Le vulnerabilità rappresentano costantemente un rischio significativo per le aziende e le istituzioni. Molti amministratori di sistema potrebbero ricordare il CVE-2023-34362 dello scorso anno, una vulnerabilità catastrofica in Progress MOVEit Transfer che ha scosso l’industria, colpendo vittime di alto profilo come la BBC e l’FBI.

Dati sensibili sono stati trapelati e distrutti, poiché la banda di ransomware cl0p ha sfruttato vulnerabilità 0day per rubare dati, lasciando infine una scia di caos. Oggi, una nuova minaccia emerge all’orizzonte: la vulnerabilità CVE-2024-5806.

Il passato: CVE-2023-34362

La CVE-2023-34362 (nvd.nist.gov/vuln/detail/CVE-2… ) rappresenta una delle vulnerabilità più critiche che ha colpito Progress MOVEit Transfer, un software ampiamente utilizzato per il trasferimento sicuro dei file. Scoperta e divulgata nel 2023, questa vulnerabilità ha avuto un impatto significativo su diverse organizzazioni di alto profilo, tra cui la BBC e l’FBI.

Descrizione della Vulnerabilità CVE-2023-34362

La CVE-2023-34362 è una vulnerabilità classificata come “Remote Code Execution” (RCE). Questa tipologia di vulnerabilità permette a un attaccante remoto di eseguire codice arbitrario sul sistema bersaglio senza necessità di autenticazione. Nel caso specifico della CVE-2023-34362, la falla risiedeva in una gestione inadeguata delle richieste HTTP da parte del software MOVEit Transfer.

Meccanismo di Sfruttamento CVE-2023-34362

La vulnerabilità poteva essere sfruttata inviando richieste HTTP appositamente create al server MOVEit Transfer. Queste richieste malevole erano in grado di bypassare i controlli di sicurezza e di eseguire comandi arbitrari con i privilegi del processo di esecuzione del server. Questo tipo di attacco poteva essere utilizzato per installare malware, rubare dati, o compromettere ulteriormente la rete interna dell’organizzazione.

Impatto e Danni Causati CVE-2023-34362

L’impatto della CVE-2023-34362 è stato devastante. La vulnerabilità è stata sfruttata dalla gang di ransomware cl0p, che ha utilizzato questa falla per condurre attacchi su vasta scala. Le conseguenze degli attacchi includevano:

1. Furto di Dati Sensibili: Dati altamente sensibili e riservati sono stati sottratti da numerose organizzazioni, tra cui la BBC e l’FBI.
2. Distruzione di Dati: Alcuni dati compromessi sono stati distrutti, causando perdite significative.
3. Interruzione dei Servizi: Le operazioni di molte organizzazioni sono state interrotte, causando disservizi e perdite economiche.

Un nuovo bug di sicurezza su Progress MOVEit Transfer

Recentemente, è stata identificata una nuova vulnerabilità in Progress MOVEit Transfer, classificata come CVE-2024-5806. Questa vulnerabilità è stata etichettata come una debolezza di ‘improper authentication’ (CWE-287).

Si tratta di un problema che consente agli attaccanti di aggirare i meccanismi di autenticazione e ottenere accesso non autorizzato ai dati sensibili. Questo tipo di vulnerabilità è particolarmente preoccupante poiché può essere sfruttata per compromettere gravemente la sicurezza dei dati.

Maggiori dettagli: nvd.nist.gov/vuln/detail/CVE-2…

La Disponibilità di un Proof of Concept (POC) per l’Exploit

Ad aggravare ulteriormente la situazione, è emerso un Exploit Proof of Concept (POC) per il CVE-2024-5806. La disponibilità di un POC significa che gli attaccanti hanno a disposizione un esempio funzionante di come sfruttare la vulnerabilità, aumentando il rischio di attacchi reali.

Il POC può essere utilizzato come base per sviluppare strumenti di attacco più sofisticati e mirati, rendendo la vulnerabilità una minaccia imminente.

Il Rischio di un Nuovo Attacco da Parte di cl0p

Considerando la storia recente, una domanda sorge spontanea: l’attore ransomware cl0p sfrutterà nuovamente questa vulnerabilità?

La gang cl0p, nota per aver utilizzato la vulnerabilità CVE-2023-34362 per attacchi devastanti, potrebbe vedere nella CVE-2024-5806 una nuova opportunità.

Con la loro comprovata esperienza e la disponibilità di un POC, c’è un rischio elevato che cl0p o gruppi simili possano tentare di sfruttare questa nuova falla di sicurezza.

La ransomware gang cl0p

Cl0p è una delle gang di ransomware più temute e sofisticate nel panorama della sicurezza informatica. Questo gruppo criminale è noto per aver condotto attacchi devastanti contro numerose organizzazioni di alto profilo utilizzando tecniche avanzate e vulnerabilità critiche, come la CVE-2023-34362 in Progress MOVEit Transfer.

Cl0p ransomware è ampiamente ritenuto avere origini in Russia o nei paesi dell’ex Unione Sovietica. Le prove indicano che i membri del gruppo parlano russo e operano in fusi orari compatibili con questa regione. Tuttavia, come per molte attività cybercriminali, l’esatta localizzazione geografica dei membri del gruppo può essere difficile da determinare con certezza.

Tecniche, Tattiche e Procedure (TTPs)

Cl0p ransomware gang utilizza un insieme di tecniche, tattiche e procedure altamente sofisticate per condurre i propri attacchi.

Di seguito le principali TTPs associate al gruppo:

1. Exploiting Zero-Day Vulnerabilities: Cl0p è noto per sfruttare vulnerabilità non ancora pubblicamente divulgate (zero-day) per penetrare nei sistemi delle vittime. Un esempio rilevante è la CVE-2023-34362 in Progress MOVEit Transfer.
2. Phishing e Spear-Phishing: Utilizzano campagne di phishing mirate per ottenere accesso iniziale ai sistemi, spesso inviando email che appaiono legittime ma contengono link o allegati malevoli.
3. Lateral Movement: Una volta ottenuto l’accesso a una rete, Cl0p si sposta lateralmente per compromettere ulteriori sistemi, utilizzando strumenti come Mimikatz per estrarre credenziali e guadagnare accesso privilegiato.
4. Data Exfiltration: Prima di criptare i dati, il gruppo esfiltra informazioni sensibili, che utilizza come leva per estorcere ulteriori pagamenti minacciando di pubblicare i dati rubati.
5. Double Extortion: Cl0p pratica l’estorsione doppia, richiedendo un riscatto sia per decriptare i file sia per evitare la pubblicazione dei dati esfiltrati.
6. Ransomware Deployment: Infine, Cl0p distribuisce il ransomware attraverso la rete compromessa, cifrando i file e rendendoli inaccessibili fino al pagamento del riscatto.

Conclusione

La scoperta della vulnerabilità CVE-2024-5806 in Progress MOVEit Transfer rappresenta un serio rischio per la sicurezza delle informazioni aziendali. La presenza di un POC per l’exploit aumenta ulteriormente la minaccia, rendendo cruciale per le organizzazioni adottare misure preventive immediate. La possibilità che il gruppo ransomware cl0p sfrutti questa nuova vulnerabilità non può essere esclusa, rendendo ancora più importante la vigilanza e la preparazione. La sicurezza informatica è una battaglia continua, e solo attraverso la prevenzione e la risposta rapida le aziende possono proteggere i loro asset più preziosi: i dati.

L'articolo Catastrofe Cyber in vista? Il nuovo Bug di Progress MOVEit ha un Exploit PoC Online proviene da il blog della sicurezza informatica.

[Poking Technology] doesn’t think much of his new smartwatch. It is, by his admission, the cheapest possible smartwatch, coming in at about $3. It has very few useful features but he has figured out how to port MicroPython to it, so for a wrist-mounted development board with BLE, it might be useful. You can check it out in the video below.

The first step is a teardown, which reveals surprisingly little on the inside. There’s a tiny battery, a few connections, a display, and a tiny CPU board. There are, luckily, a few test pads that let you get into the CPU. What do you get? A 24 MHz Telink CPU with 512k of flash and 16k of RAM, along with all the other hardware.

Of course, even if you just want a display with some smarts, $3 might be in your price range. The whole thing wound up taped down to a PCB. But the usual debugger didn’t want to connect. Grabbing an oscilloscope revealed that the output from the board had some level problems. He eventually wrote his own debugger interface using a Pi Pico.

He was able to find the onboard CPU’s development tools. The CPU claims to be proprietary but looks suspiciously like a slightly modified ARM. A short investigation shows that the object code is extremely similar to the ARM Thumb instruction set but with a few extra bits set and different mnemonics. But once you put Python on board, who really cares?

The only downside is that it doesn’t appear that the BLE is practically usable because of memory limitations. But there are still places you might use the little watch in a project.

If you want a smartwatch, maybe build your own. While many DIY watches are simple, you can get pretty complicated if you like.

youtube.com/embed/sv58aPvIonw?…

Doubts on the European Commission's claim of an investment gap of at least €174 billion to meet Europe's 2030 connectivity targets have been shed in a document shared with Euractiv by lobby association CCIA Europe, representing Amazon, Google and Meta, among others.

euractiv.com/section/global-eu…

It’s a great joke, and like all great jokes it makes you think. [Søren Fuglede Jørgensen] managed to cram a 15 M parameter large language model into a completely valid TrueType font: llama.ttf. Being an LLM-in-a-font means that it’ll do its magic across applications – in your photo editor as well as in your text editor.

What magic, we hear you ask? Say you have some text, written in some non-AI-enabled font. Highlight that, and swap over to llama.ttf. The first thing it does is to change all “o” characters to “ø”s, just like [Søren]’s parents did with his name. But the real magic comes when you type a length of exclamation points. In any normal font, they’re just exclamation points, but llama.ttf replaces them with the output of the TinyStories LLM, run locally in the font. Switching back to another font reveals them to be exclamation points after all. Bønkers!

This is all made possible by the HarfBuzz font extensions library. In the name of making custom ligatures and other text shaping possible, HarfBuzz allows fonts to contain Web Assembly code and runs it in a virtual machine at rendering time. This gives font designers the flexibility to render various Unicode combinations as unique glyphs, which is useful for languages like Persian. But it can just as well turn all “o”s into “ø”s or run all exclamation points through an LLM.

Something screams mischief about running arbitrary WASM while you type, but we remind you that since PostScript, font rendering engines have been able to run code in order to help with the formatting problem. This ability was inherited by PDF, and has kept malicious PDFs in the top-10 infiltration vectors for the last fifteen years. [Citation needed.] So if you can model a CPU in PDF, why not an LLM in TTF? Or a Pokemon clone in an OpenType font?

We don’t think [Søren] was making a security point here, we think he was just having fun. You can see how much fun in his video demo embedded below.

youtube.com/embed/Q4bOyYctgFI?…

This week Jonathan Bennett and Doc Searls chat with Igor Pecovnik and Ricardo Pardini about Armbian, the Debian-based distro tailor made for single-board computers. There’s more than just Raspberry Pi to talk about, with the crew griping about ancient vendor kernels, the less-than-easy ARM boot process, and more!

youtube.com/embed/y4UXp7Uw0lo?…

– armbian.com/
– github.com/armbian

Did you know you can watch the live recording of the show right in the Hackaday Discord? Have someone you’d like use to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.

play.libsyn.com/embed/episode/…

Direct Download in DRM-free MP3.

If you’d rather read along, here’s the transcript for this week’s episode.

Places to follow the FLOSS Weekly Podcast:

• Spotify
• RSS

@Notizie dall'Italia e dal mondo

Unione Europea, una Agenzia delle Nazioni Unite ed un Programma ONU insieme per contrastare il traffico di rifiuti, in un progetto a medio termine denominato #UNWASTE.
Di cosa si tratta?
Il commercio illegale di rifiuti (o traffico di rifiuti) è un reato che colpisce l’ambiente ed è un problema crescente in tutto il mondo. Una volta raggiunti i paesi di destinazione, i rifiuti illegali spesso finiscono in discariche illegali e siti di stoccaggio illegali o vengono bruciati all’aperto, causando danni all’ambiente e alla salute umana, minando il raggiungimento degli Obiettivi di Sviluppo Sostenibile e la transizione verso un’economia circolare.

I flussi illegali di rifiuti sono spesso nascosti dietro movimenti transfrontalieri controllati o legali. I confini tra le attività lecite e quelle illecite nel traffico di rifiuti possono essere sottili e le attività, gli attori e il modus operandi coinvolti spesso si sovrappongono e si alimentano a vicenda.

La mappatura dei flussi di rifiuti, una migliore conoscenza del modus operandi delle reti di traffico di rifiuti nonché la cooperazione nazionale, regionale e interregionale sono essenziali per affrontare il traffico di rifiuti.

Paesi del Sud-Est asiatico
Dal 2018, i paesi del sud-est asiatico, tra cui Indonesia, Malesia, Tailandia e Vietnam, sono diventati le principali destinazioni regionali per l’afflusso di rifiuti legali e illegali. Nonostante i quadri giuridici nazionali e internazionali esistenti, l’esistenza di divieti sul commercio di rifiuti e le restrizioni messe in atto dai governi regionali negli ultimi anni, i rifiuti problematici continuano a raggiungere questi paesi.

Il progetto Unwaste
Mira a combattere il traffico di rifiuti tra l’ #UE e il Sud-Est asiatico promuovendo partenariati rafforzati tra gli Stati membri UE-ASEAN (organizzazione politica, economica e culturale di nazioni situate nel sud-est asiatico, a cui è collegata l'omonima area di libero scambio), a sostegno degli sforzi in corso verso una transizione all’economia circolare, in linea con i quadri politici pertinenti.

Gli obiettivi del progetto sono:

- Comprendere meglio i flussi di rifiuti tra l’Europa e il Sud-Est asiatico, con un’ulteriore attenzione all’impatto della pandemia di COVID-19 sui movimenti di rifiuti sanitari e pericolosi.
- Promuovere la cooperazione attraverso dialoghi nazionali per combattere i movimenti illeciti di rifiuti dall’UE verso il sud-est asiatico.
- Facilitare i dialoghi intra e interregionali a livello politico per promuovere il partenariato tra l’UE e i paesi del sud-est asiatico, a sostegno dell’approccio dell’economia circolare.

Questo progetto è realizzato in collaborazione con il Programma delle Nazioni Unite per l'ambiente (#UNEP) e finanziato dall'Unione Europea, impegnata sul campo anche con il proprio #OLAF, l'Ufficio Europeo per la lotta anti-frode. Per altro il 20 maggio scorso è entrata in vigore una nuova normativa europea sul trasporto transfrontaliero di rifiuti: prevede regole più severe sulle esportazioni di rifiuti al di fuori dell'Unione Europea e mira a favorire il riciclaggio all'interno degli Stati membri. Si stima che un terzo delle spedizioni internazionali di rifiuti sia illegale. Il filmato che segue dimostra l'attività svolta da OLAF congiuntamente all' Agenzia delle Dogane in Genova, ed reperibile a questo link:
it.euronews.com/video/2024/06/…
#trafficodirifiuti #UE

Video. Per contrastare il traffico di rifiuti serve una maggiore cooperazione

Video. Il 20 maggio è entrata in vigore una nuova normativa europea sul trasporto transfrontaliero di rifiuti: prevede regole più severe sulle esportazioni di rifiuti al di fuori dell'Ue e mira a favorire il riciclaggio all'interno degli Stati membri…

^Euronews.com