The hot news this week is that Kaspersky is banned in the USA. More specifically, Kaspersky products will be banned from sale in the US starting on September 29. This ban will extend to blocking software updates, though it’s unclear how that will actually be accomplished. It’s reasonable to assume that payment processors will block payments to Kaspersky, but will ISPs be required to block traffic that could contain antivirus updates?

WordPress Plugin Backdoor

A Quartet of WordPress plugins have been found to have recently included backdoor code. It’s a collection of five Open Source plugins, seemingly developed by unrelated people. Malicious updates first showed up on June 21st, and it appears that all five plugins are shipping the same malicious code.

Rabbit AI API

The Rabbit R1 was released to less than thunderous applause. The idea is a personal AI device, but the execution has been disappointing, to the point of reviewers suggesting some of the earlier claims were fabricated. Now it seems there’s a serious security issue, in the form of exposed API keys that have *way* too many privileges.

The research seems to be done by the rabbitude group, who found the keys back in May. Of the things allowed by access to the API keys, the most worrying for user privacy was access to every text-to-speech call. Rabbitude states in their June 25 post, that “rabbit inc has known that we have had their elevenlabs (tts) api key for a month, but they have taken no action to rotate the api keys.” On the other hand, rabbit pushed a statement on the 26th, claiming they were just then made aware of the issue, and made the needed key rotations right away.

MOVEit is Back

Last year a severe vulnerability in MOVEit file transfer server led to some big-deal compromises in 2023 and 2024. MOVEit is back, this time disclosing an authentication bypass. The journey to finding this vulnerability starts with an exception, thrown whenever an SSH connection is attempted with a public key.

…the server is attempting to open the binary data representing our auth material, as a file path, on the server.

Uh-oh. There’s no way that’s good. What’s worse, that path can be an external SMB path. That’s even worse. This behavior does depend on the incoming connection referencing a valid username, but this has the potential to enable password stealing, pass-the-hash attacks, and username mapping. So what’s actually going on here? The SSH server used here is IPWorks SSH, which has some useful additions to SSH. One of these additions seems to be an odd delegated authentication scheme that goes very wrong in this case.

The attack flow goes like this: Upload a public SSH key to any location on the MOVEit server, log in with any valid username signing the connection with the uploaded key, and send the file location of the uploaded key instead of an actual key. Server pulls the key, makes sure it matches, and lets you in. The only pesky bit is how to upload a key without an account. It turns out that the server supports PPK keys, and those survive getting written to and read from the system logs. Ouch.

The flaws got fixed months ago, and a serious effort has been carried out to warn MOVEit customers and get them patched. On the other hand, a full Proof of Concept (PoC) is now available, and Internet monitoring groups are starting to see the attack being attempted in the wild.

Cat File: Pop Calc

We all know not to trust files from the Internet. Don’t execute the script, don’t load the spreadsheet, and definitely don’t install the package. But what about running cat or strings on an untrusted file? Apparently the magic of escape strings makes those dangerous too. The iTerm2 terminal was accidentally set to allow “window title reporting”, or copying the window title to the command line. Another escape code can set that value, making for an easy way to put an arbitrary command on the command line. One more quirk in the form of tmux integration allowed the injection of a newline — running the arbitrary command. Whoops. Versions 3.5.0 and 3.5.1 are the only iterm2 versions that are vulnerable, with version 3.5.2 containing the fix.

Putting LLM to Work During Naptime

There’s been a scourge of fake vulnerability reports, where someone has asked ChatGPT to find a vulnerability in a project with a bug bounty. First off, don’t do this. But second, it would be genuinely useful if a LLM could actually find vulnerabilities. This idea intrigued researchers at Google’s Project Zero, so they did some research, calling it “Project Naptime”, in a playful reference to napping while the LLM works.

The secret sauce seems to be in extending an LLM to look at real code, to run Python scripts in a sandbox, and have access to a debugger. The results were actually encouraging, that LLM could eventually be a useful tool. It’s not gonna replace the researcher, but it won’t surprise me to cover vulnerabilities found by a LLM instead of a fuzzing tool. Or maybe that’s an LLM guided fuzzer?

Github Dishes on Chrome RCE

Github’s [Man Yue Mo] discovered and reported CVE-2024-3833 in Chrome back in March, a fix was released in April, and it’s now time to get the details. This one is all about how object cloning and code caching interacts. Cloning an object in a particular circumstance ends up with an object that exists in a superposition between having unused property fields, and yet a full property array. Or put simply, the internal object state incorrectly indicates there is unused allocated memory. Try to write a new property, and it’s an out of bounds write.

The full exploit is involved, but the whole thing includes a sandbox escape as well, using overwritten WebAssembly functions. Impressive stuff.

Bits and Bytes

[Works By Design] is taking a second crack at building an unpickable lock. This one has some interesting features, like a ball-bearing spring system that should mean that levering one pin into place encourages the rest to drop out of position. A local locksmith wasn’t able to pick it, given just over half-an-hour. The real test will be what happens when [LockPickingLawyer] gets his hands on it, which is still to come.

youtube.com/embed/xCg3qNnh59w?…

Gitlab just fixed a critical issue that threatened to let attackers run CI pipelines as arbitrary users. The full details aren’t out yet, but CVE-2024-5655 weighs in at a CVSS 9.6, and Gitlab is “strongly recommending” immediate updates.

In uno sviluppo significativo e preoccupante, un individuo con l’alias “mrwan” avrebbe divulgato il database degli elettori israeliani risalente al 2020. I dati personali di tutti i 6,5 milioni di elettori israeliani sono stati esposti, causando gravi preoccupazioni per la privacy e la sicurezza.

Dettagli della Fuga di Dati

Secondo il post di mrwan, la fuga di dati include i seguenti elementi:

• 6,5 Milioni di Linee: I dati comprendono informazioni su tutti gli elettori registrati in Israele, per un totale di circa 6,5 milioni di linee di dati.
• Formato: I dati trapelati sono disponibili in un file zip contenente file di dati in formato CSV (Comma-Separated Values). Questo formato suggerisce che i dati possono essere facilmente accessibili e analizzati utilizzando software standard per fogli di calcolo.

Implicazioni della Fuga di Dati

L’esposizione di una così vasta quantità di dati personali ha diverse potenziali implicazioni:

1. Preoccupazioni per la Privacy: Dettagli personali come nomi, indirizzi e altre informazioni sensibili potrebbero essere utilizzati per scopi malevoli, inclusi furti di identità e frodi.
2. Rischi per la Sicurezza: I dati trapelati potrebbero essere sfruttati da criminali informatici per prendere di mira gli individui con attacchi di phishing, truffe e altre forme di attacchi informatici.
3. Impatto Politico: L’integrità del processo elettorale potrebbe essere messa in discussione e la fuga di dati potrebbe essere utilizzata per minare la fiducia nel sistema elettorale e nelle istituzioni governative.

Conclusione

La presunta fuga di dati del database degli elettori israeliani è un incidente grave con conseguenze di vasta portata. Sottolinea l’importanza di misure di sicurezza dei dati robuste e la necessità di proteggere vigilemente le informazioni personali. Man mano che le indagini procedono, l’attenzione sarà focalizzata sulla mitigazione dell’impatto della fuga di dati e sulla prevenzione di future violazioni di questo tipo.

L'articolo Presunta Fuga di Dati del Database degli Elettori Israeliani del 2020 proviene da il blog della sicurezza informatica.

6 giugno 2024 – TeamViewer ha rilevato un’irregolarità nell’ambiente IT aziendale interno. Come riportato nel nostro precedente articolo, TeamViewer ha confermato che mercoledì 26 giugno 2024 il loro team di sicurezza ha rilevato un’irregolarità nel loro ambiente IT aziendale interno.

L’azienda ha rassicurato i propri clienti dichiarando che questo ambiente è “completamente indipendente dall’ambiente del prodotto.”

Aggiornamento di TeamViewer

L’azienda ha riportato un update al suo comunicato intorno alle ore 12:00 dove riporta:
Aggiornamento sulla Sicurezza – 28 Giugno 2024, 12:10 CEST
Un gruppo di lavoro composto dal team di sicurezza di TeamViewer insieme a esperti di sicurezza informatica di fama mondiale ha lavorato 24 ore su 24 per indagare sull'incidente con tutti i mezzi disponibili. Siamo in costante scambio con fornitori aggiuntivi di informazioni sulle minacce e autorità competenti per informare l'indagine.

I risultati attuali dell'indagine indicano un attacco avvenuto mercoledì 26 giugno, collegato alle credenziali di un account standard di un dipendente all'interno del nostro ambiente IT aziendale. Basandosi su un monitoraggio continuo della sicurezza, i nostri team hanno identificato comportamenti sospetti di questo account e hanno immediatamente attivato misure di risposta agli incidenti. Insieme al supporto esterno per la risposta agli incidenti, attualmente attribuiamo questa attività all'attore di minacce noto come APT29 / Midnight Blizzard. Sulla base dei risultati attuali dell'indagine, l'attacco è stato contenuto all'interno dell'ambiente IT aziendale e non ci sono prove che l'attore di minacce abbia avuto accesso al nostro ambiente di prodotto o ai dati dei clienti.

Seguendo le migliori pratiche architettoniche, abbiamo una forte segregazione dell'IT aziendale, dell'ambiente di produzione e della piattaforma di connettività TeamViewer. Questo significa che manteniamo tutti i server, le reti e gli account rigorosamente separati per aiutare a prevenire l'accesso non autorizzato e il movimento laterale tra i diversi ambienti. Questa segregazione è uno dei molteplici livelli di protezione nel nostro approccio di "difesa in profondità".

La sicurezza è di massima importanza per noi, è profondamente radicata nel nostro DNA. Pertanto, ci impegniamo a comunicare in modo trasparente con gli stakeholder. Continueremo ad aggiornare lo stato delle nostre indagini nel nostro Trust Center man mano che saranno disponibili nuove informazioni. Ci aspettiamo di pubblicare il prossimo aggiornamento entro la fine di oggi CEST.

Allarme di NCC Group

In precedenza, NCC Group, un’azienda di cybersecurity, ha avvertito i suoi clienti di una “significativa compromissione della piattaforma di accesso remoto e supporto di TeamViewer da parte di un gruppo APT.” Questo avviso è stato condiviso da un esperto di sicurezza che si fa chiamare Jeffrey su Mastodon.

Lo screenshot pubblicato indica un TLP “AMBER+STRICT”, il che significa che le informazioni sensibili sono designate solo per una divulgazione limitata, ristretta all’organizzazione dei partecipanti.

Avviso di Health-ISAC

L’organizzazione Health-ISAC (Information Sharing and Analysis Center) ha avvertito che TeamViewer potrebbe essere stato violato da “Cozy Bear”, un attore sponsorizzato dallo stato controllato da un servizio segreto russo. “Il 27 giugno 2024, Health-ISAC ha ricevuto informazioni da un partner di intelligence fidato che APT29 sta sfruttando attivamente TeamViewer.

Health-ISAC raccomanda di esaminare i log per eventuali traffici insoliti di desktop remoto. È stato osservato che gli attori delle minacce sfruttano strumenti di accesso remoto. È stato osservato che TeamViewer viene sfruttato da attori di minacce associati ad APT29″, ha condiviso Jeffrey.

Il Gruppo APT29

APT29 è anche conosciuto con altri nomi come Cozy Bear, NOBELIUM e Midnight Blizzard.

Origine: APT29 è un gruppo di hacking sponsorizzato dallo stato russo, collegato al Servizio di Intelligence Estero della Russia (SVR).

Attività Principale: APT29 è noto per le sue attività di cyber-espionaggio. Il gruppo prende di mira governi, organizzazioni internazionali, aziende e istituzioni accademiche per raccogliere informazioni sensibili.

Tecniche e Tattiche:

• Spear Phishing: APT29 utilizza spesso campagne di spear phishing per ottenere l’accesso iniziale ai sistemi target. Queste email di phishing sono altamente personalizzate e mirate a individui specifici all’interno delle organizzazioni.
• Malware Sviluppato: Il gruppo è noto per sviluppare malware sofisticato, tra cui strumenti come “Hammertoss,” “Uroburos,” e “Sunburst,” utilizzato nell’attacco alla catena di fornitura di SolarWinds.
• Tecniche di Offuscamento: APT29 impiega avanzate tecniche di offuscamento per evitare il rilevamento dei suoi attacchi, includendo l’uso di comunicazioni crittografate e canali di comando e controllo nascosti.

Attacchi di Alto Profilo:

• Attacco a SolarWinds (2020): Uno degli attacchi più noti associati ad APT29 è stato l’incidente di SolarWinds, dove il gruppo ha compromesso la catena di fornitura del software di gestione IT Orion, utilizzato da molte organizzazioni governative e aziendali.
• Attacchi a Diplomatici e Organizzazioni Internazionali: APT29 ha preso di mira diplomatici e organizzazioni come la NATO e l’OSCE, cercando di ottenere informazioni geopolitiche sensibili.
• Violazione dei Sistemi Elettorali USA (2016): Il gruppo è stato implicato negli attacchi ai sistemi elettorali statunitensi durante le elezioni presidenziali del 2016.

Motivazioni: Le attività di APT29 sono principalmente motivate da obiettivi di spionaggio geopolitico e di intelligence, con lo scopo di sostenere gli interessi del governo russo e ottenere un vantaggio strategico a livello globale.

Conclusioni

TeamViewer sta attivamente indagando sull’irregolarità rilevata nel loro sistema IT aziendale interno. Mentre le indagini proseguono, l’azienda rimane concentrata sulla protezione dell’integrità dei propri sistemi e sulla sicurezza dei dati dei clienti. Le autorità e le organizzazioni di sicurezza continueranno a monitorare la situazione per garantire che qualsiasi minaccia venga prontamente mitigata.

L'articolo C’è CozyBear (APT29) dietro le irregolarità di TeamViewer! proviene da il blog della sicurezza informatica.

People go missing without a trace far more commonly than any of us would like to think about. Of course the authorities will conduct a search, but even assuming they have the equipment and personnel necessary, the odds are often stacked against them. A few weeks go by, then months, and eventually there’s yet another “cold case” on the books and a family is left desperate for closure.

But occasionally a small team or an individual, if determined enough, can solve such a case even when the authorities have failed. Some of these people, such as [Antti Suanto] and his brother, have even managed to close the books on multiple missing person cases. In an incredibly engrossing series of blog posts, [Antti] describes how he hacked together a pair of remotely operated vehicles to help search for and ultimately identify sunken cars.

The first he built was intended to perform reconnaissance using a consumer side-scan sonar unit. While these devices are designed to be mounted to a “real” boat, [Antti] didn’t have the room at home for one. So he did some research and eventually settled on an affordable solution that combined a watertight plastic box with pontoons made out of PVC pipes. We’ve seen similar designs before, and have always been impressed with the stability and payload capacity offered by such an arrangement given its low cost and ease of assembly.

In an interesting twist [Antti] decided to outfit his craft with quadcopter motors and propellers to create a sort of airboat, which would keep it from getting tangled up in weeds. We also appreciate the no-nonsense method of viewing the sonar’s output remotely — all they had to do was take an old smartphone, point its camera at the unit, and open up a video calling application.

While having the sonar data would help the brothers identify potential targets on the bottom, it wasn’t enough to make a positive identification. For that, they’d have to go down there and directly image the object being investigated. So the second project was a remotely operated vehicle (ROV). Its PVC frame might look a bit low-tech, but [Antiii] designed the central “dry hull” to survive at depths of up to 100 meters (328 feet). With cameras, lights, a Raspberry Pi, and an Arduino Mega pulling it all together, the finished product is a formidable underwater explorer.

Combined with diligent research on the individuals who went missing and the areas in which they were last seen, the brothers were able to use these vehicles to solve a pair of missing persons cases that had been open for more than a decade. Their work earned them the personal thanks of the President of Finland, and a medal that’s generally only given to police officers.

Our hats off to this intrepid duo — surely there’s no more noble a pursuit than dedicating your skills and free time to help others.

youtube.com/embed/rxW2xGD_qFQ?…

@Notizie dall'Italia e dal mondo

Il recente dispiegamento ad #Haiti di poliziotti provenienti dal #Kenya ci fornisce l’occasione per trattare nel nostro blog di una attività cooperativa di polizia non finalizzata all’individuazione di autori transnazionali di reato, bensì di ausilio necessario in un impiego di ristabilimento dell’ordine e della sicurezza pubblica in un Paese che ne abbia necessità, e che abbia allo scopo fatto richiesta alle Nazioni Unite (#ONU), proprio come avvenuto in questo caso.

PERCHÉ INTERVIENE L’ONU?

Tra i fini delle Nazioni Unite, riportati all’art. 1 del suo Statuto, vi è quello di mantenere la pace e la sicurezza internazionale attraverso efficaci misure collettive per prevenire e rimuovere le minacce e reprimere gli atti di aggressione, nonché sviluppare relazioni amichevoli tra le nazioni. Per il raggiungimento di tali scopi l’organizzazione intergovernativa a carattere mondiale ha creato nell’ambito del Segretariato Generale il Department Of Peace Operations, realizzando sin dal 1956 delle operazioni, anche di carattere non strettamente militare, condotte da forze multinazionali, costituite da contingenti messi a disposizione dagli Stati membri allo scopo di mantenere la pace in aree di crisi. Conseguentemente nel tempo ha sviluppato la Dottrina delle operazioni di peacekeeping, traducibile in “mantenimento della pace”. Le operazioni, in realtà non espressamente previste nella Carta dell’ONU ma incrementate attraverso le delibere del Consiglio di sicurezza, devono presentare alcuni caratteri comuni: il consenso dello Stato sul cui territorio sono dispiegate le truppe; la neutralità e l’imparzialità; l’uso della forza solo per legittima difesa.
È nel contesto delle operazioni di “seconda generazione”, a partire dalla fine della “guerra fredda” in avanti, che il peacekeeping assume un carattere maggiormente variegato: da funzioni strettamente militari evolve a compiti di carattere umanitario, di “costruzione della pace”, per aiutare Paesi martoriati da guerre civili a restaurare le istituzioni politiche e il tessuto sociale. Per realizzare il mandato, le operazioni di più recente generazione sono condotte quindi da contingenti militari insieme a una componente civile, più o meno ampia.
Che si tratti di contingenti aventi missione di “mantenimento della pace” o di “ristabilimento” di essa, in ciascuna operazione vi è il contributo necessario di law enforcement agencies, seppure nella maggior parte dei casi con un ruolo minore. Alcuni autori affermano che tale forma di intervento e cooperazione da parte di Forze di Polizia, “sebbene limitata nell’ambito e nell’autorità, fornisce una base per soluzioni creative in aree soggette a una serie di disastri”.
In aree di crisi quindi la stessa cooperazione internazionale di polizia può svilupparsi in forme diverse, anche nel mero ambito della raccolta e scambio di informazioni, rispetto alle formalità comunque richieste dagli accordi e dai protocolli necessariamente seguiti in ambito ordinario.

COSA È ACCADUTO AD HAITI?

Haiti sta vivendo una grave crisi umanitaria dal 2021 dopo l'omicidio del presidente Moise. La popolazione haitiana soffre di povertà estrema, violenza e instabilità politica. La missione internazionale guidata dal Kenya ha il compito di supportare il governo transitorio fino alle elezioni del 2026.

COSA FARÀ E COME SARÀ COMPOSTA LA MISSIONE DELLE FORZE DI POLIZIA?

(Poliziotti kenyoti in preghiera prima della partenza del contingente)

I kenyoti sono ufficialmente sbarcati ad Haiti con un piano per fermare la violenza delle bande nel paese. Finora sono arrivati 400 agenti di polizia keniani, ma il numero totale delle forze raggiungerà presto i 2.500, con l’ausilio di contingenti provenienti da Stati Uniti, Canada, Francia, Giamaica, Benin ed Argentina. Inoltre, il Brasile svolgerà un ruolo chiave nella missione, offrendo supporto logistico, addestramento militare e trasporto del personale proveniente da altri Paesi caraibici.
Intanto gli agenti si sparpagliano per la capitale, tentando di riprendere il controllo della città dalle bande. Questi gruppi armati stanno attaccando le stazioni di polizia, liberando i prigionieri e uccidendo in modo dilagante. Tra marzo e maggio scorso circa 200.000 persone sono state costrette a lasciare le proprie case. Si prevede che i poliziotti kenioti cominceranno la loro permanenza ad Haiti con iniziative che includono la ripresa del controllo del porto principale di Haiti e delle principali autostrade. Inoltre, i funzionari haitiani sperano di riprendere il controllo di un ospedale centrale a Port-au-Prince. Si prevede che il dispiegamento di agenti di polizia stranieri ad Haiti durerà almeno un anno, ma le bande hanno dichiarato che reagiranno e alcuni esperti temono che il piano fallirà.
Le forze dell'ordine straniere hanno iniziato ad arrivare ad Haiti martedì, più di un anno e mezzo dopo che il primo ministro aveva lanciato un appello ad altri paesi per chiedere aiuto per fermare la dilagante violenza delle bande che ha sconvolto la Nazione caraibica.

COME SARÀ COMPOSTA LA MISSIONE?

(Il Comandante della Missione)

La Missione Multinazionale di Sicurezza e Supporto (MMSS) è stata approvata in ambito Nazioni Unite approvata il 2 ottobre 2023.
Il Comandante sarà il Generale Godfrey Otunga, a capo dei 1.000 poliziotti kenyani del National Police Service (NPS), su un totale di 2.500 per sostenere le forze di sicurezza haitiane. L’ obiettivo, come detto, è proteggere le installazioni strategiche in Haiti. Gli USA finanziano parte della missione con oltre 100 milioni di dollari per il progetto e costruzione della base per la forza multinazionale, seppure il Brasile sia critico sull’appoggio statunitense, giudicandolo insufficiente.

L’ITALIA NON PARTECIPA?

Non è prevista al momento la partecipazione di forze di polizia italiane. Ci piace qui ricordare che nel 2010, dopo un forte sisma che scosse Haiti, gli italiani intervennero con una forza che coinvolse varie forze armate italiane, in una missione che fu denominata "White Crane" (Gru bianca), basata sulla portaerei Cavour, che fornì assistenza medica e umanitaria.

COSA ACCADE NEL FRATTEMPO IN KENYA?

(Scontri a Nairobi)

Una particolarità è che proprio nei giorni in cui i poliziotti volavano verso Haiti sono scoppiate proteste violente a Nairobi dopo l'approvazione di una controversa legge fiscale. Parliamo di un Paese molto povero, in cui la ricchezza non è distribuita e vi sono enormi disuguaglianze. Il 10% della popolazione detiene più della metà della ricchezza nazionale.
Il governo del primo ministro Ruto aveva presentato a maggio il disegno di legge finanziaria 2024 per aumentare le entrate e affrontare il debito, a quanto pare anche verso la Cina . Inizialmente, il disegno di legge prevedeva tasse su beni essenziali come pane, olio da cucina e automobili, ma la reazione pubblica ha portato i legislatori a ridurre alcune imposte. Tuttavia, il disegno di legge approvato prevede comunque un aumento delle tasse su beni importati, come uova, e sull'uso di telefoni, internet, commissioni di trasferimento bancario e attività digitali.
L'opposizione, soprattutto giovanile e attiva in quasi tutte le province del Paese, critica l'aumento dei costi per i consumatori, già alle prese con alti costi di vita a causa dell’alto tasso di inflazione e del calo di valore dello scellino.
A seguito degli scontri di piazza il Capo del Governo ha ritirato la legge. Bisognerà capire come evolverà la situazione e quanto questa potrà influire sulla missione dei poliziotti kenyoti ad Haiti.

Come si saranno accorti I lettori più attenti, l’aggiornamento è stato fatto Passando dalla versione 19.3.0 alla 19.5.0. Tuttavia, le modifiche più importanti sono proprio quelle legate alla 19.4.0 mentre per l’ultima versione si è trattato soprattutto della correzione di bug e di alcuni miglioramenti meno rilevanti. Le comunità hanno una nuova impostazione…

Source

informapirata

2024-06-27 09:12:18

Come si saranno accorti I lettori più attenti, l’aggiornamento è stato fatto Passando dalla versione 19.3.0 alla 19.5.0. Tuttavia, le modifiche più importanti sono proprio quelle legate alla 19.4.0 mentre per l’ultima versione si è trattato soprattutto della correzione di bug e di alcuni miglioramenti meno rilevanti.

informapirata.it/2024/06/27/fe…

Feddit.it è stato aggiornato dalla versione 19.3.0 alla 19.5.0. Vediamo quali sono le novità più rilevanti per gli utenti - informapirata

Come si saranno accorti I lettori più attenti, l’aggiornamento è stato fatto Passando dalla versione 19.3.0 alla 19.5.0. Tuttavia, le modifiche più importanti…

^{informapirata}