There are a number of reasons you might want to build your own smart speaker virtual assistant. Usually, getting your weather forecast from a snarky, malicious AI potato isn’t one of them, unless you’re a huge Portal fan like [Binh Pham].

[Binh Pham] built the potato incarnation of GLaDOS from the Portal 2 video game with the help of a ReSpeaker Light kit, an ESP32-based board designed for speech recognition and voice control, and as an interface for home assistant running on a Raspberry Pi.

He resisted the temptation to use a real potato as an enclosure and wisely opted instead to print one from a 3D file he found on Thingiverse of the original GLaDOS potato. Providing the assistant with the iconic synthetic voice of GLaDOS was a matter of repackaging an existing voice model for use with Home Assistant.

Of course all of this attention to detail would be for not if you had to refer to the assistant as “Google” or “Alexa” to get its attention. A bit of custom modelling and on-device wake word detection, and the cyborg tuber was ready to switch lights on and off with it’s signature sinister wit.

We’ve seen a number of projects that brought Portal objects to life for fans of the franchise to enjoy, even an assistant based on another version of the GLaDOS the character. This one adds a dimension of absurdity to the collection.

youtube.com/embed/cL3-J8UTgvc?…

hackaday.com/2025/04/15/this-p…

Un utente anonimo ha pubblicato nel forum underground chiuso Exploit un annuncio che ha subito attirato l’attenzione della comunità di cybersecurity: la vendita di un exploit zero-day per firewall Fortinet, che permetterebbe l’accesso completo e non autenticato ai dispositivi vulnerabili.

Il post è comparso sul forum underground exploit.in nella sezione dedicata a malware e exploit commerciali. L’attacco di tipo Unauthenticated Remote Code Execution (RCE) consentirebbe l’accesso completo ai dispositivi vulnerabili senza la necessità di autenticazione. Il prezzo per questo exploit? 6.500 dollari.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

L’annuncio, estremamente dettagliato, elenca i file e le informazioni che il tool in vendita sarebbe in grado di estrarre:

• Account VPN e GUI (file local_users.json)
• Credenziali e permessi degli amministratori (admin_accounts.json)
• Stato e configurazione del 2FA (two_factor.json)
• Tutte le policy firewall, NAT, VIP, indirizzi ecc
• Configurazioni SSL-VPN e IPsec, incluse sessioni attive
• Backup completi del sistema (config_backup.conf, backup_full)
• Routing, tabelle ARP, log di sistema, certificati e script CLI
• Certificati SSL utilizzati nei vari contesti dei firewall
• Licenze per le subscription Fortiguard

L’autore sottolinea che non sono necessarie credenziali per sfruttare l’exploit e ottenere il pieno controllo del dispositivo. Al momento, non esiste una conferma ufficiale da parte di Fortinet sull’autenticità dello zero-day, ma la natura tecnica del post e il linguaggio utilizzato fanno ipotizzare che si tratti di una minaccia concreta.

Il contesto in cui si presenta questa nuova minaccia per Fortinet

Il 10 Aprile (qualche giorno prima dell’apparsa del post sullo 0-Day) Fortinet, sul blog ufficiale del PSIRT, ha pubblicato un approfondimento relativo all’analisi di un attacco ad alcuni dispositivi vulnerabili alle CVE-2022-42475, CVE-2023-27997 e CVE-2024-21762 (già note e patchate).

Nel post ufficiale Fortinet descrive come gli hacker, dopo aver sfruttato le vulnerabilità dei dispositivi non aggiornati, abbiamo creato un link simbolico, che collega il filesystem dell’utente con il filesystem di root del firewall, in una cartella utilizzata per servire i file di lingua per il portale di accesso SSL-VPN.

Con questa tecnica i threat actor hanno potuto mantenere un’accesso in read-only ai firewall compromessi sebbene questi fossero stati aggiornati. L’offuscamento del link simbolico nel filesytem dell’utente ha impedito inizialmente la rilevazione di queste modifiche.

Fortinet è riuscita successivamente a mitigare l’accaduto, aggiornando le proprie firme Antivirus/IPS per individuare e pulire i link sospetti. Apportando modifiche alle ultime versioni per rilevare e rimuovere il collegamento simbolico e garantire che il portale SSL-VPN serva solo i file previsti.

Fortinet ha rilasciato patch e mitigazioni per impedire l’abuso di queste tecniche e consiglia l’aggiornamento immediato a:

• FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 o 6.4.16

In allarme tutti i CERT e le agenzie di cyber security

Il Computer Emergency Response Team francese (CERT-FR) ha rivelato, nel suo bollettino di sicurezza, che questa tecnica è stata utilizzata in una massiccia ondata di attacchi a partire dall’inizio del 2023. Ed invita tutti gli amministratori di sistema ad aggiornare i propri dispositivi e porre in atto tutte le mitigazioni indicate.

Il CISA americano ha invitato gli operatori di rete a segnalare eventuali incidenti e attività anomale legate al report di Fortinet al proprio Centro Operativo attivo 24/7.

Il CSIRT Italiano pubblica un bollettino relativo alle tecniche di post-sfruttamento e invita all’aggiornamento immediato dei dispositivi.

Abbiamo condotto una ricerca su shadowserver per renderci conto dei numeri dei dispostivi ad oggi vulnerabili alle 3 CVE in esame. Eccetto la CVE più “anziana” che conta pochi dispositivi, le altre due riportano numeri sull’ordine delle migliaia.

Conclusione

Il presunto zero-day in vendita rappresenta una minaccia attuale e potenzialmente devastante, mentre l’analisi di Fortinet dimostra che i dispositivi già compromessi possono contenere meccanismi di controllo persistente invisibili, anche a seguito di aggiornamenti.

Le due vicende non sono direttamente collegate, ma condividono un comune denominatore: la crescente attrattiva dei dispositivi perimetrali FortiGate come obiettivo critico per attacchi avanzati.

Che si tratti dunque di uno zero-day sconosciuto o di vulnerabilità già note, il pattern è chiaro: i firewall non sono più solo dispositivi di protezione, ma bersagli ad alto valore strategico.

Fonti

• FORTINET PSIRT: fortinet.com/blog/psirt-blogs/…
• CERT-FR: cert.ssi.gouv.fr/alerte/CERTFR…
• CISA: cisa.gov/news-events/alerts/20…
• CSIRT-IT: acn.gov.it/portale/w/rilevato-…
• BLEEPING COMPUTER: bleepingcomputer.com/news/secu…
• SHADOWSERVER CVE-2022-42475: dashboard.shadowserver.org/sta…
• SHADOWSERVER CVE-2023-27997: dashboard.shadowserver.org/sta…
• SHADOWSERVER CVE-2024-21762: dashboard.shadowserver.org/sta…

L'articolo Un Exploit Zero Day su FortiGate in vendita nei forum underground per 6.500 dollari proviene da il blog della sicurezza informatica.

Se vedi la Madonna sei un allucinato, ma a quanto pare se "senti la AGI" e scrivi codice seguendo il vibe sei un genio della Silicon Valley.

spreaker.com/episode/dk-9x26-s…

Il gruppo OverFlame, in collaborazione con il team Sector16, ha recentemente annunciato di aver ottenuto il pieno accesso al sistema di gestione SCADA di una azienda italiana, situata nella celebre isola di Capri. Attraverso il sistema compromesso, i gruppi sono riusciti a interferire con il funzionamento di riscaldamento e condizionamento degli ambienti.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.
Post pubblicato da overflame all’interno dei suoi canali telegram
È importante sottolineare che, come dichiarato dagli stessi attori, l’accesso al sistema è avvenuto legalmente, tramite un accordo diretto con il soggetto proprietario della rete. Questo fa pensare a un’attività di red teaming o di pen test autorizzato, piuttosto che a un’azione malevola.
Post dove si afferma che l’accesso al sistema è avvenuto legalmente.
Gli ambienti SCADA, tradizionalmente utilizzati in ambito industriale, trovano applicazione anche nella gestione delle infrastrutture alberghiere di alto livello. La sicurezza di questi sistemi, spesso trascurata, rappresenta una falla critica che può impattare direttamente sul comfort degli ospiti, sulla reputazione e sui costi operativi.

Questo articolo è stato redatto attraverso l’utilizzo della piattaforma Recorded Future, partner strategico di Red Hot Cyber e leader nell’intelligence sulle minacce informatiche, che fornisce analisi avanzate per identificare e contrastare le attività malevole nel cyberspazio.

Le implicazioni

• Dimostrazione pratica di vulnerabilità nelle infrastrutture critiche anche in ambiti non industriali.
• Importanza crescente dei test di sicurezza proattivi su sistemi SCADA.
• Maggiore consapevolezza sulla necessità di proteggere anche settori come l’hospitality, spesso meno preparati contro minacce cyber.

Pannello scada del sistema violato

Conclusioni

Questo evento sottolinea ancora una volta quanto i sistemi SCADA e di building management siano spesso esposti a vulnerabilità critiche, specialmente in settori come l’ospitalità di lusso.
Anche quando l’accesso avviene in modo concordato, resta evidente l’importanza di investire nella protezione delle infrastrutture digitali, adottando strategie di cybersecurity proattive e programmi di monitoraggio continuo.

Gli hotel e i resort, in particolare, devono comprendere che una violazione non si traduce solo in problemi tecnici, ma può anche avere gravi ripercussioni sull’immagine e sulla fiducia dei clienti.
Affidarsi a team di esperti per condurre test di penetrazione regolari può fare la differenza tra una vulnerabilità gestita in sicurezza e un disastro pubblico.

Come nostra consuetudine, lasciamo spazio ad una dichiarazione dell’azienda qualora voglia darci degli aggiornamenti su questa vicenda e saremo lieti di pubblicarla con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono accedere utilizzare la mail crittografata del whistleblower.
Altro pannello scada del sistema violato

L'articolo Attacco al sistema SCADA di un hotel a Capri: OverFlame e Sector16 ottengono pieno accesso proviene da il blog della sicurezza informatica.