malware non solo si diffonde rapidamente attraverso una rete peer-to-peer, ma sfrutta anche una vulnerabilità critica per stabilire un controllo persistente sui sistemi infetti. Il worm rappresenta una minaccia significativa sia per i server Linux che Windows, e il suo comportamento sofisticato richiede attenzione immediata da parte degli amministratori di sistema per prevenire possibili compromissioni. Ecco una panoramica dettagliata di come opera P2PInfect e le misure necessarie per mitigare questa minaccia.

Caratteristiche del Worm P2PInfect

P2PInfect è scritto in Rust, un linguaggio che facilita la sua operatività su piattaforme sia Windows che Linux. Il malware sfrutta una vulnerabilità di sandbox escape di Lua (CVE-2022-0543), che consente l’esecuzione di codice remoto sui server Redis vulnerabili. La sua capacità di replicarsi in un ambiente distribuito gli permette di creare una rete peer-to-peer (P2P), eliminando la necessità di un server di controllo centralizzato e rendendo più complesso il tracciamento e l’interruzione delle sue attività​ (SecurityWeek)​​ (SOCRadar® Cyber Intelligence Inc.)​.

Dettagli sulla CVE-2022-0543

CVE-2022-0543 è una vulnerabilità critica che affligge Redis, un database in-memory molto popolare. Questa vulnerabilità è una “sandbox escape” che consente agli attaccanti di eseguire codice arbitrario sul server vulnerabile.

Descrizione della Vulnerabilità

La CVE-2022-0543 è causata da un difetto nella gestione del codice Lua all’interno di Redis. Lua è un linguaggio di scripting leggero utilizzato in Redis per estendere le funzionalità del database. La vulnerabilità si verifica quando un attaccante può sfruttare la sandbox Lua per eseguire comandi non autorizzati sul sistema host. Questo exploit permette l’esecuzione di comandi con i privilegi dell’utente Redis, che spesso è configurato con diritti elevati sul server.

Meccanismo di Attacco

1. Inserimento di Codice Maligno: L’attaccante inserisce un payload Lua dannoso nel database Redis.
2. Esecuzione del Payload: Il payload viene eseguito all’interno del contesto della sandbox Lua, ma a causa della vulnerabilità, riesce a superare le restrizioni della sandbox.
3. Esecuzione di Codice Arbitrario: Una volta evasa la sandbox, l’attaccante può eseguire comandi arbitrari sul server, compreso il download e l’esecuzione di ulteriori malware o la manipolazione dei dati memorizzati.

Impatti

Questa vulnerabilità consente agli attaccanti di prendere il controllo completo del server Redis compromesso, eseguendo qualsiasi comando con i privilegi dell’utente Redis. Questo potrebbe portare a:

• Furto di dati: Accesso non autorizzato e esfiltrazione dei dati memorizzati.
• Compromissione del sistema: Installazione di backdoor, rootkit o altri tipi di malware.
• Interruzione del servizio: Manipolazione o cancellazione dei dati, causando disservizi.

Modalità di Attacco e Persistenza

Una volta compromesso un server Redis, P2PInfect carica un file oggetto condiviso dannoso per ottenere l’accesso alla shell inversa, mantenendo la funzionalità normale del server per evitare sospetti. Il worm utilizza varie tecniche per mantenere il controllo, inclusi aggiornamenti dinamici della configurazione in memoria e meccanismi di persistenza cron per riattivare il payload principale ogni 30 minuti. Inoltre, il malware può sovrascrivere le chiavi SSH autorizzate per prevenire l’accesso legittimo e, se ottiene l’accesso root, modifica le password degli utenti per bloccarli fuori dal sistema​ (SOCRadar® Cyber Intelligence Inc.)​​ (Heimdal Security)​.

Cosa sono i Server Redis

Redis (REmote DIctionary Server) è un database in-memory open source utilizzato come database, cache e broker di messaggi. È noto per le sue alte prestazioni e la sua versatilità, essendo capace di gestire una varietà di strutture dati come stringhe, hash, liste, set e sorted set.

Caratteristiche Principali di Redis

1. In-Memory Storage: Redis memorizza i dati interamente in memoria, il che permette una velocità di accesso estremamente rapida.
2. Strutture Dati Avanzate: Supporta vari tipi di dati avanzati come liste, set, hash, bitmap, e HyperLogLog, tra gli altri.
3. Persistenza: Redis può essere configurato per salvare periodicamente i dati su disco, garantendo la persistenza dei dati anche dopo riavvii del server.
4. Replica e Alta Disponibilità: Supporta la replica dei dati su più nodi, creando configurazioni master-slave per alta disponibilità e failover automatico.
5. Supporto per Script Lua: Redis permette l’esecuzione di script Lua per estendere le sue funzionalità e ottimizzare operazioni complesse direttamente all’interno del database.

Utilizzi Comuni di Redis

• Cache: Utilizzato per memorizzare temporaneamente dati che devono essere rapidamente accessibili.
• Database NoSQL: Utilizzato come database NoSQL per applicazioni che richiedono alte prestazioni.
• Broker di Messaggi: Utilizzato per implementare code di messaggi tra diversi componenti di un’applicazione.
• Session Store: Utilizzato per memorizzare sessioni utente in applicazioni web ad alta scalabilità.

Redis è ampiamente adottato in molti settori grazie alle sue prestazioni elevate e alla sua capacità di scalare orizzontalmente, supportando un gran numero di connessioni simultanee e operazioni al secondo.

Diffusione e Attività Recenti

A partire da agosto 2023, l’attività del botnet P2PInfect ha subito un notevole incremento, con tentativi di accesso iniziale che sono aumentati di 600 volte in settembre. Questo aumento dell’attività è stato accompagnato dall’emergere di nuove varianti del malware, suggerendo un continuo sviluppo da parte degli autori del worm. Le regioni più colpite includono Cina, Stati Uniti, Germania, Singapore, Hong Kong, Regno Unito e Giappone​ (SecurityWeek)​​ (SOCRadar® Cyber Intelligence Inc.)​.

Finalità e Potenziali Rischi

Gli obiettivi finali dei gestori di P2PInfect non sono ancora chiari. Sebbene il worm abbia tentato di scaricare payload per il cryptomining, non è stata rilevata attività di mining effettiva sui dispositivi compromessi. Questo potrebbe indicare che gli operatori stanno ancora testando le fasi finali dell’attacco o che stanno cercando di vendere l’accesso alla rete infetta ad altri cybercriminali​ (SOCRadar® Cyber Intelligence Inc.)​​ (Heimdal Security)​.

Misure di Sicurezza

Per proteggersi da P2PInfect, è essenziale che gli amministratori di server Redis aggiornino le loro istanze con le ultime patch di sicurezza e configurino adeguatamente i firewall per limitare l’accesso ai porti critici. Monitorare costantemente le attività di rete e implementare misure di rilevamento delle intrusioni può aiutare a identificare e mitigare tempestivamente le minacce​ (SecurityWeek)​​ (Heimdal Security)​.

Conclusione

La vulnerabilità CVE-2022-0543 rappresenta una seria minaccia per i server Redis non configurati correttamente o non aggiornati. Sfruttando questa falla, gli attaccanti possono eseguire codice arbitrario e prendere il controllo dei server vulnerabili. Redis, d’altro canto, rimane uno strumento potente e versatile per la gestione dei dati in memoria, essenziale per molte applicazioni moderne. È cruciale che gli amministratori mantengano i loro sistemi aggiornati e seguano le migliori pratiche di sicurezza per mitigare i rischi associati a queste vulnerabilità.

L'articolo P2PInfect: La Nuova Minaccia per i Server Redis proviene da il blog della sicurezza informatica.

Bug reporting doesn’t usually have a lot of visuals. Not so with the visionOS bug [Ryan Pickren] found, which fills a user’s area with screeching bats after visiting a malicious website. Even better, closing the browser doesn’t get rid of them! Better still? Doesn’t need to be bats, it could be spiders. Fun!

The bug has been fixed, but here’s how it worked: the Safari browser build for visionOS allowed a malicious website to fill the user’s 3D space with animated objects without interaction or permission. The code to trigger this is remarkably succinct, and is actually a new twist on an old feature: Apple AR Quick Look, an HTML-based feature for rendering 3D augmented reality content in Safari.
How about spiders, instead?
Leveraging this old feature is what lets an untrusted website launch an arbitrary number of animated 3D objects — complete with sound — into a user’s virtual space without any interaction from the user whatsoever. The icing on the cake is that Quick Look is a separate process, so closing Safari doesn’t get rid of the pests.

Providing immersive 3D via a web browser is a valuable way to deliver interactive content on both desktops and VR headsets; a good example is the fantastic virtual BBC Micro which uses WebXR. But on the Apple Vision Pro the user is always involved and there are privacy boundaries that corral such content. Things being launched into a user’s space in an interaction-free way is certainly not intended behavior.

The final interesting bit about this bug (or loophole) was that in a way, it defied easy classification and highlights a new sort of issue. While it seems obvious from a user experience and interface perspective that a random website spawning screeching crawlies into one’s personal space is not ideal, is this a denial-of-service issue? A privilege escalation that technically isn’t? It’s certainly unexpected behavior, but that doesn’t really capture the potential psychological impact such bugs can have. Perhaps the invasion of personal space and user boundaries will become a quantifiable aspect of bugs in these new platforms. What fun.

Dopo dodici anni di calvario, di cui gli ultimi cinque in un carcere di massima sicurezza inglese in attesa di giudizio, Julian assange, giornalista, è libero. Nessuno potrà restituirgli gli anni perduti, ma nessuno potrà mai restituire un briciolo di dignità ai suoi persecutori e ai loro sottopanza.

spreaker.com/episode/dk-8x31-a…

For Europe and the world to meet their emission reduction targets, SMEs must be placed at the forefront and be supported to better measure their sustainability impacts.

euractiv.com/section/digital/o…

@Notizie dall'Italia e dal mondo

Unione Europea, una Agenzia delle Nazioni Unite ed un Programma ONU insieme per contrastare il traffico di rifiuti, in un progetto a medio termine denominato #UNWASTE.
Di cosa si tratta?
Il commercio illegale di rifiuti (o traffico di rifiuti) è un reato che colpisce l’ambiente ed è un problema crescente in tutto il mondo. Una volta raggiunti i paesi di destinazione, i rifiuti illegali spesso finiscono in discariche illegali e siti di stoccaggio illegali o vengono bruciati all’aperto, causando danni all’ambiente e alla salute umana, minando il raggiungimento degli Obiettivi di Sviluppo Sostenibile e la transizione verso un’economia circolare.

I flussi illegali di rifiuti sono spesso nascosti dietro movimenti transfrontalieri controllati o legali. I confini tra le attività lecite e quelle illecite nel traffico di rifiuti possono essere sottili e le attività, gli attori e il modus operandi coinvolti spesso si sovrappongono e si alimentano a vicenda.

La mappatura dei flussi di rifiuti, una migliore conoscenza del modus operandi delle reti di traffico di rifiuti nonché la cooperazione nazionale, regionale e interregionale sono essenziali per affrontare il traffico di rifiuti.

Paesi del Sud-Est asiatico
Dal 2018, i paesi del sud-est asiatico, tra cui Indonesia, Malesia, Tailandia e Vietnam, sono diventati le principali destinazioni regionali per l’afflusso di rifiuti legali e illegali. Nonostante i quadri giuridici nazionali e internazionali esistenti, l’esistenza di divieti sul commercio di rifiuti e le restrizioni messe in atto dai governi regionali negli ultimi anni, i rifiuti problematici continuano a raggiungere questi paesi.

Il progetto Unwaste
Mira a combattere il traffico di rifiuti tra l’ #UE e il Sud-Est asiatico promuovendo partenariati rafforzati tra gli Stati membri UE-ASEAN (organizzazione politica, economica e culturale di nazioni situate nel sud-est asiatico, a cui è collegata l'omonima area di libero scambio), a sostegno degli sforzi in corso verso una transizione all’economia circolare, in linea con i quadri politici pertinenti.

Gli obiettivi del progetto sono:

- Comprendere meglio i flussi di rifiuti tra l’Europa e il Sud-Est asiatico, con un’ulteriore attenzione all’impatto della pandemia di COVID-19 sui movimenti di rifiuti sanitari e pericolosi.
- Promuovere la cooperazione attraverso dialoghi nazionali per combattere i movimenti illeciti di rifiuti dall’UE verso il sud-est asiatico.
- Facilitare i dialoghi intra e interregionali a livello politico per promuovere il partenariato tra l’UE e i paesi del sud-est asiatico, a sostegno dell’approccio dell’economia circolare.

Questo progetto è realizzato in collaborazione con il Programma delle Nazioni Unite per l'ambiente (#UNEP) e finanziato dall'Unione Europea, impegnata sul campo anche con il proprio #OLAF, l'Ufficio Europeo per la lotta anti-frode. Per altro il 20 maggio scorso è entrata in vigore una nuova normativa europea sul trasporto transfrontaliero di rifiuti: prevede regole più severe sulle esportazioni di rifiuti al di fuori dell'Unione Europea e mira a favorire il riciclaggio all'interno degli Stati membri. Si stima che un terzo delle spedizioni internazionali di rifiuti sia illegale. Il filmato che segue dimostra l'attività svolta da OLAF congiuntamente all' Agenzia delle Dogane in Genova, ed reperibile a questo link:
it.euronews.com/video/2024/06/…
#trafficodirifiuti #UE

Video. Per contrastare il traffico di rifiuti serve una maggiore cooperazione

Video. Il 20 maggio è entrata in vigore una nuova normativa europea sul trasporto transfrontaliero di rifiuti: prevede regole più severe sulle esportazioni di rifiuti al di fuori dell'Ue e mira a favorire il riciclaggio all'interno degli Stati membri…

^Euronews.com

Dopo 5 anni di ingiusta detenzione nel carcere di massima sicurezza di Belmarsh, a Londra, Julian Assange è finalmente un uomo libero Oggi la notizia che attivisti e organizzazioni di tutto il mondo aspettavano da oltre 5 anni: Julian Assange, giornalista e fondatore di WikiLeaks, è libero e si riunirà presto con la sua famiglia […]

freeassangeitalia.it/julian-as…