Caterina Bartoli, medico chirurgo, membro di SIMEPSI e consulente scientifico dell’Associazione Luca Coscioni, interverrà come relatrice alla prima edizione del Festival della Psichedelia, dedicato a riflessioni sulla medicina psichedelica e sugli stati di coscienza.

Teatro Massimo di Cagliari (Sale M2 e M3)
26 e 27 settembre 2025

Il festival, organizzato dalla Rete Teatro Massimo con il sostegno della Fondazione di Sardegna e di Cassa Deposito e Prestiti, nasce come naturale prosecuzione del progetto “Metamorfosi, filosofia e medicina in scena”. Due giornate di incontri, dialoghi, visioni e laboratori che intrecciano neuroscienze, filosofia, antropologia, salute mentale ed esperienze artistiche, con l’obiettivo di promuovere una riflessione consapevole sul ruolo della medicina psichedelica.

Protagonista anche la Cellula Coscioni Cagliari, presente per tutta la durata del festival con un banchetto informativo e di raccolta firme. Sarà possibile sostenere le iniziative dell’Associazione Luca Coscioni e in particolare la campagna psychedelicare.eu, che punta a promuovere un dibattito pubblico e scientifico sulla medicina psichedelica.

Tra gli ospiti: Georgia Wilson Jones, Silvano Tagliagambe, Matteo Buonarroti, Michele Metelli, Paolo Pecere, Federico di Vita, Jean Paul Rességuier, Luciano Tacconi, Riccardo Badini, Maria Antonietta De Luca, Marco Leonti, Gionata Stancher, Alessandro Gelao, Tania Re, Andrea Piva e molti altri.

Info biglietti: vivaticket.com – Biglietteria Teatro Massimo Cagliari (via De Magistris 12, tel. 345 4894565).

L'articolo Caterina Bartoli e la Cellula Coscioni diCagliari – Festival della Psichedelia proviene da Associazione Luca Coscioni.

Filomena Gallo, Segretaria Nazionale di Associazione Luca Coscioni per la libertà di ricerca scientifica APS, partecipa alla tavola rotonda I DIRITTI NEGATI, all’interno del quinto Congresso nazionale di AreaDG, “La forza del diritto”. Conduce Serena BORTONE, intervengono insieme a lei: Maurizio LANDINI (CGIL), Gabriella LUCCIOLI (magistrata), Rita BERNARDINI (Nessuno tocchi Caino) e don MATTIA (cappellano Mediterranea ‘Human Rights’).

L’appuntamento è per venerdì 10 ottobre alle ore 15.45 presso il Teatro della Tosse, in Piazza Renato Negri, 6, a Genova.

L'articolo Filomena Gallo partecipa alla tavola rotonda “I diritti negati”, all’interno del Congresso di AreaDG a Genova proviene da Associazione Luca Coscioni.

Chiara Lalli a Montecitorio – Presentazione del report Aborto senza numeri

Chiara Lalli, bioeticista, giornalista e consigliera generale dell’Associazione Luca Coscioni, interverrà come relatrice alla presentazione del report Aborto senza numeri. L’assenza di dati come politica di deterrenza e causa di disuguaglianza.

Sala Stampa Camera dei Deputati, Palazzo Montecitorio – Via della Missione 4, Roma
Martedì 23 settembre 2025
Ore 11:30

Il report, realizzato da Medici del Mondo Italia, affronta il tema dell’accesso all’interruzione volontaria di gravidanza e delle conseguenze derivanti dalla mancanza di trasparenza e di raccolta dati ufficiali, che alimentano disuguaglianze e ostacoli per le donne.

Intervengono:

• Elisa Visconti, Direttrice di Medici del Mondo Italia
• Chiara Lalli, Bioeticista e consigliera generale dell’Associazione Luca Coscioni
• Federica di Martino (@IVGstobenissimo), Psicoterapeuta e Attivista
• Gilda Sportiello, Deputata Movimento 5 Stelle

Modera: Claudia Torrisi, Giornalista e co-autrice del report

L’iniziativa è promossa da Medici del Mondo Italia.

Info & Accrediti:
Ufficio stampa Medici del Mondo
Daniela Biffi 347 2613441
Noemi Cervi 346 8433966

L’accesso alla sala – con abbigliamento consono per tutti e obbligo di giacca per
gli uomini – è consentito fino al raggiungimento della capienza massima accreditandosi a ufficiostampa@medicidelmondo.it.

I giornalisti e gli operatori video devono accreditarsi allo stesso indirizzo elencando anche l’utilizzo eventuale di attrezzature tecniche. La conferenza stampa sarà disponibile in streaming sulla webtv della Camera.

L'articolo Chiara Lalli a Montecitorio – Presentazione del report “Aborto senza numeri” proviene da Associazione Luca Coscioni.

Marco Perduca e Antonia “Fiore” Faustini manifestano la loro solidarietà e quella dell’Associazione Luca Coscioni e della Cellula di Roma al Centro Sociale “La Strada” contro cui, alle 4.30 del mattino del 12 settembre, è stata lanciata una “bomba carta. Da ottobre 2023 il centro è stato oggetto di aggressioni, minacce, imbrattamenti, danneggiamenti, fino ad attacchi esplosivi, un altro a maggio scorso.

“Negli anni” dicono Perduca e Faustini “sono molte le iniziative dell’Associazione Luca Coscioni ospitate e co-promosse da chi anima il centro, un luogo aperto al pubblico che, tra le altre cose, offre sostegno alla popolazione bisognosa. Dal fine vita all’aborto, passando per testamento biologico, terapie psichedeliche e presentazioni di libri l’Associazione e la Cellula di Roma hanno sempre trovato ascolo e collaborazione. Ci auguriamo che quanto prima venga scoperto chi si è reso responsabile di questi attacchi”.

L'articolo Solidarietà al Centro Sociale “La Strada” di Roma proviene da Associazione Luca Coscioni.

Abbiamo appreso solo da poco “scrivono Marco Cappato e Marco Perduca “che il 15 giugno scorso Baldomero Cáceres Santa María è morto a Lima all’età di 93 anni. Psicologo e ricercatore molto critico del ruolo che la psichiatria aveva giocato nella definizione dell’architettura proibizionista internazionale, Baldo era uno raro esempio di intellettuale antiproibizionista militante che non perdeva occasione per dimostrare come la proibizione della cannabis prima e della foglia di coca poi fossero non solo anti-scientifiche ma anche violazioni dei diritti umani e delle tradizioni e culture ancestrali.

“Abbiamo conosciuto Baldo alla fine degli anni ‘90 tramite Dave Borden della DRCNet Foundation, grazie alle sue conoscenze, nelle nostre visite in Perù abbiamo incontrato pensatori, parlamentari e campesinos determinati nella lotta per ricordare al mondo che “coca non è cocaina”.

Negli anni ’70, mentre viveva a Cusco e lavorava all’Università Nazionale di San Antonio Abad, incontrò l’etnostorico Jan Szemiski che gli insegnò a masticare le foglie di coca. Dopo aver scoperto la pianta e averne sperimentato i benefici che gli permettevano di ridurre mal di testa, insufficienza respiratoria e disturbi gastrici legati al cambio di altitudine, iniziò la sua ricerca sulla storia e le proprietà delle sue piante. Dopo la pubblicazione di un articolo intitolato “Coca, il mondo andino e gli estirpatori di idolatrie del XX secolo” sul quotidiano La Prensa nel 1977, iniziò la sua attività in difesa della foglia di coca.

“Baldomero aveva partecipato alla riunione fondativa della Lega Internazionale Antiproibizionista di Atene di 35 anni fa e da allora non ha perso occasione di perorare la causa della legalizzazione della marihuana e della foglia di coca. Baldo era uno degli ultimi intellettuali della memoria orale, auspichiamo che chi gli è stato vicino per anni possa trovare tempo e risorse per raggruppare il suo pensiero in modo multimediale”.

L'articolo Addio Baldomero Cáceres, raro intellettuale antiproibizionista militante proviene da Associazione Luca Coscioni.

Over on Instructables, [Logan Fouts] shows us the Contrib Cal GitHub desk gadget. This build will allow you to sport your recent GitHub commit activity on your wall or desk with an attractive diffuse light display backed by a 7×4 matrix of multicolor LEDs. Motivate yourself and impress your peers!

This humble project is at the same time multifaceted. You will build a case with 3D printing, make a diffuse screen by gluing and cutting, design a LED matrix PCB using KiCad, solder everything together, and then program it all with Python. The brains of the operation are a Raspberry Pi Zero W.

The Instructables article will run you through the required supplies, help you to print the case, explain how to solder the LEDs, tell how to install the heat-set inserts for high quality screw attachments, explain wiring and power, tell you about how to use the various screws, then tell you about where to get more info and the required software on GitHub: Contrib Cal v2.

Of course this diffuse LED matrix is only one way to display your GitHub progress, you can also Track Your GitHub Activity With This E-Ink Display.

hackaday.com/2025/09/12/reify-…

Fresh hacks here! Get your fresh hot hacks right here! Elliot and Dan teamed up this week to go through every story published on our pages to find the best of the best, the cream of the crop, and serve them up hot and fresh for you. The news this week was all from space, with the ISS getting its latest push from Dragon, plus <<checks notes>> oh yeah, life on Mars. Well, maybe, but it’s looking more and more like we are not alone, or at least not a few million years ago.

But even if we are, plenty is still going on down here to keep you interested. Like homebrewing? Good, because we looked at DIY inductors, wire nuts, and even a dope — but nope — ultralight helicopter. Into retro? We’ve got you covered with a loving look at IRC, a 60s bedside computer guaranteed to end your marriage, and a look at the best 8-bit language you never heard of.

We looked at a rescued fume hood, sensors galore on your phone, a rug that should have — and did, kind of — use a 555, and raytracing for the rest of your natural life. As for “Can’t Miss Articles,” Elliot could barely contain himself with the bounty of projects written up by our Hackaday writers, not to mention Arya’s deep dive into putting GPS modules to work in your builds.

html5-player.libsyn.com/embed/…

Download this MP3, full of twisty little podcasts, all alike. Plugh!

Where to Follow Hackaday Podcast

Places to follow Hackaday podcasts:

• iTunes
• Spotify
• Stitcher
• RSS
• YouTube
• Check out our Libsyn landing page

Episode 337 Show Notes:

News:

• Dragon Is The Latest, And Final, Craft To Reboost ISS
• NASA Presser Reveals New Clues About Ancient Life on Planet Mars – YouTube

What’s that Sound?

• Have a listen, guess where the music is from, and enter your guess right here!

Interesting Hacks of the Week:

• Give Your Twist Connections Some Strength
  
  • Print-in-Place Connectors Aim To Make Wiring Easier

  
  

• Tips For Homebrewing Inductors
• Was Action! The Best 8-Bit Language?
  
  • AtariWiki V3.1: Action Source Code
  • AtariWiki V3.1: Action
  • AtariWiki V3.1: Forth

  
  

• Retrotechtacular: The Noisy Home Computer From 1967
• A Love Letter To Internet Relay Chat
  
  • Life After IRC – Your Move, Mozilla!

  
  

• Making An Ultralight Helicopter

Quick Hacks:

• Elliot’s Picks
  
  • Old Phone Upcycled Into Pico Projector, ASMR
  • Reverse Engineering A Robot Mower’s Fence
  • The 555 As You’ve Never Seen It: In Textile!
  • A Look At Not An Android Emulator
  • No Plans For The Weekend? Learn Raytracing!

  
  

• Dan’s Picks:
  
  • Restoring A Cheap Fume Hood
  • Smartphone Sensors Unlocked: Turn Your Phone Into A Physics Lab
  • Heart Rate Monitoring Via WiFi

  
  

Can’t-Miss Articles:

• FreeCAD Foray: From Brick To Shell
• Bootstrapping Android Development: A Survival Guide
• The Android Linux Commander
• GPS And Its Little Modules

hackaday.com/2025/09/12/hackad…

Two billion downloads per week. That’s the download totals for the NPM packages compromised in a supply-chain attack this week. Ninety-nine percent of the cloud depends on one of the packages, and one-in-ten cloud environments actually included malicious code as a result of the hack. Take a moment to ponder that. In a rough estimate, ten percent of the Internet was pwned by a single attack.

What extremely sophisticated technique was used to pull off such an attack? A convincing-looking phishing email sent from the newly registered npmjs.help domain. [qix] is the single developer of many of these packages, and in the midst of a stressful week, fell for the scam. We could refer to the obligatory XKCD 2347 here. It’s a significant problem with the NPM model that a single developer falling for a phishing email can expose the entire Internet to such risk.

And once that account was compromised, it didn’t take long for the mystery attacker to push malicious code. Within an hour, cryptocurrency stealing code was added to two dozen packages. Within a couple hours, the compromise was discovered and the cleanup effort began.

BREAKING

LARGEST SUPPLY CHAIN ATTACK IN HISTORY PULLS OFF MASSIVE CRYPTO HEIST

ATTACKS STEAL $20.05 OF ETH. ENTIRE WORLD CRUMBLING

— vx-underground (@vxunderground) September 8, 2025

While the attack was staggering in its breadth, in the end only a few hundred dollars worth of cryptocurrency was actually stolen as a result. Why was such a successful attack, when measured by deployment, so minimal in actual theft? Two reasons: First, the malware was only live for two hours before takedowns began. And a related second reason, the malicious code was specifically aimed at developer and end-user machines, while the majority of the installs were on servers and cloud deployments, where cryptocurrency transactions weren’t happening.

It brings to mind the question, what could have happened? Instead of looking for cryptocurrency to steal, if the malicious code was tailored to servers and stealth, how long would it have taken to detect? And is there malicious code on NPM and in other places that we just haven’t discovered yet?

SAP ERP CVEs

Let’s break down this Alphabet soup. SAP is an acronym for “Systems, Applications and Products in Data Processing”, a German company providing business software. ERP is their Enterprise Resource Planning software, and of course a CVE is a Common Vulnerabilities and Exposure. So to translate the acronyms, SAP’s accounting software has vulnerabilities. And in this case, CVE-2025-42944 is a ten out of ten on the CVSS severity scale.

In fact, there are four vulnerabilities altogether, all CVSS of nine or higher, and all in the underlying NetWeaver platform. SAP owned up to the problems, commenting that they operated as a backdoor, allowing unauthorized access. Patches are available for all of these issues, but some of them have been found in use in the wild.

Kerbroasting

You know it’s bad when a sitting US Senator can tell that your security has problems. Though before I read the article, I had a feeling it would be [Ron Wyden].

The issue here is Microsoft’s support for RC4 encryption in Active Directory. RC4, also known as ARC4, is a pseudorandom number generator developed at RSA in 1987. This continuing support leads to an attack known as kerberoasting.

Kerberos is one of the protocols that powers Active Directory. It works through a sort of ticket signing system. The server doing the signing takes a hash of a password and uses that hash as an encryption key to encrypt the Kerberos ticket. There are two possible problems. First, that password may be a human generated password, and therefore a weak password. And second, the legacy combination of RC4 and original NT hashing makes for extremely fast offline password guessing.

So here’s the kerberoasting attack: Take any account in the Active Directory, and request a Kerberos ticket, specifying the legacy RC4 encryption. Take this offline ticket to a modern CPU/GPU, and use Hashcat to crack that password, at a guess rate measured in the billions per second. Once that password is discovered, arbitrary Kerberos tickets can be signed, providing access to basically any account on the AD system.

This was part of the 2024 ransomware attack on Ascension health, and why the US senate is taking notice. What’s strange is how resistant Microsoft has been to fixing this issue. Microsoft states that RC4 only makes up .1% of traffic, which is nonsense, since the attack doesn’t rely on traffic. Finally in 2026, new installs of Windows server 2025 will disable RC4 by default.

Reverse Engineering and TLS Hacking

We get a great primer from [f0rw4rd] on how to defeat TLS certificates, in a very specific scenario. That scenario is reverse engineering an embedded or industrial Linux system. One of the tools you might want to use is to intercept traffic from the embedded system to some web server, but if that system uses HTTPS, it will fail to verify that certificate. What is a researcher to do?

One possible solution is to abuse LD_PRELOAD to poison the application. This approach uses dynamic library loading to insert a “malicious” library before program execution. tls-preloader is a tool to do exactly this, and supports multiple SSL/TLS libraries, allowing sniffing all that useful TLS data.

The Rest of the Story

Just recently we mentioned several 0-day vulnerabilities that were being used for in-the-wild attacks. This week we have updates on a couple of those. First is the iOS and macOS vulnerability in DNG image file processing. The basic issue is that this file type has a TIFF header that includes a SamplesPerPixel metadata, and a SOF3 section with a component count. A properly formatted file will have consistency between these two elements, and the Apple file processing didn’t handle such an inconsistency correctly, leading to memory corruption and potentially Remote Code Execution (RCE).

The other recent 0-day is a FreePBX flaw that was discovered through the presence of a clean.sh script on multiple FreePBX installs. The flaw was an automatic class loader that allowed an unauthenticated user to include module files when calling the ajax.php endpoint. One way to turn this into an exploit is SQL injection in one of the modules. This is what has been patched, meaning there are likely more exploits to find using this php injection quirk.

Bits and Bytes

The Apple CarPlay SDK had a buffer overflow that was reachable by a device connecting to the vulnerable head unit. Researchers from oligo discovered this flaw, and presented it at Def Con this year. The end result is root-level RCE, and while Apple has already published an SDK update, most cars are still vulnerable to this one.

And finally, enjoy [LaurieWired] taking a look at this year’s International Obfuscated C Code Contest (IOCCC) winners. This contest is all about pushing the limits in how terrifying C code can be, while still compiling and doing something interesting. And these entries don’t disappoint.

youtube.com/embed/by53T03Eeds?…

hackaday.com/2025/09/12/this-w…

Non brilliamo molto nella sicurezza informatica, ma sugli Spyware siamo tra i primi della classe!

Secondo una ricerca dell’Atlantic Council, il settore dello spyware è in piena espansione, poiché gli investitori rivolgono sempre più la loro attenzione a questo settore eticamente discutibile ma altamente redditizio. La maggior parte del denaro è destinata ad aziende negli Stati Uniti e in Israele, ma al terzo posto troviamo l’Italia.

E gli investimenti americani nello spyware sono triplicati nell’ultimo anno.

L’Italia al terzo posto nella guerra degli spyware

Lo studio dell’Atlantic Council ha preso in esame 561 organizzazioni provenienti da 46 paesi dal 1992 al 2024. Nel farlo, gli esperti sono riusciti a identificare 34 nuovi investitori, portando il loro numero totale a 128 (rispetto ai 94 del 2024).

Si nota che il maggiore interesse per lo spyware è dimostrato dagli investitori americani: nel 2024 sono state identificate 20 nuove società investitrici negli Stati Uniti, per un totale di 31. Questa crescita ha superato di gran lunga quella di altri Paesi, tra cui Israele, Italia e Regno Unito.

Pertanto, il numero di investitori identificati nell’UE e in Svizzera è stato di 31, con l’Italia, considerata un hub chiave per lo spyware, che ha rappresentato la quota maggiore con 12 investitori. Il numero di investitori in Israele è stato di 26.

Tra gli investitori americani, gli analisti dell’Atlantic Council annoverano i grandi hedge fund DE Shaw & Co. e Millennium Management, la nota società commerciale Jane Street e la grande società finanziaria Ameriprise Financial.

Secondo il rapporto, tutti loro hanno inviato fondi al fornitore israeliano di spyware legale Cognyte. Si sottolinea che questa azienda è stata precedentemente collegata a violazioni dei diritti umani in Azerbaigian, Indonesia e altri paesi.

L’acquisto di Paragon Solution

Un altro esempio degno di nota degli investimenti americani nello spyware è la recente acquisizione del noto fornitore israeliano di spyware Paragon Solutions da parte di AE Industrial Partners, una società di private equity con sede in Florida specializzata in sicurezza nazionale.

Gli autori del rapporto sottolineano che, sebbene i politici americani abbiano sistematicamente combattuto la diffusione e l’abuso di spyware, talvolta con misure politiche severe, esiste una significativa discrepanza tra loro e gli investitori statunitensi, perché “i dollari statunitensi continuano a finanziare proprio le entità che i politici statunitensi stanno cercando di combattere”.

Un esempio citato è il fornitore di spyware Saito Tech (ex Candiru), presente nell’elenco delle sanzioni del Dipartimento del Commercio degli Stati Uniti dal 2021 e che ha ricevuto nuovi investimenti dalla società statunitense Integrity Partners nel 2024.

Oltre a concentrarsi sugli investimenti, l’Atlantic Council scrive che il mercato globale degli spyware è “in crescita ed evoluzione”, e ora include quattro nuovi fornitori, sette nuovi rivenditori o broker, 10 nuovi fornitori di servizi e 55 nuovi individui associati al settore.

Ad esempio, tra i fornitori recentemente identificati figurano l’israeliana Bindecy e l’italiana SIO. Tra i rivenditori figurano società di facciata associate ai prodotti del Gruppo NSO (come la panamense KBH e la messicana Comercializadora de Soluciones Integrales Mecale). Tra i nuovi fornitori di servizi figurano la britannica Coretech Security e la statunitense ZeroZenX.

youtube.com/embed/jkMy6OaFOyo?…

Broker e rivenditori, sono il cuore pulsante degli spyware

Il rapporto evidenzia il ruolo centrale svolto da tali rivenditori e broker, che rappresentano un “gruppo di attori poco studiato”.

“Queste organizzazioni agiscono da intermediari, oscurando i collegamenti tra venditori, fornitori e acquirenti. Spesso, gli intermediari mettono in contatto i fornitori con nuovi mercati regionali. Questo crea una catena di fornitura complessa e opaca per lo spyware, rendendo estremamente difficile comprendere le strutture aziendali, le manipolazioni giurisdizionali e le responsabilità“, hanno dichiarato gli autori dello studio a Wired .

Ma attenzione: realizzare spyware è solo fare un puzzle

Quasi sempre non si tratta di aziende che sviluppano internamente malware costruiti sfruttando vulnerabilità scoperte da loro stesse (0day): le società che commercializzano spyware spesso non cercano e non scoprono direttamente i bug. Al contrario, la filiera vede la presenza di broker di exploit 0day che fungono da intermediari: questi broker acquistano vulnerabilità da ricercatori o scopritori e le rivendono—talvolta tramite aste private—a operatori che poi le integrano in strumenti di sorveglianza.

Quindi non bisogna pensare che realizzare uno spyware richieda necessariamente capacità tecniche di scoperta di vulnerabilità; nella pratica commerciale descritta basta produrre il software che sfrutta gli exploit 0day ottenuti di ricercatori di sicurezza, che li hanno venduti a loro volta ai broker. Questo spiega perché il mercato dello spyware può funzionare anche separando nettamente il lavoro di ricerca delle vulnerabilità dalla loro applicazione operativa.

L'articolo L’Italia tra i grandi degli Spyware! Un grande terzo posto dopo Israele e USA proviene da il blog della sicurezza informatica.

Dopo che la vulnerabilità in FreePBX è stata scoperta, è stata immediatamente sfruttata attivamente nell’ecosistema della telefonia IP. La comunità ha notato compromissioni di massa il 21 agosto 2025, e da allora sintomi identici e tracce di manomissioni hanno iniziato a comparire sui forum. I ricercatori di watchTowr Labs hanno confermato che si tratta di un attacco remoto senza autenticazione correlato al modulo Endpoint commerciale e a un errore nell’elaborazione del class autoloader.

Al problema è stato assegnato l’identificatore CVE-2025-57819. FreePBX è un’interfaccia web per Asterisk utilizzata da tutti, dagli appassionati di home office ai fornitori di servizi e ai sistemi aziendali, quindi l’impatto si estende oltre i pannelli interni, consentendo l’accesso a chiamate, segreteria telefonica e registrazioni delle chiamate.

Il primo campanello d’allarme, il 25 agosto, è stato il crash di massa dell’interfaccia con un errore PHP relativo a una classe Symfony mancante. Il giorno successivo, uno degli amministratori ha mostrato un file .clean.sh improvvisamente apparso sul server. Lo script ha analizzato i log in “/var/log/*”, ha cancellato selettivamente le righe in cui potevano esserci riferimenti a web shell e nomi di servizi, per poi cancellarsi. Tale pulizia dei log è un tipico segnale di post-exploitation, quando gli aggressori cancellano le tracce e complicano l’analisi dell’incidente.

WatchTowr ha implementato un sensore FreePBX completamente monitorato e ne ha confrontato il comportamento prima e dopo le correzioni. È emerso che l’accesso diretto al codice vulnerabile si trova all’interno del modulo Endpoint e che il bundle di routing /admin/ajax.php e il meccanismo di caricamento automatico delle classi svolgono un ruolo cruciale. Il codice sorgente di FreePBX prevede un controllo class_exists per il valore del parametro del modulo e, con il valore di caricamento automatico PHP predefinito, questa chiamata passa una stringa all’utente fpbx_framework_autoloader.

Se si invia un modulo del tipo “FreePBXmodulesendpointajax“, l’autoloader raccoglie il percorso “/admin/modules/endpoint/ajax.php” e include semplicemente il file corrispondente, prima che la sessione venga verificata. In questo modo, il codice del modulo viene avviato senza login, ma a quel punto entra in gioco l’errore di validazione in Endpoint: l’iniezione SQL nei parametri del gestore ajax consente di manipolare il database di FreePBX.

In pratica, gli aggressori hanno prima creato un amministratore nascosto “ampuser” – ciò è confermato dalle richieste honeypot catturate, in cui un’operazione INSERT è stata iniettata nella tabella ampusers nel parametro brand. Quindi, per passare dall’accesso al database all’esecuzione di comandi, hanno aggiunto un record alla tabella cron_jobs con la pianificazione standard “* * * * *”, specificando il payload nel campo command – in questo modo, il codice è stato eseguito una volta al minuto per conto delle utilità di sistema di FreePBX. Questa catena watchTowr è stata riprodotta in laboratorio e, per verificare le tracce, è stato pubblicato un generatore di artefatti di rilevamento, che alternativamente tenta di registrare la web shell tramite cron o di aggiungere un nuovo utente.

Gli sviluppatori di FreePBX hanno risposto prontamente e hanno raccomandato di chiudere temporaneamente l’interfaccia di amministrazione tramite elenchi IP o un firewall e di installare aggiornamenti non pianificati per il modulo Endpoint. Per FreePBX 16/17, è stato suggerito il comando “fwconsole ma downloadinstall endpoint –edge”, per PBXAct 16 – “–tag 16.0.88.19”, per PBXAct 17 – “–tag 17.0.2.31”.

Nella descrizione dell’incidente, il team di FreePBX ha specificamente osservato che, a partire dal 21 agosto 2025, una persona sconosciuta ha iniziato ad accedere ai sistemi versione 16 e 17 accessibili da Internet senza un adeguato filtraggio e, dopo il login iniziale e una serie di passaggi sono stati concessi i diritti di root. Allo stesso tempo, watchTowr sottolinea che la correzione modulare risolve l’SQL injection, ma la causa principale, ovvero il caricamento automatico nel kernel, richiede ancora una riconsiderazione, poiché la connessione pre-autenticazione dei singoli file “.php” all’interno di “admin/modules” rimane una via accessibile.

L'articolo La vulnerabilità critica in FreePBX consente un accesso remoto senza autenticazione proviene da il blog della sicurezza informatica.

Microsoft ha iniziato a testare nuove funzionalità basate sull’intelligenza artificiale in Esplora file di Windows 11. Queste funzionalità consentiranno agli utenti di interagire con immagini e documenti direttamente da Esplora file, senza dover aprire i file in app separate.

La nuova funzionalità si chiama “Azioni AI” e attualmente funziona con immagini JPG, JPEG e PNG, consentendo di effettuare le seguenti operazioni:

• Rimuovi sfondo in Paint: ritaglia rapidamente lo sfondo di un’immagine, lasciando solo il soggetto;
• Rimuovi oggetti con l’app Foto: consente di rimuovere elementi indesiderati dalle foto utilizzando l’intelligenza artificiale generativa;
• Sfoca lo sfondo utilizzando l’app Foto: mette a fuoco il soggetto sfocando lo sfondo;
• Ricerca immagini con Bing Visual Search : la ricerca visiva con Bing trova immagini, oggetti, punti di riferimento e altro simili sul Web.

“Le azioni AI” in Esplora file semplificano e velocizzano il lavoro con i file: basta fare clic con il pulsante destro del mouse, ad esempio, per modificare un’immagine o ottenere un riepilogo di un documento”, affermano i rappresentanti Microsoft Amanda Langowski e Brandon LeBlanc.

Queste nuove funzionalità sono disponibili in Windows 11 Insider Preview Build 27938. Insieme a queste, è stata introdotta un’altra utile funzionalità: in Impostazioni > Privacy e sicurezza > Generazione di testo e immagini, viene ora visualizzato un elenco delle app di terze parti che hanno utilizzato di recente modelli di intelligenza artificiale generativa locale di Windows.

L’utente può visualizzare questa attività e gestire l’accesso di queste app alle funzionalità di intelligenza artificiale.

A inizio maggio, Microsoft ha anche introdotto gli agenti di intelligenza artificiale , assistenti intelligenti in grado di modificare le impostazioni di Windows con un comando vocale o di testo. Queste funzionalità sono ora disponibili sui PC Copilot+ e sui processori Snapdragon.

L'articolo Windows 11: Microsoft Rinnova Esplora file introducendo l’intelligenza artificiale proviene da il blog della sicurezza informatica.