As technology progresses, we generally expect processing capabilities to scale up. Every year, we get more processor power, faster speeds, greater memory, and lower cost. However, we can also use improvements in software to get things running on what might otherwise be considered inadequate hardware. Taking this to the extreme, while large language models (LLMs) like GPT are running out of data to train on and having difficulty scaling up, [DaveBben] is experimenting with scaling down instead, running an LLM on the smallest computer that could reasonably run one.

Of course, some concessions have to be made to get an LLM running on underpowered hardware. In this case, the computer of choice is an ESP32, so the dataset was reduced from the trillions of parameters of something like GPT-4 or even hundreds of billions for GPT-3 down to only 260,000. The dataset comes from the tinyllamas checkpoint, and llama.2c is the implementation that [DaveBben] chose for this setup, as it can be streamlined to run a bit better on something like the ESP32. The specific model is the ESP32-S3FH4R2, which was chosen for its large amount of RAM compared to other versions since even this small model needs a minimum of 1 MB to run. It also has two cores, which will both work as hard as possible under (relatively) heavy loads like these, and the clock speed of the CPU can be maxed out at around 240 MHz.

Admittedly, [DaveBben] is mostly doing this just to see if it can be done since even the most powerful of ESP32 processors won’t be able to do much useful work with a large language model. It does turn out to be possible, though, and somewhat impressive, considering the ESP32 has about as much processing capability as a 486 or maybe an early Pentium chip, to put things in perspective. If you’re willing to devote a few more resources to an LLM, though, you can self-host it and use it in much the same way as an online model such as ChatGPT.

hackaday.com/2024/09/07/large-…

I ricercatori di sicurezza cinesi hanno recentemente scoperto attacchi che utilizzano la vulnerabilità CVE-2024-30051 (punteggio CVSS: 7,8), utilizzata negli attacchi informatici legati a QakBot, un noto trojan bancario. La vulnerabilità è stata notata per la prima volta dagli specialisti di Kaspersky Lab nell’aprile 2024. Il difetto è legato alla libreria “dwmcore.dll”, responsabile del processo Desktop Window Manager in Windows.

Sfruttando questa vulnerabilità, gli aggressori possono controllare il processo di allocazione della memoria, che porta a un buffer overflow e consente la scrittura dei dati al di fuori dell’area allocata. Ciò apre la porta all’esecuzione di codice arbitrario sul computer di destinazione.

Gli aggressori hanno sfruttato una vulnerabilità nel sistema DirectComposition, responsabile della gestione degli elementi visivi in ​​Windows. Hanno inviato comandi speciali attraverso funzioni vulnerabili, che hanno interrotto il normale funzionamento del sistema. Ciò ha permesso di modificare i processi di sistema e ottenere diritti di accesso elevati.

È interessante notare che per sfruttare la vulnerabilità è stata utilizzata una complessa tecnica di manipolazione della memoria, inclusa la creazione di oggetti speciali come CHolographicInteropTextureMarshaler. Durante l’attacco gli aggressori hanno inserito codice dannoso in questi oggetti e hanno controllato l’esecuzione dei comandi a livello di sistema.

Dopo aver sfruttato con successo la vulnerabilità, gli aggressori hanno caricato librerie dannose che consentivano loro di eseguire comandi arbitrari ed eseguire programmi con privilegi elevati. Ad un certo punto gli aggressori hanno addirittura sfruttato la vulnerabilità per interagire con il processo UAC (User Account Control) di Windows, che dava loro accesso alle funzioni del sistema e permetteva loro di aggirare i meccanismi di sicurezza standard.

I ricercatori sottolineano che tali tecniche per sfruttare le vulnerabilità indicano che gli sviluppatori di malware sono altamente qualificati. In particolare, gli esperti suggeriscono che QakBot abbia le risorse per acquisire e sfruttare le vulnerabilità 0day, il che conferma la sua attività a lungo termine nel campo degli attacchi informatici.

Secondo gli esperti in futuro è prevedibile un aumento del numero di tali attacchi, soprattutto da parte di gruppi finanziariamente motivati che sfruttano le moderne vulnerabilità per attaccare le grandi organizzazioni.

L'articolo QakBot e CVE-2024-30051: Nuovi Metodi di Attacco Basati su Vulnerabilità Windows proviene da il blog della sicurezza informatica.

Le autorità americane hanno accusato Michael Smith, 52 anni, di aver frodato i servizi di streaming per oltre 10 milioni di dollari. Si ritiene che Smith abbia utilizzato l’intelligenza artificiale per creare centinaia di migliaia di brani di band defunte e poi distribuirli tramite servizi di streaming (Spotify, Apple Music, YouTube Music e Amazon Music). Allo stesso tempo, Smith ha aumentato il numero di ascolti utilizzando i robot.

Il procuratore degli Stati Uniti Damian Williams ha affermato: “Come affermato, Michael Smith ha trasmesso in streaming fraudolento miliardi di volte canzoni create con l’intelligenza artificiale per rubare royalties. Attraverso il suo sfacciato schema di frode, Smith ha rubato milioni di royalties che avrebbero dovuto essere pagate a musicisti, cantautori e altri detentori di diritti le cui canzoni erano state legittimamente trasmesse in streaming. Oggi, grazie al lavoro dell’FBI e dei procuratori di carriera di questo ufficio, è tempo che Smith affronti la musica”.

Le accuse contro Smith includono frode telematica, associazione a delinquere finalizzata a commettere frode telematica e associazione a delinquere finalizzata al riciclaggio di denaro. Se condannato, Smith rischia fino a 20 anni di carcere per ogni accusa.

Secondo le forze dell’ordine, la truffa di Smith è durata circa sette anni (dal 2017 al 2024), durante i quali ha utilizzato migliaia di account fittizi creati utilizzando indirizzi email acquistati.

Smith presumibilmente ha sviluppato il proprio software per riprodurre all’infinito la sua musica AI da diversi computer, e questo software ha imitato con successo l’attività di ascoltatori reali provenienti da diverse regioni.

Secondo l’indagine, inizialmente Smith ha caricato le sue composizioni originali sui servizi di streaming, ma è diventato subito chiaro che ciò non portava molti guadagni. Cercando di aumentare la scala, ha collaborato per qualche tempo con altri musicisti, offrendosi di eseguire le loro canzoni a pagamento, ma questi tentativi non sono stati coronati da successo.

Alla fine Smith è passato alla musica generata dall’intelligenza artificiale nel 2018 e ha collaborato con un dirigente e promotore musicale di una società di musica AI senza nome. Insieme hanno creato un’enorme libreria di musica AI. Vale la pena notare che i documenti del tribunale non specificano esattamente quale metodo abbiano utilizzato Smith e i suoi complici per generare le tracce create dall’IA, o come ciò sia avvenuto esattamente.

Smith stimava di poter riprodurre in streaming le sue tracce fino a 661.440 volte al giorno, guadagnando potenzialmente 3.307,20 dollari al giorno (fino a 1,2 milioni all’anno).

Si ritiene che al culmine della sua attività, Smith abbia utilizzato più di 1.000 account bot per potenziare artificialmente le audizioni su varie piattaforme. Da un messaggio che Smith ha inviato a se stesso, aveva scritto di gestire 52 account cloud, ognuno dei quali ospitava 20 bot.

A giugno 2019, Smith guadagnava effettivamente circa 110.000 dollari al mese, condividendo una parte del reddito con i suoi co-cospiratori anonimi. Secondo il New York Times , in un’e-mail inviata all’inizio di quest’anno, Smith si vantava con il suo interlocutore di aver raggiunto i 4 miliardi di stream e di aver guadagnato un totale di 12 milioni di dollari in royalties dal 2019.

Secondo la pubblicazione, quando una società di distribuzione musicale ha denunciato “numerosi abusi nel settore dello streaming” nel 2018, Smith è rimasto scioccato e ha negato fermamente qualsiasi accusa, insistendo sul fatto che “non c’era assolutamente alcuna frode”.

L'articolo Crea Musica con le AI e la fa ascoltare dai Bot. Una frode da 12 milioni di dollari ai servizi di streaming proviene da il blog della sicurezza informatica.

Gli specialisti di Kaspersky Lab hanno parlato della scoperta di numerose vulnerabilità nel terminale biometrico del produttore ZKTeco. I problemi potrebbero essere utilizzati per aggirare i sistemi di controllo degli accessi ed entrare fisicamente in aree protette, nonché per rubare dati biometrici, apportare modifiche ai database e installare backdoor.

I lettori biometrici studiati dai ricercatori sono ampiamente utilizzati in una varietà di settori in tutto il mondo, dalle centrali nucleari e manifatturiere agli uffici e alle organizzazioni sanitarie. I dispositivi supportano quattro metodi di autenticazione dell’utente: biometrico (utilizzando un volto), password, badge elettronico o codice QR, e possono memorizzare i dati biometrici di migliaia di persone.

Uno dei problemi più seri riguarda un gruppo di vulnerabilità che consente agli aggressori di ottenere l’accesso fisico ad aree riservate ( CVE-2023-3938 ), associate alle iniezioni SQL.

Gli aggressori possono incorporare dati in un codice QR per accedere a luoghi che non possono essere raggiunti senza autorizzazione. Se il terminale inizia a elaborare una richiesta contenente un codice QR così dannoso, il database lo identificherà erroneamente come proveniente dall’ultimo utente legittimo autorizzato. Alla fine, l’attacco darà all’hacker la possibilità di penetrare fisicamente in aree riservate.

“Oltre alla sostituzione del codice QR, esiste un’altra potenziale opportunità per ingannare il sistema e ottenere l’accesso alle aree protette chiuse. Se un utente malintenzionato riesce ad accedere al database di un dispositivo, può sfruttare altre vulnerabilità per scaricare una foto di un utente legittimo, stamparla e utilizzarla per ingannare la fotocamera del dispositivo e ottenere l’accesso a un’area protetta. Questo metodo, ovviamente, presenta alcune limitazioni. La foto deve essere stampata o visualizzata sullo schermo del telefono e i sensori termici del terminale biometrico devono essere disabilitati. Tuttavia, questo metodo rappresenta ancora una seria minaccia”, afferma Georgy Kiguradze, esperto di sicurezza informatica presso Kaspersky Lab.

Un altro gruppo di vulnerabilità ( CVE-2023-3940 ) è legato al furto di dati biometrici e all’installazione di backdoor. Pertanto, un potenziale utente malintenzionato può accedere a qualsiasi file sul sistema ed estrarlo. Ciò significa che gli aggressori avranno accesso ai dati biometrici sensibili degli utenti e agli hash delle password e potranno successivamente compromettere le credenziali aziendali, sebbene l’interpretazione dei dati biometrici rubati rimanga estremamente complessa.

Un altro gruppo di vulnerabilità ( CVE-2023-3941 ) consente di apportare modifiche al database del lettore biometrico. Di conseguenza, gli aggressori possono caricare i propri dati (ad esempio fotografie) nel database e aggiungersi autonomamente all’elenco degli utenti autorizzati, per poi passare attraverso tornelli o porte. Questo gruppo di vulnerabilità consente inoltre la sostituzione dei file eseguibili, rendendo potenzialmente possibile la creazione di una backdoor.

Altri gruppi di vulnerabilità ( CVE-2023-3939 , CVE-2023-3943 ) consentono l’esecuzione di comandi o codici arbitrari sul dispositivo, offrendo agli aggressori il pieno controllo con il massimo livello di privilegi. Ciò significa che l’apparecchio può essere utilizzato per sferrare attacchi ad altri nodi della rete, mettendo a rischio l’intera infrastruttura aziendale.

In totale, i ricercatori hanno scoperto 24 vulnerabilità nei terminali biometrici ZKTeco:

• 6 SQL injection;
• 7 stack buffer overflow;
• 5 command injection;
• 6 vulnerabilità varie sul file system;

Gli esperti hanno raggruppato in gruppi tutte le vulnerabilità riscontrate (molte di esse erano simili tra loro perché sorte a causa di un errore in un punto all’interno della libreria che funge da “wrapper” per il database) e le hanno registrate, dopo aver prima segnalato i problemi al produttore.

L'articolo Vulnerabilità nei Terminali ZKTeco: Gli Hacker Possono Accedere ad Aree Riservate proviene da il blog della sicurezza informatica.

Zyxel ha rilasciato patch per risolvere una vulnerabilità critica che colpisce diversi modelli di router aziendali e potenzialmente consente agli aggressori non autenticati di eseguire l’iniezione di comandi. Zyxel ha inoltre risolto quasi una dozzina di vulnerabilità negli altri suoi prodotti.

La vulnerabilità più pericolosa tra tutte quelle corrette viene tracciata con l’identificatore CVE-2024-7261 e ha ricevuto un punteggio CVSS di 9,8, che è considerato critico. Il problema è dovuto alla cattiva gestione dei dati forniti dagli utenti, che consente agli aggressori remoti di eseguire comandi arbitrari sul sistema operativo host.

“La neutralizzazione errata di elementi speciali nel parametro host nel programma CGI su alcuni punti di accesso e modelli di router potrebbe consentire a un utente malintenzionato non autorizzato di eseguire comandi inviando un cookie appositamente predisposto a un dispositivo vulnerabile“, avvertono gli ingegneri di Zyxel.

Il CVE-2024-7261 interessa i seguenti dispositivi.

• Serie NWA : NWA50AX, NWA50AX PRO, NWA55AXE, NWA90AX, NWA90AX PRO, NWA110AX, NWA130BE, NWA210AX, NWA220AX-6E. Tutte le versioni firmware fino alla 7.00 sono vulnerabili; si consiglia l’aggiornamento alla 7.00 (ABYW.2) e alle versioni successive.
• NWA1123-AC PRO: tutte le versioni firmware fino alla 6.28 sono vulnerabili, si consiglia l’aggiornamento alla 6.28 (ABHD.3) e versioni successive.
• NWA1123ACv3, WAC500, WAC500H: tutte le versioni firmware fino alla 6.70 sono vulnerabili, si consiglia l’aggiornamento alla 6.70 (ABVT.5) e successive.
• Serie WAC : WAC6103D-I, WAC6502D-S, WAC6503D-S, WAC6552D-S, WAC6553D-E, tutte le versioni firmware fino alla 6.28 sono vulnerabili, si consiglia di aggiornare alla 6.28 (AAXH.3) e alle versioni successive.
• Serie WAX : WAX300H, WAX510D, WAX610D, WAX620D-6E, WAX630S, WAX640S-6E, WAX650S, WAX655E, tutte le versioni firmware 7.00 sono vulnerabili, si consiglia l’aggiornamento a 7.00 (ACHF.2) e successive.
• Serie WBE : WBE530, WBE660S, tutte le versioni firmware fino alla 7.00 sono vulnerabili, si consiglia l’aggiornamento alla 7.00 (ACLE.2) e successive.

Zyxel segnala inoltre che anche i router USG LITE 60AX che eseguono V2.00 (ACIP.2) sono interessati da questo problema, ma questo modello si aggiornerà automaticamente tramite il cloud alla versione V2.00 (ACIP.3), che contiene già una patch per CVE-2024-7261.

Tuttavia, il bug critico non è stato l’unico problema risolto da Zyxel questa settimana. Pertanto, il produttore ha messo in guardia su sette ulteriori vulnerabilità che colpiscono alcune serie di firewall, tra cui ATP, USG-FLEX e USG FLEX 50(W)/USG20(W)-VPN:

• CVE-2024-6343 (CVSS Score 4.9): un buffer overflow in CGI che consente a un utente malintenzionato autenticato con privilegi amministrativi di causare un rifiuto di servizio inviando richieste HTTP appositamente predisposte;
• CVE-2024-7203 (CVSS Punteggio 7.2): iniezione di comandi post-autenticazione, che consente a un utente malintenzionato autenticato con privilegi amministrativi di eseguire comandi eseguendo comandi CLI appositamente predisposti. Tale bug è stato scoperto dai ricercatori di Red Hot Cyber del gruppo di HackerHood.
• CVE-2024-42057 (CVSS Score 8.1): iniezione di comandi in VPN IPSec, che consente a un utente malintenzionato non autenticato di eseguire comandi inviando un nome utente falsificato (l’attacco avrà successo solo se il dispositivo è configurato per l’autenticazione basata sull’utente PSK e ha un utente con un nome più lungo di 28 caratteri).
• CVE-2024-42058 ( punteggio CVSS 7.5): un de referenziamento del puntatore NULL in alcune versioni di firewall, che consente a un utente malintenzionato non autenticato di condurre attacchi DoS inviando pacchetti modificati.
• CVE-2024-42059 (CVSS Punteggio 7.2): un’iniezione di comandi post-autenticazione che consente a un utente malintenzionato autenticato con privilegi amministrativi di eseguire comandi su un dispositivo interessato caricando un file di lingua compresso tramite FTP.
• CVE-2024-42060 (punteggio CVSS 7.2): iniezione di comandi post-autenticazione, che consente a un utente malintenzionato autenticato con privilegi amministrativi di eseguire comandi scaricando un file del contratto utente interno modificato su un dispositivo interessato.
• CVE-2024-42061 (punteggio CVSS 6.1): il CGI XSS riflesso Dynamic_script.cgi consente a un utente malintenzionato di indurre un utente a visitare un URL creato con un payload XSS. Un utente malintenzionato sarà in grado di ottenere informazioni sul browser se nel browser della vittima viene eseguito uno script dannoso.

Un’altra vulnerabilità ( CVE-2024-5412 , punteggio CVSS 7,5) è stata identificata in 50 prodotti Zyxel, tra cui alcune apparecchiature client, terminali in fibra ottica e router. Il problema è legato a un buffer overflow nella libreria libclinkc e consente a un utente malintenzionato non autenticato di condurre un attacco DoS inviando richieste HTTP modificate.

L'articolo Vulnerabilità critica nei router Zyxel! Patch disponibili per evitare attacchi di iniezione proviene da il blog della sicurezza informatica.