Whoever thought a keyboard could look so sinister? Well, [rain2] aka [AffectionateWin7178], that’s who. Vengeance is the sixth keyboard they’ve designed, and let’s just say we wouldn’t mind seeing the other five.

This is a takeoff of Zazu, a custom case printed for the monoblock split designed by [AlSaMoMo]. A friend of [rain2] made a ZMK PCB for the Zazu about a month ago, and they dreamed up the case design together. Among our first questions were of course, how do you type without those bat wings digging into your palms? But evidently, they are designed not to get in the way at all during use.

We particularly like the gold skirt around the edge which joins the two printed halves. It goes nicely with the bank vault elements like the dial around the trackball and the five-way switch that resembles a handle. And yeah, we wish the Batmobile was a mouse, too. While it seems that [rain2] hasn’t released the STLs for the case, you can find the ZMK Zazu repo on GitHub. Happy designing! As always, let us know what you come up with.

Here’s another BAT keyboard you might be interested in.

The RADIUS authentication scheme, short for “Remote Authentication Dial-In User Service”, has been widely deployed for user authentication in all sorts of scenarios. It’s a bit odd, in that individual users authenticate to a “RADIUS Client”, sometimes called a Network Access Server (NAS). In response to an authentication request, a NAS packages up the authentication details, and sends it to a central RADIUS server for verification. The server then sends back a judgement on the authentication request, and if successful the user is authenticated to the NAS/client.

The scheme was updated to its current form in 1994, back when MD5 was considered a cryptographically good hash. It’s been demonstrated that MD5 has problems, most notably a chosen-prefix collision attack demonstrated in 2007. The basis of this collision attack is that given two arbitrary messages, it is possible to find a pair of values that, when appended to the end of those messages, result in matching md5 hashes for each combined message. It turns out this is directly applicable to RADIUS.

The attack is a man-in-the-middle, but not against an authenticating user. This attack is a man-in-the-middle between the NAS and the RADIUS server, and a real user isn’t even required. This elevated position does make an attack harder to achieve in some cases, but situations like RADIUS providing authentication for administrative access to a device is squarely in scope. Wrapping the RADIUS backend communications in a TLS layer does protect against the attack.

Gitlab

It’s once again time to go update your Gitlab instances, and this one sounds familiar. It’s another issue where an attacker could run pipeline jobs as an arbitrary user. This comes as one more of a series of problems in Gitlab, with at least one of them being exploited in the wild. It’s not surprising to see a high-visibility vulnerability leading to the discovery of several more similar problems. With this latest issue being so similar to the previous pipeline problem, it’s possible that it’s actually an incomplete patch or additional workaround discovered to exploit the same issue.

Exim

There’s a bug in the Exim email server, that impacts the processing of attachment blocking rules. Specifically, the filename in the email header is broken into multiple parts, with some confusing extra bytes in between. It’s technically compliant with the right RFC, but Exim’s mime handling code gets confused, and misses the right message name.

Exim server can be configured to block certain file types, and this vulnerability allows those blocked attachments through. The original CVSS of 9.1 is a tad insane. The latest update drops that to a 5.4, which seems much more appropriate.

Plormbing Your ORM

Prisma is a “Next Generation ORM (Object Relational Mapper), that takes database schema, and maps it to code objects. In other words, it helps write code that interacts with a database. There’s some potential problems there, like using filters on protected data, to leak information one byte at a time, in a very Hollywood manner.

This brings us to a second approach, a time-based data leak. Here a SQL query will execute slowly or quickly depending on the data in the database. The plormber tool is designed to easily build attempts at time-based leaks. Hence the pun. If you have a leak in your ORM, call a plORMber. *sigh*

Internet Explorer Rises Again

When Microsoft finally obsoleted Internet Explorer in 2022, I had some hope that it wouldn’t be the cause of any more security issues. And yet here we are, in 2024, talking about an exploitation campaign that used a 0-day in Windows to launch Internet Explorer.

A very odd file extension, .pdf.url, manages to appear as a pdf file with the appropriate icon, and yet opens IE when executed. This finally got classified by Microsoft as a vulnerability and fixed.

Bits and Bytes

There’s another SSH issue, related to regreSSHion. This time a vendor patch makes a call to cleanup_exit() from a signal handler function, calling more async-unsafe code. If that doesn’t make any sense, circle back around to last week’s installment of the column for the details. This time it’s Fedora, Red Hat, and other distros that used the patch.

One of the security barriers that most of us rely on is that traffic originating from the WAN side of the router should stay there. When that paradigm breaks down, we have problems. And that’s exactly what the folks at Claroty are working to defeat. The trick this time is a vulnerability in a router’s Dynamic DNS service. Manage to spoof a DNS lookup or MitM that connection, and suddenly it’s RCE on the router.

And finally, we’ve covered a pair of outstanding stories this week here at Hackaday. You should go read about how Ticketmaster’s app was reverse engineered, followed by a brilliant and completely impractical scheme to get your Internet connection for free while flying.

Il gruppo CrystalRay, che nel febbraio 2024 ha utilizzato il worm open source SSH-Snake per i suoi attacchi, ha ampliato la portata della sua attività attraverso nuove tattiche ed exploit. Ora gli hacker criminali hanno già contato più di 1.500 vittime le cui credenziali sono state rubate e infettate da cryptominer.

Ricordiamo che SSH-Snake è uno strumento open source utilizzato per cercare silenziosamente chiavi private, spostarsi lateralmente attraverso l’infrastruttura di una vittima e fornire payload aggiuntivi ai sistemi compromessi.

È stato scoperto per la prima volta a febbraio di quest’anno dai ricercatori della società Sysdig, che hanno descritto SSH-Snake come un “worm automodificante” che utilizza le credenziali SSH trovate su un sistema compromesso per iniziare a diffondersi nella rete. È stato inoltre notato che si differenzia dai normali worm SSH, evita i modelli tipici degli attacchi e porta il normale movimento laterale della rete al livello successivo essendo più accurato nella ricerca delle chiavi private.

Una volta che il worm ottiene le chiavi SSH, le utilizza per accedere a nuovi sistemi, quindi si copia e ripete il processo su nuovi host.

All’inizio dell’anno i ricercatori hanno riferito di essere a conoscenza di circa 100 vittime affette da SSH-Snake. Ma ora Sysdig ha avvertito che gli aggressori dietro questi attacchi, soprannominati CrystalRay, hanno notevolmente ampliato la portata delle loro operazioni, e più di 1.500 organizzazioni sono già tra le vittime.

“Osservazioni recenti indicano che le operazioni di CrystalRay sono aumentate di 10 volte, raggiungendo oltre 1.500 vittime, e ora includono scansioni di massa, sfruttamento di molteplici vulnerabilità e installazione di backdoor utilizzando vari strumenti OSS”, hanno scritto gli esperti.

Secondo i ricercatori, lo scopo principale di CrystalRay è raccogliere e poi vendere credenziali, distribuire miner di criptovaluta (lo script distrugge tutti i minatori concorrenti per massimizzare i profitti) e assicurarsi un punto d’appoggio nella rete della vittima.

Gli strumenti che il gruppo utilizza oltre a SSH-Snake includono zmap, asn, httpx. Allo stesso tempo, SSH-Snake rimane ancora lo strumento principale degli hacker, con l’aiuto del quale si muovono attraverso le reti compromesse.

CrystalRay utilizza anche exploit PoC modificati per varie vulnerabilità, che vengono consegnati alle vittime utilizzando il framework Sliver.

Prima di lanciare exploit, gli aggressori conducono test approfonditi per confermare la presenza di vulnerabilità scoperte. In particolare, gli hacker sfruttano le seguenti vulnerabilità:

• CVE-2022-44877 – Vulnerabilità nell’esecuzione di comandi arbitrari del Pannello Web di controllo (CWP)
• CVE-2021-3129 – Vulnerabilità relativa all’esecuzione di codice arbitrario in Ignition (Laravel);
• CVE-2019-18394 è una vulnerabilità SSRF in Ignite Realtime Openfire.

Secondo i ricercatori, è probabile che anche i prodotti Atlassian Confluence vengano presi di mira da questi aggressori. I ricercatori sono giunti a questa conclusione osservando i modelli di sfruttamento identificati dopo aver studiato molteplici tentativi di hacking provenienti da 1.800 indirizzi IP diversi.

L'articolo Attenti a CrystalRay! I loro attacchi con SSH-Snake sono aumentati di 10 volte da inizio 2024 proviene da il blog della sicurezza informatica.

Gen Digital, una società che sviluppa prodotti per la sicurezza informatica e la privacy digitale, ha lanciato una campagna educativa chiamata “Scam Artists” che dimostra l’impatto del crimine informatico sul cervello umano. Il progetto si basa sul vecchio detto “la vita imita l’arte”, che, secondo gli ideatori, si applica a tutti gli ambiti della vita.

Durante l’esperimento, a tre persone vittime di crimini informatici è stato chiesto di ricordare l’esperienza vissuta. Allo stesso tempo, la loro attività cerebrale è stata registrata mediante elettroencefalografia (EEG). I partecipanti erano collegati a macchine che registravano le risposte cerebrali prima, durante e dopo i ricordi degli attacchi informatici. I dati ottenuti sono stati convertiti in immagini visive che riflettono esplosioni di attività cerebrale associate a stress, ansia e incertezza.

Lynn Beatty, vittima di un furto d’identità, aveva tre diversi stati cerebrali:

1. Calma
2. Ansia e stress nel ricordare le esperienze
3. Ritornare alla calma dopo che al partecipante sono stati spiegati i modi per proteggersi dalle minacce informatiche

Lo psicologo Lee Chambers, che ha preso parte al progetto, ha osservato che tali esperienze possono avere conseguenze a lungo termine e influenzare in modo significativo la qualità della vita di una persona. La campagna mira anche a mostrare perché le persone a volte ignorano le regole di sicurezza online e si affidano al proprio intuito.

Parallelamente a questo studio, Gen Digital ha studiato l’atteggiamento del pubblico nei confronti delle minacce informatiche e i metodi per proteggersi da esse. I risultati hanno mostrato che il 58% degli americani e dei britannici è consapevole di poter diventare vittima dei criminali informatici. Tuttavia, il 42% degli intervistati si considera ancora invulnerabile.

Pertanto, le vittime dei crimini su Internet molto spesso sperimentano stress e rabbia. Va notato separatamente che solo la metà degli intervistati ha utilizzato mezzi di protezione contro le minacce informatiche. “Scam Artists” non solo dimostra l’impatto psicologico negativo della criminalità informatica sul cervello umano, ma mostra anche come le misure di sicurezza informatica possano migliorare il benessere psicologico degli utenti.

Questo progetto fa parte di un’iniziativa più ampia di Gen Digital per aumentare la consapevolezza della sicurezza informatica. L’azienda sviluppa soluzioni tecnologiche con i marchi Norton, Avast, LifeLock, Avira e AVG, cercando di fornire agli utenti un’interazione sicura nel mondo digitale.

L'articolo L’Impatto Nascosto dei Crimini Informatici sul nostro Cervello. Lo studio “Scam Artists” proviene da il blog della sicurezza informatica.

The host of problems to deal with when you’re feeling the need for FDM speed are many and varied, but high on the list is figuring out how to melt filament fast enough to accommodate high flow rates. Plus, the filament must be melted completely; a melty outside and a crunchy inside might be good for snacks, but not for 3D printing. Luckily, budget-minded hobbyists can build a drop-in booster to increase volumetric flow using only basic tools and materials.

[aamott]’s booster, which started life as a copper screw, is designed to replace the standard spacer in an extruder, with a bore that narrows as the filament gets closer to the nozzle to ensure that the core of the filament melts completely. Rather than a lathe, [aamott]’s main tool is a drill press, which he used to drill a 0.7 mm bore through the screw using a PCB drill bit. The hole was reamed out with a 10° CNC engraving bit, generating the required taper. After cutting off the head of the screw and cleaning up the faces, he cut radial slots into the body of the booster by threading the blade of a jeweler’s saw into the bore. The result was a bore wide enough to accept the filament on one end, narrowing to a (roughly) cross-shaped profile at the other.

Stacked up with a couple of knock-off Bondtech CHT nozzles, the effect of the booster was impressive — a 50% increase in flow rate. It’s not bad for a prototype made with simple tools, and it looks a little easier to build than [Stefan]’s take on the same idea.

youtube.com/embed/W_ij-4hvUjo?…

Negli ultimi anni il tema dell’intelligenza artificiale (AI) è andato sempre più oltre le discussioni puramente tecniche, toccando questioni filosofiche profonde. Il filosofo di Oxford Nick Bostrom e il matematico Marcus du Sautoy sono in prima linea in queste discussioni, immaginando un futuro in cui il confine tra esseri umani e intelligenza artificiale potrebbe sfumare completamente.

La storia del pensiero sulla vita artificiale risale a tempi antichi. Nell’VIII secolo a.C., l’antico poeta greco Esiodo descrisse Talos, un gigante di bronzo creato dal dio fabbro Efesto. Questo robot mitologico, pieno della forza vitale divina divenne la prima descrizione di una forma di vita artificiale in letteratura.

2.700 anni dopo, aziende moderne come Microsoft, OpenAI e Anthropic, come Hephaestus, permeano le loro creazioni con creatività umana, ragionamento e grandi quantità di dati. Ciò che una volta sembrava pura fantascienza è ora percepito da molti esperti come un futuro inevitabile.

Nick Bostrom, autore di Artificial Intelligence and Deep Utopia, sostiene che l’emergere di una qualche forma di coscienza ibrida uomo-macchina è probabilmente inevitabile. “Sarebbe triste se tra un milione di anni l’umanità rimanesse nella sua forma attuale… Prima o poi potrebbe esserci bisogno di rinnovamento. Quindi puoi immaginare il caricamento della coscienza, il potenziamento biologico o qualcosa di simile”, sostiene il filosofo .

Tuttavia, Bostrom avverte che un simile “aggiornamento” potrebbe avere conseguenze disastrose. Allo stesso tempo, nel suo ultimo libro considera anche uno scenario positivo, descrivendo un “mondo di problemi risolti”, libero dalla routine quotidiana.

La domanda chiave in questo dibattito è se l’intelligenza artificiale può diventare cosciente? La definizione stessa di coscienza rimane oggetto di acceso dibattito tra filosofi e scienziati. Il famoso test di Turing, proposto a metà del XX secolo, valutava solo la capacità di una macchina di convincere una persona della sua intelligenza, che, secondo gli esperti moderni, influisce solo su una piccola parte della questione.

Secondo Bostrom, la coscienza non è una questione “sì o no”, ma piuttosto un processo graduale e spesso poco chiaro, il cui progresso è difficile da valutare. “Non abbiamo criteri chiari su ciò che rende cosciente un sistema informatico”, osserva il filosofo. Sottolinea inoltre che le moderne teorie della coscienza consentono la possibilità che alcune forme di coscienza emergano nei sistemi di intelligenza artificiale ora o nel prossimo futuro.

L’emergere di modelli linguistici come Claude di Anthropic, ChatGPT di OpenAI e Gemini di Google, che imitano in modo convincente il linguaggio umano, è diventato un fattore importante nelle discussioni sulla coscienza dell’IA. Quando comunichiamo con un’altra persona, presumiamo che sia cosciente e i sistemi di intelligenza artificiale che imitano in modo convincente la comunicazione umana producono una risposta simile.

Marcus du Sautoy, professore di divulgazione scientifica all’Università di Oxford, esamina il problema da una prospettiva matematica. “L’intelligenza artificiale è solo codice, il codice è algoritmi e gli algoritmi sono matematica, quindi stiamo creando qualcosa che sia di natura matematica“, afferma. Du Sautoy osserva che il cervello e gli algoritmi artificiali sono simili in molti modi, come ad esempio i tipi di connessioni sinaptiche che entrambi stabiliscono. Tuttavia, il cervello umano è ancora superiore all’intelligenza artificiale nel creare nuove connessioni, cioè nell’apprendimento.

Se le macchine raggiungessero un certo grado di coscienza, anche a un livello primitivo, ciò solleverebbe interrogativi sulle tutele legali e sui nostri obblighi morali nei loro confronti.

L’idea di fondere esseri umani e intelligenza artificiale, soprannominata “The Merge” dal CEO di OpenAI Sam Altman, sembra essere ad alcuni esperti lo scenario futuro più ottimistico. A differenza delle previsioni apocalittiche, The Merge prevede la coesistenza pacifica dell’umanità con un’intelligenza artificiale avanzata.

Alcuni imprenditori, come Elon Musk, stanno prendendo alla lettera l’idea della fusione, investendo miliardi in aziende come Neuralink che mirano a connettere fisicamente i componenti biologici con quelli meccanici. Tuttavia, la visione di Altman suggerisce una sintesi più morbida che è già iniziata con l’invenzione di Internet, ha acquisito slancio con l’avvento degli smartphone e dei social network e ci ha ora portato all’attuale fase di sviluppo tecnologico.

L'articolo L’Intelligenza Artificiale Sta Diventando Cosciente? Scenari futuri d Filosofia in un affare da miliardi di dollari proviene da il blog della sicurezza informatica.

The EU Commission legally bound Apple to committments to open its 'pay and tap' technology and opened up a front with Elon Musk's X.

euractiv.com/section/competiti…

The European Commission accused social media platform X of breaching the Digital Services Act (DSA) over its verified accounts policy and lapses in transparency, in preliminary findings released on Friday (12 July).

euractiv.com/section/platforms…

Despite the adoption of the European Chips Act, the EU electronics manufacturing industry is set to decline, undermining European security, industrial resiliency, and competitiveness.

euractiv.com/section/digital/o…

Is openness at the heart of the EU’s competitiveness strategy? Euractiv spoke with Lorenzo Frollini founder, CEO & CTO of Flywallet, a wearable technology, biometrics and AI company. Frollini explains why Flywallet supports open digital ecosystems.

euractiv.com/section/digital/n…

As practical SD cards are, they lack much of what made floppy disks and cartridges so awesome: room for art and a list of contents, as well as the ability to not be lost in shaggy carpet or down a pet’s gullet. In a fit of righteous nostalgia, [Abe] decided that he’d turn SD cards into cartridges in the best way possible, and amazingly managed to not only finish the project after two years, but also make it look snazzy enough to have come straight out of the 1980s. The resulting cartridges come both with fixed (256 MB) and removable micro SD card storage, which are mounted on a PCB that passively connects to pogo pins in the custom, 3D printed reader.
Front of an SD-card-turned-cartridge with adn without decal. (Credit: Abe’s Projects, YouTube)
The inspiration for this project kicked in while [Abe] was working on a floppy drive conversion project called the Floppy8, which crammed an MCU into an external floppy drive along with a rough version of these SD card-based cartridges that used the physical card’s edge connector to connect with a micro SD slot inside the converted floppy drive. The problem with this setup was that alignment was terrible, and micro SD cards would break, along with a range of other quality of life issues.

Next, the SD card was put into a slot on the carrier PCB that featured its own edge connector. This improved matters, but the overly complicated (moving) read head in the reader turned out to be very unreliable, in addition to FDM printed parts having general tolerance and durability issues. Eventually a simplified design which takes these limitations in mind was created that so far seems to work just fine.

Although SD cards in cartridges are not a new idea, using them purely as a data carrier is far less common. One could argue about the practicality of turning a fingernail-sized micro SD card into something much larger, but in terms of aesthetics and handleability it definitely gets an A+.

youtube.com/embed/END_PVp3Eds?…

When we talk about audio amplifier tubes, we’re normally talking about the glass little blobby things you might find in a guitar amplifier. We’re not normally talking about big ol’ color CRTs, but apparently they can do the job too. That’s what [Termadnator] is here to show us.

The CRT in question is a 14″ unit from a common garden variety Philips color TV. [Termadnator] pulled out the TV’s original circuitry, and replaced much of it with his own. He had to whip up a high-voltage power supply with a 555 and a laptop power supply, along with a bunch of fake MOSFETs pressed into service. He also had to build his own Leyden jar capacitor, too. The specifics of converting it to audio operation get a bit messy, but fear not—[Termadnator] explains the idea well, and also supplies a schematic. Perhaps the coolest thing, though, is the crazy color pattern that appears on the display when it’s working as an amp.

Sound output isn’t exactly loud, and it’s a little distorted, too. Still, it’s amusing to see an entire TV instead doing the job of a single amplifier tube. Video after the break.

youtube.com/embed/iqRT1vKovaQ?…

[Thanks to bugminer for the tip!]

Questa settimana Microsoft ha risolto una vulnerabilità di 0day su Windows. Come hanno riferito gli esperti di Check Point, questo problema è stato attivamente sfruttato dagli hacker negli attacchi per 18 mesi ed è stato utilizzato per lanciare script dannosi che aggirano le misure di sicurezza integrate.

La vulnerabilità CVE-2024-38112 è un problema di spoofing in Windows MSHTML. Questo problema è stato scoperto dallo specialista di Check Point Research Haifei Li e ne ha informato Microsoft nel maggio 2024. Allo stesso tempo, nel suo rapporto sul problema, Lee osserva che nel gennaio 2023 sono stati scoperti campioni di malware che sfruttavano questa falla.

Secondo il ricercatore, gli aggressori distribuiscono file Windows Internet Shortcut (.url) per falsificare file legittimi (ad esempio PDF) e quindi scaricare ed eseguire file HTA sul sistema della vittima per installare malware in grado di rubare password.

Un file di collegamento Internet è un semplice file di testo contenente varie impostazioni di configurazione, ad esempio quale icona mostrare, quale collegamento aprire quando si fa doppio clic e così via. Quando salvi come .url e fai doppio clic sul file, Windows aprirà l’URL specifico nel browser predefinito.

Tuttavia, gli aggressori hanno scoperto che possono forzare l’apertura dell’URL specificato tramite Internet Explorer utilizzando mhtml:. MHTML sta per MIME Encapsulation of Aggregate HTML Documents, una tecnologia introdotta in Internet Explorer che trasforma un’intera pagina Web, comprese le immagini, in un unico archivio.

E se un URL viene avviato con mhtml:, Windows lo apre automaticamente in Internet Explorer anziché nel browser predefinito. Secondo il noto esperto di sicurezza informatica Will Dormann, l’apertura di una pagina in Internet Explorer offre agli hacker un ulteriore vantaggio perché l’utente vede molti meno avvisi di pericolo durante il download di file dannosi.

“In primo luogo, IE ti consente di scaricare un file .HTA da Internet senza alcun preavviso”, afferma Dohrmann. – In secondo luogo, dopo il download, il file .HTA si troverà nella directory INetCache, ma NON riceverà un marchio MotW (Mark of the Web) esplicito. A questo punto, l’unica protezione dell’utente è un avvertimento che il “sito web” sta tentando di aprire il contenuto utilizzando un programma sul computer. Non è specificato di quale sito stiamo parlando. Se l’utente ritiene di fidarsi del sito, avviene l’esecuzione del codice.”

In sostanza, gli aggressori approfittano del fatto che Internet Explorer è ancora incluso in Windows 10 e Windows 11 per impostazione predefinita. Anche se Microsoft ha finalmente ritirato IE circa due anni fa e Edge lo ha sostituito quasi completamente, è ancora possibile accedere al browser obsoleto e utilizzarlo per scopi dannosi.

Check Point spiega che gli hacker creano file di collegamento Internet con icone che assomigliano a collegamenti a file PDF. Facendo clic su di essi in Internet Explorer, si apre la pagina Web specificata, che tenta automaticamente di scaricare quello che dovrebbe essere un file PDF, ma in realtà è un file HTA.

In questo caso, gli aggressori possono nascondere l’estensione HTA e far sembrare che il file PDF venga scaricato utilizzando Unicode in modo che l’estensione .hta non venga visualizzata.

Quando Internet Explorer scarica un file HTA, il browser chiede se salvarlo o aprirlo. Se l’utente decide di aprire il file pensando che sia un PDF, allora all’avvio ci sarà solo un avviso generale sull’apertura di contenuto da un sito web. Poiché la persona sta aspettando il download del PDF, può ignorare questo avviso e il file finirà per essere eseguito.

Secondo i ricercatori, consentire l’esecuzione del file HTA porta all’installazione del malware Atlantida Stealer sul computer della vittima, che ruba i dati. Una volta lanciato, il malware ruba tutte le credenziali archiviate nel browser, i cookie, la cronologia del browser, i dati del portafoglio di criptovaluta, le credenziali di Steam e così via.

Dopo aver risolto la vulnerabilità CVE-2024-38112, mhtml:non funziona più e non consente in ogni caso l’apertura di Internet Explorer;

L'articolo Internet Explorer non è Morto! I criminali informatici hanno trovato un modo per utilizzarlo proviene da il blog della sicurezza informatica.

Ogni giorno emergono spesso nuovi attori di minaccia che destabilizzano le fondamenta digitali delle organizzazioni di tutto il mondo. Una delle più recenti e inquietanti cybergang scoperte dal team Darklab di Red Hot Cyber è il gruppo VANIR, un collettivo noto per le sue spietate operazioni di ransomware. Questa intervista esclusiva, condotta da Dark Lab, getta luce su un nemico tanto misterioso quanto pericoloso.

“Devi conoscere i demoni per imparare a contrastarli.” Questa frase, frequentemente citata da Red Hot Cyber in conferenze e articoli, sottolinea l’importanza di comprendere il modus operandi dei cyber-criminali. Conoscere i “demoni” significa capire le loro motivazioni, le loro tecniche, tattiche e procedure (TTPs). Questo approccio non solo aiuta a prevedere e identificare le minacce, ma è anche essenziale per sviluppare difese informatiche efficaci, capaci di contrastare gli attacchi sul loro stesso terreno.

Le interviste ai Threat Actors, curate dal gruppo RHC Dark Lab, divisione di Cyber Threat Intelligence di Red Hot Cyber, sono uno strumento cruciale per ottenere questa comprensione. Conoscere come ragionano e operano i cyber-criminali permette di migliorare continuamente le difese cibernetiche, aumentando la consapevolezza delle minacce e la capacità di prevenire attacchi futuri.

Il Threat Actors Vanir Group

Scoperto per la prima volta grazie alla costante vigilanza di Red Hot Cyber, il gruppo VANIR si è distinto non solo per l’efficacia dei suoi attacchi, ma anche per l’estetica unica del suo data leak site. Quest’ultimo, progettato in stile retrò, accoglie i visitatori con un prompt minimalista dove le informazioni possono essere richieste tramite un testo verde fluorescente su sfondo nero, evocando un’atmosfera da vecchio terminale.

Il messaggio di benvenuto che accoglie i nuovi “visitatori” è diretto e minaccioso:

“Salve, Devi essere l’amministratore di dominio o il CEO, in altre parole, la nostra ultima vittima. Se stai leggendo questo messaggio, significa che l’infrastruttura interna della tua azienda è stata compromessa, tutti i tuoi backup sono stati eliminati o crittografati. Abbiamo anche rubato la maggior parte dei dati importanti detenuti dalla tua azienda. Andando avanti, sarebbe nel tuo interesse cooperare con noi, per prevenire ulteriori disgrazie. Siamo a conoscenza di tutto. Abbiamo studiato attentamente tutte le tue finanze e sappiamo quanto è un prezzo equo per te da pagare, tenendo conto di ciò, sappi che ti tratteremo con giustizia. Quando scegli di ignorare la nostra gentilezza e di segnalare alle forze dell’ordine o agli esperti di recupero dati per aiutarti a trovare un modo per recuperare i tuoi dati persi, perdi solo TEMPO e SOLDI, e noi nel processo perdiamo la nostra pazienza. Perdere la nostra pazienza comporterebbe la perdita delle tue informazioni sensibili a vantaggio dei tuoi concorrenti e di altri criminali informatici che certamente ne trarrebbero profitto. Sarebbe nel tuo miglior interesse evitare questo. Siamo sempre disposti a negoziare poiché crediamo che il dialogo debba essere sempre la prima opzione e le azioni drastiche debbano essere salvate per ultime. Se non riusciremo a raggiungere un accordo, venderemo o cederemo tutte le informazioni che abbiamo rubato. Navigare in questo sito è stato mantenuto al minimo e semplice. Per elencare tutti i comandi, digita help nel terminale.”

L’Intervista

Attraverso questa intervista, Dark Lab offre uno sguardo approfondito nelle menti di coloro che si celano dietro gli attacchi di VANIR, esplorando le loro motivazioni, le loro tecniche e le loro strategie di negoziazione. Un viaggio che ci permette di capire meglio chi sono questi attori di minaccia e come possiamo difenderci dalle loro azioni devastanti.
Dove si è svolta l’intervista, tramite il messenger TOX
1 – RHC: Grazie ragazzi per aver accettato questa intervista. Cominciamo con una domanda diretta: qual è l’origine del gruppo VANIR e cosa vi ha spinto a dedicarvi alle operazioni ransomware? Il nome ha un’origine specifica?
BlackEyedBastard: Il gruppo Vanir è composto da ex affiliati di gruppi come karakurt e lockbit e knight ransomware, erano tutti scontenti per diversi motivo e sono venuti da noi. Lavoriamo solo per guadagno finanziario, non abbiamo interessi politici.

2 – RHC : Siete un rebrand di un gruppo ransomware già esistente o affiliati di altri RaaS che volevano mettersi in proprio?
BlackEyedBastard: Sì, lo siamo.

3 – RHC : Utilizzate un modello di affiliazione nelle vostre operazioni di ransomware? Se sì, come funziona e come selezionate i vostri affiliati?
BlackEyedBastard: Abbiamo un modello di affiliazione, come ho detto nella prima domanda. La selezione avviene sulla base della fiducia e della reputazione.

4 – RHC : Attualmente vi occupate di tutto internamente (malware, violazione e richiesta di riscatto) o siete distribuiti su più gruppi? Ad esempio, fate uso di Initial Access Broker (IaB)?
BlackEyedBastard: A volte acquistiamo i servizi degli IAB, ma tutto ciò che è abbastanza interessante di solito non viene divulgato.

5 – RHC : Molti gruppi si sono dati regole rigide sugli obiettivi (come non colpire ospedali e istituti per bambini, ecc…) su cui lanciare gli attacchi. Voi ne avete?
BlackEyedBastard: Non attacchiamo i Paesi della CSI.

6 – RHC : Quali sono le motivazioni principali che vi spingono a svolgere attività ransomware? È solo un modo per fare più soldi o c’è un pensiero più ampio come il miglioramento della sicurezza informatica delle infrastrutture IT?
BlackEyedBastard: È solo per profitto, non ci interessa l’incapacità delle aziende di cui vi fidate per proteggere i vostri dati, piuttosto siamo felici di fare soldi grazie alla loro avidità e negligenza.

7 – RHC : Se doveste consigliare a un’azienda di proteggersi meglio dalla criminalità informatica, quale sarebbe la prima cosa da fare?
BlackEyedBastard : Assumere un team di professionisti e non essere tirchi.

8 – RHC : Riportate nel vostro DLS che “sappiamo qual è il prezzo giusto da pagare per voi” e poi “sappiate che vi tratteremo in modo equo“. A quanto pare la scelta è quella di una negoziazione “collaborativa“. Quanto sono alte le vostre richieste di riscatto oggi?
BlackEyedBastard: Qualsiasi cifra compresa tra l’1,5 e il 2% del fatturato annuale di un’azienda ci sembra equa.

9 – RHC : Puoi spiegarci brevemente come funziona la tua soluzione?
BlackEyedBastard: Una volta ottenuto l’accesso, entriamo nella rete ed effettuiamo la massima ricognizione possibile. Al termine, blocchiamo immediatamente il server.

10 – RHC : Qual è la nazionalità prevalente dei membri del gruppo Vanir?
BlackEyedBastard : Al momento siamo tutti dell’Europa dell’Est.

11 – RHC : Ricevete supporto o sponsorizzazione da agenzie governative o altre organizzazioni?
BlackEyedBastard: No, non siamo un gruppo APT, non riceviamo supporto da nessuno o organizzazione, non possiamo essere comprati per eseguire un attacco contro qualcuno che non siamo disposti a colpire.

12 – RHC : Quali sono i vostri obiettivi a lungo termine?
BlackEyedBastard : Creare scompiglio.

13 – RHC : Il vostro ransomware si ispira a codici esistenti? Se sì, quali e come li avete modificati per renderli unici?
BlackEyedBastard : Il codice sorgente del nostro ransomware è scritto da zero, non è un compito arduo per chiunque abbia un po’ di esperienza.

14 – RHC : Ci sono altri cybergang da cui traete ispirazione? Se sì, quali sono e cosa ammiri di loro?
BlackEyedBastard : Personalmente, amo la tenacia di lockbit e sono un grande fan di Akira.

15 – RHC : Qual è la tua filosofia nel trattare le vittime?
BlackEyedBastard : Cerchiamo il più possibile di essere corretti, anche se di solito siamo severi con i dirigenti, che avrebbero dovuto fare di più per proteggersi, ma hanno fallito e messo a rischio persone innocenti.

16 – RHC : Il vostro sito dedicato alle fughe di dati ha un design unico e retrò, che ricorda i vecchi monitor CRT degli anni 80. Qual è l’idea alla base di questa estetica che ricorda anche il DLS di un’altra cyber gang come AKIRA?
BlackEyedBastard : Sì, l’interfaccia utente del sito è fortemente ispirata ad Akira, inoltre, non amate la nostalgia? Volevamo qualcosa di semplice che non necessitasse di codice backend, questa era la soluzione. Nessun PHP o Node in esecuzione in background, quindi nessuna possibilità di sfruttamento.

17 – RHC : Avete qualche messaggio finale per le organizzazioni che potrebbero diventare vostre future vittime?
BlackEyedBastard : Non siate stupidi, pagate il riscatto, facciamo sul serio e la morte della vostra azienda non è altro che un piccolo divertimento per noi. Non puoi essere l’eroe. Sottomettiti o sarai distrutto.

18 – RHC : Vi ringraziamo per questa intervista. Facciamo queste interviste per far capire ai nostri lettori che la cybersecurity è un argomento puramente tecnico e che per poter vincere la lotta al cybercrime dobbiamo essere più forti di voi, che notoriamente siete spesso un passo avanti a tutti. Vuole aggiungere qualcosa o fare qualche considerazione che potrebbe essere interessante per i nostri lettori?
BlackEyedBastard : Ciao caro lettore, ascolta, sappiamo entrambi che il mondo e il sistema in cui viviamo è fottuto. Le persone cresciute da famiglie di classe media o povera sono destinate a rimanere tali se si comportano come le pecore che ci si aspetta che siano, ma tu non sei così. Potete controllare il vostro destino, altrimenti perché stareste leggendo questo articolo? Se siete scontenti di questo sistema ingiusto, potete sempre rivolgervi a noi. Vi mostreremo come possiamo farlo tutti insieme.

Di seguito l’intervista nel linguaggio originale:
1 - RHC: Thank you guys for accepting this interview. Let's start with a direct question: what is the origin of the VANIR group and what prompted you to engage in ransomware operations? Does the name have any specific origin?
BlackEyedBastard: Vanir group is made up of ex-affiliates of groups like karakurt and lockbit as well as knight ransomware, they were all disgruntled for whatever reasons and they came to us. We work soley for financial gain, we have no political interests.

2 - RHC: Are you a rebrand of a previously existing ransomware group or affiliates of other RaaS that wanted to go out on their own?
BlackEyedBastard: Yes, we are.

3 - RHC: Do you use an affiliate model in your ransomware operations? If so, how does it work and how do you select your affiliates?
BlackEyedBastard: We do have an affiliate model as I stated in the first question. Selection is on a trust and reputation basis.

4 - RHC: Do you currently do everything in-house (malware, breach, and ransom demand) or are you distributed across multiple groups? For example, do you make use of Initial Access Broker (IaB)?
BlackEyedBastard: We sometimes purchase the services of IABs, anything that is interesting enough usually isnt passed on.

5 - RHC: Many groups have given themselves strict rules about targets (such as not hitting hospitals and institutions for children, etc...) on which to launch attacks. Do you guys have any?
BlackEyedBastard: We do not attack CIS countries.

6 - RHC: What are your main motivations behind in ransomware activities? Is it just a way to make more money or is there a broader thought such as improving IT infrastructure cybersecurity?
BlackEyedBastard: It is soley for profit, we are not interested in the inability of the companies you trust to protect your data, rather, we are happy to make money off their greed and carelessness.

7 - RHC: If you were to advise any company to better protect itself from cybercrime, what would you recommend as the first thing to start with?
BlackEyedBastard: Hire an actual, professional team and don't be cheap about it

8 - RHC: Report in your DLS that "we know what is a fair price for you to pay" and then "know that we will treat you fairly." Apparently the choice is for "collaborative" negotiation. How high are your ransom demands today?
BlackEyedBastard: Anything from 1.5- 2% of a companies yearly revenue seems fair to us.

9 - RHC: Can you explain to us how your solution works briefly?
BlackEyedBastard: Once we have access, we walk in the network and perform as much reconnaisance as possible. When this is complete, we immediately lock the server.

10 - RHC: What is the predominant nationality of the Vanir group members?
BlackEyedBastard: We are all from Eastern Europe as of now.

11 - RHC: Do you receive support or sponsorship from government agencies or other organizations?
BlackEyedBastard: No, we are not an APT group, we do not receive support from any one or organisation, we cannot be bought to perform an attack on anyone we are not willing to hit.

12 - RHC: What are your long-term goals for the Vanir group?
BlackEyedBastard: To wreak havoc.

13 - RHC: Is your ransomware inspired by existing codes? If so, which ones and how did you modify them to make them unique?
BlackEyedBastard: The source code of our ransomware is written from scratch, this is not a daunting task for anyone with a bit of experience.

14 - RHC: Are there other cybergangs from which you draw inspiration? If yes, what are they and what do you admire about them?
BlackEyedBastard: Personally, I love the tenacity of lockbit, and I am a big fan of Akira.

15 - RHC: What is your philosophy in dealing with victims?
BlackEyedBastard: We try as much as possible to be fair, although we are usually strict on the management, they should have done more to protect themselves, but they failed and put the innocent at risk

16 - RHC: Your data leak site has a unique, retro design and reminds us of old CRT monitors from the 1980s. What is the idea behind this aesthetic that also reminds us of the DLS of another cyber gang such as AKIRA?
BlackEyedBastard: Yes, the UI of the site is heavily inspired by Akira, also, don't you love nostalgia? We wanted something simple with 0 need for backend code, that was the solution. No PHP or Node running in the background, means 0 possibility of exploitation.

17 - RHC: Do you have any final messages for organizations that may become your future victims?
BlackEyedBastard: Don't be stupid, pay your ransom, we mean business and the death of your company is nothing but some little entertainment to us. You can't be the hero. Submit, or be destroyed.

18 - RHC: We thank you for this interview. We do these interviews to make our readers understand that cybersecurity is a purely technical subject and that in order to be able to win the fight against cybercrime we need to be stronger than you, who are notoriously often one step ahead of everyone. Would you like to add anything or make any points that might be of interest to our readers?
BlackEyedBastard: Hello dear reader, Listen up, we both know the world and the system in which we live is fucked. People raised from middle or poor class families are doomed to remain that way if they are like the sheep they are expected to be, but you are not like that. You can control your destiny, else why would you be reading this? If you are disgruntled by this unfair system, you can always reach out to us. We would show you how we can all become reach together.
L'articolo Parla Vanir Group! L’intervista di RHC agli ex affiliati di LockBit, Karakurt and Knight: “Assumete professionisti, non siate tirchi!” proviene da il blog della sicurezza informatica.

Nel giugno 2024, è stata resa pubblica una grave vulnerabilità nel linguaggio di programmazione PHP, identificata come CVE-2024-4577. Questa falla di sicurezza colpisce le installazioni di PHP che operano in modalità CGI (Common Gateway Interface) ed è particolarmente critica per le installazioni su sistemi Windows con impostazioni locali in cinese e giapponese. Tuttavia, non si esclude che possa interessare un numero più ampio di configurazioni​ (Akamai)​​.

Dettagli della Vulnerabilità

La vulnerabilità è presente nelle versioni di PHP 8.1., 8.2., e 8.3.*, precedenti rispettivamente alle versioni 8.1.29, 8.2.20, e 8.3.8. La falla è causata dal modo in cui PHP e i gestori CGI interpretano determinati caratteri Unicode, permettendo agli aggressori di eseguire codice remoto (Remote Code Execution, RCE) inviando codice PHP che viene successivamente interpretato erroneamente dal server. Questo tipo di attacco sfrutta l’input php://input, un flusso I/O di sola lettura che consente di leggere i dati grezzi dal corpo della richiesta​.

Modalità di Sfruttamento

Gli attacchi sfruttano l’input php://input, un flusso I/O di sola lettura che permette di leggere i dati grezzi dal corpo della richiesta. Questo metodo consente di inserire codice malevolo che viene eseguito prima del codice principale del file PHP. Una tecnica comune è l’uso dell’opzione auto_prepend_file di PHP, che specifica un file da analizzare automaticamente prima del file principale. Questo assicura che il codice dell’attaccante venga eseguito per primo. Inoltre, viene spesso utilizzata l’opzione allow_url_include, che abilita il recupero di dati da posizioni remote tramite funzioni come fopen e file_get_contents​.

In modalità CGI, il server web analizza le richieste HTTP e le passa a uno script PHP per ulteriori elaborazioni. Questo può lasciare aperta una via per l’iniezione di comandi, poiché i parametri delle query vengono passati al PHP interpreter tramite la linea di comando. Ad esempio, una richiesta del tipo http://host/cgi.php?foo=bar potrebbe essere eseguita come php.exe cgi.php foo=bar, lasciando aperta la possibilità di eseguire comandi arbitrari se gli input non vengono correttamente sanitizzati​.

Impatti e Conseguenze

Il primo giorno dopo la divulgazione della vulnerabilità, il team di Akamai ha osservato numerosi tentativi di sfruttamento, segnalando la rapidità con cui gli attori malevoli hanno adottato questa vulnerabilità. Gli attacchi osservati includono iniezioni di comandi e l’implementazione di vari malware, tra cui Gh0st RAT, miner di criptovalute come RedTail e XMRig. Questi attacchi dimostrano l’alta criticità e la facile sfruttabilità della vulnerabilità, con conseguenze potenzialmente devastanti per i sistemi compromessi​​.

Descrizione dei Malware Utilizzati

• Gh0st RAT: Gh0st RAT (Remote Access Trojan) è un malware utilizzato per il controllo remoto di sistemi infetti. Permette agli attaccanti di eseguire comandi da remoto, rubare informazioni sensibili, catturare schermate, registrare audio e video, e trasferire file. Questo malware è noto per la sua versatilità e la capacità di nascondersi nei sistemi infetti, rendendo difficile la sua rilevazione e rimozione​.
• RedTail Cryptominer: RedTail è un miner di criptovalute che sfrutta le risorse del sistema infetto per minare criptovalute senza il consenso dell’utente. Questo tipo di malware consuma una quantità significativa di risorse di sistema, causando rallentamenti e potenziali danni hardware dovuti al surriscaldamento​.
• XMRig: XMRig è un altro esempio di software di mining di criptovalute, specificamente progettato per minare Monero (XMR). Questo malware è altamente efficiente nel mascherare la sua presenza e può operare silenziosamente in background, riducendo al minimo la possibilità di essere rilevato dall’utente o dai software di sicurezza​.
• Muhstik: Muhstik è un noto botnet malware che colpisce principalmente server basati su Linux. Viene utilizzato per lanciare attacchi DDoS (Distributed Denial of Service), eseguire criptominazioni, e propagare ulteriori malware. Muhstik è in grado di auto-propagarsi sfruttando vulnerabilità note e può compromettere rapidamente reti estese​.
• RAT (Remote Access Trojan): I RAT sono trojan che permettono agli attaccanti di controllare completamente i sistemi infetti da remoto. Questi malware possono rubare dati, installare altri malware, monitorare le attività degli utenti, e trasformare i computer infetti in parte di una botnet per ulteriori attacchi. La loro caratteristica principale è la capacità di nascondersi efficacemente per evitare il rilevamento e la rimozione.

Indicatori di Compromissione (IOCs)

Gli Indicatori di Compromissione (IOCs) sono elementi di dati che suggeriscono una potenziale compromissione del sistema. Nel contesto della vulnerabilità CVE-2024-4577, gli IOCs possono includere:

• Traffico di rete anomalo: Rilevamento di comunicazioni con server noti per essere utilizzati da attori malevoli.
• File sospetti: Presenza di file sconosciuti o non autorizzati nelle directory dei server PHP, specialmente quelli specificati tramite auto_prepend_file.
• Processi in esecuzione: Processi PHP o web server che eseguono comandi inusuali o che consumano eccessive risorse di sistema.
• Log di sistema: Voci nei log del server che indicano tentativi di accesso non autorizzato o l’esecuzione di script PHP non previsti.
• Modifiche ai file di configurazione: Alterazioni non autorizzate dei file di configurazione PHP, specialmente quelli che abilitano l’inclusione di URL remoti o specificano file da eseguire automaticamente​.

Identificazione della Vulnerabilità tramite Threat Intelligence

L’identificazione e la mitigazione delle minacce come la vulnerabilità CVE-2024-4577 possono essere effettuate tramite l’uso di Threat Intelligence, che include:

• Monitoraggio dei Threat Feeds: Iscriversi a servizi di threat intelligence per ricevere aggiornamenti tempestivi su nuove vulnerabilità e indicatori di compromissione.
• Analisi dei Log: Utilizzare strumenti di analisi dei log per identificare attività sospette o anomale nei log del server.
• Implementazione di Sistemi di Intrusion Detection/Prevention (IDS/IPS): Questi sistemi possono rilevare e prevenire tentativi di sfruttamento delle vulnerabilità noti.
• Patch Management: Implementare un processo di gestione delle patch efficace per assicurarsi che tutte le vulnerabilità note siano tempestivamente corrette.
• Audit di Sicurezza: Condurre regolari audit di sicurezza per identificare e correggere potenziali punti deboli nel sistema​.

Misure di Protezione e Mitigazione

Per proteggersi da questa vulnerabilità, è fondamentale che le organizzazioni aggiornino immediatamente le loro installazioni di PHP alle versioni più recenti. Akamai ha implementato misure di mitigazione tramite il loro servizio App & API Protector, che protegge i clienti bloccando automaticamente gli exploit noti. Inoltre, nel loro blog, Akamai ha fornito una lista completa degli indicatori di compromesso (IOCs) per aiutare le organizzazioni a identificare e rispondere agli attacchi​.

Conclusione

La vulnerabilità CVE-2024-4577 rappresenta una seria minaccia per le installazioni di PHP in modalità CGI. La rapidità con cui è stata sfruttata dimostra la necessità per le organizzazioni di adottare misure di sicurezza tempestive e proattive. Aggiornare PHP alle versioni più sicure e utilizzare soluzioni di mitigazione automatica come quelle offerte da Akamai sono passi cruciali per proteggere i sistemi da attacchi futuri.

L'articolo CVE-2024-4577: La Vulnerabilità PHP Sfruttata entro 24 Ore dalla Sua Scoperta proviene da il blog della sicurezza informatica.

The level of disinformation in national elections, such as the recent ones in France and the UK, was higher than in the previous European elections, disinformation experts said in recently published reports.

euractiv.com/section/disinform…

Although commonly referred to as a ‘timer IC’, the venerable NE555 and derivatives are in fact not timer ICs. This perhaps controversial statement is the open door that gets kicked in by [PKAE Electronics] over at YouTube, as he explains with excellent diagrams and simulations how exactly these ICs work, and what it takes to make it actually do timer things. For anyone who has ever used one of these chips there is probably nothing too mind-blowing, but it’s an infinitely better way to wrap your way around an NE555 and kin than a datasheet.

At its core, the 555 contains three 5 kOhm resistors as a voltage divider, which has been incorrectly postulated to be the source of the chip’s name. This voltage divider controls two comparators, which in turn control an SR flipflop. These comparators are used for the voltage trigger and threshold inputs, which in turn toggle the flipflop, respectively setting and resetting it. This by itself just means that the 555 can be used as a threshold detector, with settable control voltage. How a 555 becomes a timer is when the discharge, trigger and threshold pins are combined with external resistors and a capacitor, which creates a smooth square wave on the 555’s output pin.

There are many ways to make basic components into an oscillator of some type, but the 555 is a great choice when you want something more refined that doesn’t involve using an entire MCU. That said, there’s far more that the 555 can be used for, as [PKAE] alludes to, and we hope that he makes more excellent videos on these applications.

youtube.com/embed/3lEN6hEGUmE?…

We have to admit that we often think about building unusual things, but we hadn’t really considered building our own hydroelectric dam before. [Mini Construction] did, apparently, and there’s a timelapse of the build in the video below.

We wished this was more of a how-to video, although if you are handy with brickwork, the mechanical construction seems straightforward. Presumably, you’d need to understand how much force the water had but we don’t know if there was math involved or just seat-of-the-pants design.

We were unclear what the tower was for until we saw the turbine installed in it. We weren’t clear where it came from, and it looked like maybe it was repurposed from something else. If you recognize what it is, or have a guess, drop a comment, will you? While the brickwork was impressive, the wiring — especially near water — looked a bit suspect. We hope that was just test wiring and a more permanent arrangement was made later.

We have seen hacker hydroelectric before, but rarely. Waterwheels seem much more common. Honestly, the masonry work was the best we’ve seen since [Walt] built a bomb shelter.

youtube.com/embed/jNCivw94vBo?…

Un gruppo di professionisti della sicurezza e accademici di Cloudflare, Microsoft, BastionZero, UC San Diego e Università di Amsterdam, hanno attirato l’attenzione su una vulnerabilità (CVE-2024-3596) nel protocollo RADIUS, che è in uso da oltre 30 anni. L’ attacco Blast-RADIUS consente agli aggressori di compromettere reti e dispositivi utilizzando attacchi MitM e collisioni MD5.

Il protocollo RADIUS (Remote Authentication Dial-In User Service) è stato sviluppato nel 1991 ed è noto fin dai tempi del dial-up. Da allora è rimasto lo standard de facto per l’autenticazione leggera ed è supportato praticamente in ogni switch, router, punto di accesso e concentratore VPN rilasciato negli ultimi decenni. Pertanto, RADIUS rimane un componente importante per la gestione della comunicazione client-server e viene utilizzato per fornire:

• Accesso VPN;
• Connessioni DSL e fibra offerte dai provider Internet,
• funzionamento Wi-Fi e autenticazione 802.1X;
• roaming nelle reti 2G e 3G;
• Autenticazione DNN nelle reti 5G;
• autenticazione tramite APN privati ​​per connettere i dispositivi mobili alle reti aziendali;
• autenticazione sui dispositivi di controllo CII;
• Eduroam e OpenRoaming Wi-Fi.

RADIUS consente una comunicazione continua tra i client (in genere router, switch e altri dispositivi che forniscono accesso alla rete) e un server RADIUS centrale, che funge da gatekeeper per l’autenticazione degli utenti e le policy di accesso. Lo scopo di RADIUS è fornire una gestione centralizzata dell’autenticazione, dell’autorizzazione e della contabilità per gli accessi remoti. A volte parliamo di decine di migliaia di dispositivi sulla stessa rete.

L’attacco Blast-RADIUS sfrutta il protocollo MD5 e le vulnerabilità di collisione, consentendo agli aggressori con accesso al traffico RADIUS di manipolare le risposte del server e aggiungere attributi arbitrari, consentendo loro di ottenere diritti amministrativi sui dispositivi RADIUS senza utilizzare la forza bruta o il furto di credenziali. L’attacco colpisce tutte le modalità di autenticazione RADIUS/UDP, ad eccezione di quelle che utilizzano EAP (Extensible Authentication Protocol).

“L’attacco Blast-RADIUS consente a un utente malintenzionato che si trova tra il client e il server RADIUS di creare un vero messaggio di accettazione del protocollo in risposta a una richiesta di autenticazione non riuscita”, spiegano i ricercatori. “Ciò può consentire a un utente malintenzionato di accedere ai dispositivi e ai servizi di rete senza dover indovinare o decifrare password o i segreti condivisi. Di conseguenza, l’aggressore non riceve le credenziali dell’utente. Un utente malintenzionato che utilizza il nostro attacco ha la capacità di aumentare i propri privilegi dall’accesso parziale alla rete all’accesso a qualsiasi dispositivo che utilizza RADIUS per l’autenticazione o di assegnarsi diritti di rete arbitrari”.
Modello di attacco
Il fatto è che il protocollo RADIUS utilizza richieste e risposte con hash MD5 durante l’autenticazione sul dispositivo. L’exploit PoC sviluppato dagli specialisti calcola una collisione dell’hash MD5 con un prefisso selezionato, necessaria per creare una corretta risposta Access-Accept, indicando una richiesta di autenticazione riuscita. Questo falso hash MD5 viene quindi iniettato nella connessione di rete utilizzando un attacco man-in-the-middle, consentendo all’aggressore di accedere al sistema.

Sfruttare il problema e creare un hash MD5 richiede dai 3 ai 6 minuti, ovvero più tempo dei timeout da 30 a 60 secondi tipicamente utilizzati in RADIUS. Tuttavia, ogni fase dell’algoritmo di collisione utilizzato nell’attacco può essere efficacemente parallelizzata e può anche essere ottimizzata a livello hardware. Cioè, un utente malintenzionato con buone risorse può sferrare un attacco utilizzando GPU, FPGA e altro hardware moderno e veloce per ottenere tempi di esecuzione più rapidi, aumentandoli di decine o addirittura centinaia di volte.

Poiché questo attacco non compromette le credenziali dell’utente finale, gli utenti stessi non possono fare nulla per proteggersi. Si consiglia tuttavia ai produttori e agli amministratori di sistema che creano e gestiscono dispositivi RADIUS di seguire le migliori pratiche già disponibili .inkbridgenetworks.com/blastrad…

Per proteggersi da Blast-RADIUS, gli operatori di rete possono passare a RADIUS over TLS (RADSEC), implementazioni RADIUS multi-hop e isolare il traffico RADIUS da Internet utilizzando VLAN limitate o tunneling TLS/IPsec.

L'articolo Ecco a voi Blast-RADIUS! Il nuovo exploit che Minaccia le Reti RADIUS dopo 30 Anni proviene da il blog della sicurezza informatica.

Some time ago [Kelton] was working on a clock inspired by Rube Goldberg contraptions. It uses only a single motor, and he’s proud to now show off the finished product (video, embedded below.)

The clock shows hours on the left, and minutes on the right. Every sixty minutes the clock drops a marble. That marble kicks off a series of visually-satisfying operations that culminate in advancing the hour. Then everything resets, and it continues for as long as it has power.
The hour oscillates in a very satisfying manner as it locks in.
At the top of each hour, the minute hand tips a marble with a gravity cam. That marble runs down a track gaining enough momentum to flip a kicker, and a short series of falling dominoes builds enough force to tip and trigger the spring-loaded ratchet that locks in a new hour. You can skip directly to 2:09 if you just want to listen to [Kelton] explain the whole operation from beginning to end.

We think it’s very interesting to note that this clock’s complexity is, if anything, understated. Each of the mechanisms involved must individually reset by their own separate mechanisms, each of which are as intriguing as their showier counterparts, and we’re sure they were every bit as difficult to get just right. And of course, it’s all driven by a single motor.

You may recall the promising start this clock project was off to and we’re delighted to see it come to completion, especially considering its complexity. Not every project sees completion, and fewer still get a version two, but that’s okay. What really floats our boat is seeing the process and details as well as hearing about what worked and what didn’t. We’re glad this clock reached the finish line, but even if something doesn’t work out, there’s always something to learn.

youtube.com/embed/LFGRpzzMAgE?…

Has anyone ever told you that you just can’t carry a tune? If you were to be the lucky recipient of one of [Ayu]’s synthesizer business cards, well, then it really couldn’t be helped.

This tiny, go-anywhere instrument has quite a lot going for it. It’s easy for anyone to pick up and play something, but versatile enough that a more experienced musician can add complexity. While we do tend to see twelve keys in a small form-factor like this, the Canta-Cart uses them a bit differently. Only ten are tied to notes, and the other two are for transposition.

[Ayu] was able to keep the BOM cost way down by using the PY32, which is an ARM Cortex-M microcontroller made by Puya that costs as little as 10¢ each. In fact, the whole BOM clocks in around 60¢ total even with the audio DAC and amplifier ICs, which really makes these ideal to actually give away to people. Check it out in action after the break, or try it in the browser!

player.vimeo.com/video/9708980…