Analisi: Come l’intersezione tra codice e greggio sta ridefinendo il rischio sistemico.

Il 13 dicembre 2025, nel silenzio dei terminal petroliferi del Venezuela, si è consumato un evento che ha riscritto le regole della proiezione di potenza. Mentre la US Coast Guard conduceva un’operazione cinetica classica – il sequestro della petroliera Skipper e del suo carico sanzionato – i server della PDVSA subivano un colpo parallelo nel dominio digitale. Al di là delle rivendicazioni, la coincidenza temporale tra pressione diplomatica, azione militare e paralisi informatica offre uno spaccato perfetto della guerra multidominio moderna.

IN BREVE

1. L’innesco: criminalità o interdizione strategica?
2. Il mercato: la vulnerabilità del prezzo
3. La visione da Londra: il codice come dominio
4. Prospettive: l’ipotesi del “firewall del sud”
5. Conclusione

L’Innesco: criminalità o interdizione strategica?

Il blackout digitale che ha colpito la compagnia di stato venezuelana non è stato un semplice guasto. I sistemi amministrativi e logistici sono andati offline, costringendo gli operatori a tornare ai registri cartacei e le navi cisterna a invertire la rotta. Sebbene fonti tecniche (Reuters, BleepingComputer) identifichino la firma di un attacco ransomware, l’effetto finale è stato indistinguibile da un sabotaggio mirato.

In un contesto di conflitto ibrido, la distinzione tra criminalità opportunistica e “Wiper” (software distruttivo) mascherato diventa sfumata. Ciò che conta è l’interdizione del dominio: nel momento di massima tensione con Washington, la capacità di export venezuelana è stata azzerata senza sparare un solo colpo.

Il Mercato: La Vulnerabilità del Prezzo

La reazione del greggio (WTI) ha evidenziato una nuova, estrema fragilità dei mercati. In una fase di surplus globale, l’incidente cyber ha agito da catalizzatore di stress. Non ha generato un trend isolato, ma ha fornito un “pavimento tecnico” (floor) in una fase ribassista critica.
Il ‘Red Spike’ del 15 dicembre in risposta al blackout digitale di PDVSA. Fonte: TradingView.
L’analisi quantitativa mostra che l’informazione digitale oggi possiede la stessa “densità” dei fondamentali fisici: la semplice possibilità che un attacco informatico rimuova quasi 2 milioni di barili dal mercato in poche ore ha costretto gli algoritmi di trading e gli operatori a un massiccio short squeeze. Il bit ha comandato l’atomo, spostando miliardi di dollari di capitalizzazione in meno di 48 ore.
Analisi Forense WTI/Cyber: Correlazione temporale tra l’intensità del segnale OSINT sull’attacco PDVSA (Rosso) e l’azione del prezzo del petrolio (Blu). Si noti la formazione del “Floor Tecnico” e l’inversione di trend (V-Shape) in perfetta sincronia con il picco dell’evento cyber

La Visione da Londra: Il Codice come Dominio

La rilevanza strategica di questi eventi ha trovato un’eco immediata a Londra. Il 15 dicembre, nel suo primo discorso pubblico, il nuovo capo dell’MI6 Blaise Metreweli ha tracciato la rotta: “Saremo fluenti in Python quanto lo siamo in Russo”.

Senza citare esplicitamente Caracas, la dottrina Metreweli è chiara: la linea del fronte è ovunque. La capacità di leggere e difendere il codice non è più un supporto tecnico, ma il cuore pulsante della sovranità nazionale. Se un errore di sintassi può fermare una flotta o una compagnia petrolifera, allora il programmatore è il nuovo fante di marina.

Prospettive: L’Ipotesi del “Firewall del Sud”

Questa dinamica suggerisce un riallineamento tettonico nel sud Atlantico. Con il Venezuela isolato e digitalmente vulnerabile, l’Argentina — forte delle risorse di Vaca Muerta — emerge come l’alternativa stabile necessaria all’Occidente.

È ragionevole ipotizzare che la prossima fase della collaborazione tra Buenos Aires e l’asse Londra-Washington non riguarderà solo i trattati commerciali, ma l’integrazione delle architetture di sicurezza. Si delinea un “Firewall del Sud”: uno scudo digitale per proteggere le risorse energetiche e le rotte antartiche dal caos informatico che ha appena messo in ginocchio PDVSA.

Conclusione

L’incidente di dicembre 2025 è un avvertimento sistemico. La sicurezza energetica non dipende più solo da chi controlla i pozzi, ma da chi presidia i server. In questo nuovo “Grande Gioco”, un attacco ransomware ha lo stesso peso strategico di un blocco navale. La stabilità del mondo moderno è appesa alla resilienza di poche, cruciali, righe di codice.

L'articolo L’algoritmo del ‘barile’: cyber-caos e la nuova geopolitica del sud Atlantico proviene da Red Hot Cyber.

Once upon a time, transmutation of the elements was a really big deal. Alchemists drove their patrons near to bankruptcy chasing the philosopher’s stone to no avail, but at least we got chemistry out of it. Nowadays, anyone with a neutron source can do some spicy transmutation. Or, if you happen to have a twelve meter sphere of liquid scintillator two kilometers underground, you can just wait a few years and let neutrinos do it for you. That’s what apparently happened at SNO+, the experiment formally known as Sudbury Neutrino Observatory, as announced recently.

The scinillator already lights up when struck by neutrinos, much as the heavy water in the original SNO experiment did. It will also light up, with a different energy peak, if a nitrogen-13 atom happens to decay. Except there’s no nitrogen-13 in that tank — it has a half life of about 10 minutes. So whenever a the characteristic scintillation of a neutrino event is followed shortly by a N-13 decay flash, the logical conclusion is that some of the carbon-13 in the liquid scintillator has been transmuted to that particular isotope of nitrogen.

That’s not unexpected; it’s an interaction that’s accounted for in the models. We’ve just never seen it before, because, well. Neutrinos. They’re called “ghost particles” for a reason. Their interaction cross-section is absurdly low, so they are able to pass through matter completely unimpeded most of the time. That’s why the SNO was built 2 KM underground in Sudbury’s Crieghton Mine: the neutrinos could reach it, but very few cosmic rays and no surface-level radiation can. “Most of the time” is key here, though: with enough liquid scintillator — SNO+ has 780 tonnes of the stuff — eventually you’re bound to have some collisions.

Capturing this interaction was made even more difficult considering that it requires C-13, not the regular C-12 that the vast majority of the carbon in the scintillator fluid is made of. The abundance of carbon-13 is about 1%, which should hold for the stuff in SNO+ as well since no effort was made to enrich the detector. It’s no wonder that this discovery has taken a few years since SNO+ started in 2022 to gain statistical significance.

The full paper is on ArXiv, if you care to take a gander. We’ve reported on SNO+ before, like when they used pure water to detect reactor neutrinos while they were waiting for the scintillator to be ready. As impressive as it may be, it’s worth noting that SNO is no longer the largest neutrino detector of its kind.

hackaday.com/2025/12/18/neutri…

Un gruppo di ricercatori ha scoperto una vulnerabilità, identificata come CVE-2025-40602, che interessa la serie SMA1000 di gateway di accesso sicuro di SonicWall. Questa falla è particolarmente preoccupante perché potrebbe permettere a un aggressore di aumentare i propri privilegi all’interno di un sistema, senza essere necessariamente già presente al suo interno.

Il problema è stato ufficialmente classificato con un punteggio CVSS di 6,6, ma il vero pericolo risiede nel modo in cui gli aggressori potrebbero sfruttarla. Infatti, la vulnerabilità è stata descritta come una “vulnerabilità di escalation dei privilegi locali dovuta a un’autorizzazione insufficiente nella console di gestione dell’appliance (AMC) SonicWall SMA1000″.

Questa vulnerabilità potrebbe avere un impatto significativo sulla sicurezza delle organizzazioni che utilizzano questi dispositivi per gestire la connettività dei lavoratori da remoto. È importante quindi prendere misure per mitigare il rischio e proteggere i sistemi da possibili attacchi.

Tuttavia, l’avviso di SonicWall rivela un contesto più oscuro. Questo specifico bug viene sfruttato insieme a una falla critica precedentemente segnalata , con effetti catastrofici.

“IMPORTANTE: è stato segnalato che questa vulnerabilità viene sfruttata in combinazione con CVE-2025-23006 (punteggio CVSS 9,8) per ottenere l’esecuzione di codice remoto non autenticato con privilegi di root”, avverte l’avviso .

Concatenando questi due exploit, gli aggressori possono aggirare completamente l’autenticazione (utilizzando la prima falla) e poi elevare i propri permessi a root (utilizzando la nuova falla), impadronendosi di fatto delle “chiavi del castello” senza mai aver bisogno di un nome utente o di una password validi.

La vulnerabilità è specifica della serie SMA1000 che esegue le versioni firmware 12.4.3-03093 e precedenti, oppure 12.5.0-02002 e precedenti. SonicWall esorta gli utenti ad applicare immediatamente la patch. L’azienda ha rilasciato hotfix per la piattaforma (build 12.4.3-03245 e 12.5.0-02283) per colmare la lacuna di sicurezza .

Per le organizzazioni che non possono disattivare i propri sistemi per un aggiornamento immediato, SonicWall suggerisce una soluzione alternativa: bloccare l’interfaccia di gestione. Gli amministratori dovrebbero “disabilitare l’interfaccia di gestione SSL VPN (AMC) e l’accesso SSH dalla rete Internet pubblica” e limitare l’accesso ai tunnel VPN o a specifici indirizzi IP interni.

Per non cadere dentro questi problemi, è importante prestare attenzione ad alcuni aspetti. Innanzitutto, è fondamentale applicare immediatamente le patch di sicurezza rilasciate da SonicWall, come i hotfix per la piattaforma (build 12.4.3-03245 e 12.5.0-02283). In secondo luogo, occorre limitare l’accesso ai tunnel VPN o a specifici indirizzi IP interni e disabilitare l’interfaccia di gestione SSL VPN (AMC) e l’accesso SSH dalla rete Internet pubblica.

In questo modo, si può mitigare il rischio e proteggere i sistemi da possibili attacchi.

L'articolo Vulnerabilità critica nei gateway SonicWall SMA1000: RCE pre-auth utilizzando due CVE proviene da Red Hot Cyber.

Modern hospitals use a lot of computers. Architecturally speaking, they’re pretty typical machines—running the same CPUs and operating systems as any other PCs out there. However, they do tend to have some quirks when it comes to accessories and peripherals, as [tzukima] explores in a recent video.

The video starts by looking at typical power cables used with hospital computers and related equipment. In particular, [tzukima] talks about the common NEMA 5-15P to IEC-320-C13 style cable, which less sophisticated users might refer to as a kettle cord. In hospital-grade form, these cables are often constructed with translucent plug housings, with large cylindrical grips that make them easier to grip.

Digging further through business supply catalogs lead [tzukima] to discover further products aimed at hospital and medical users. In particular, there are a wide range of keyboards and mice that are designed for use in these environments. The most typical examples are regular peripherals that have simply been encased in silicone to make them easier to wash and disinfect where hygiene is paramount. Others, like the SealShield keyboard and mouse, use more advanced internally-sealed electronics to achieve their washable nature and IP68 ratings. These are peripherals that you can just throw in a dishwasher if you’re so inclined.

It’s a great look at weird hardware that most of us would never interact with.

youtube.com/embed/CqSyrm9mRu0?…

hackaday.com/2025/12/18/the-qu…

La cultura del “tanto chi vuoi che mi attacchi?” gira ancora, testarda.

Non è uno slogan, è proprio un modo di pensare. Una specie di alibi mentale che permette di rimandare, di non guardare troppo da vicino certi rischi. Succede spesso nelle aziende piccole, quelle dove tutti fanno un po’ di tutto e la sicurezza resta una cosa vaga, sullo sfondo.

Chi osserva queste dinamiche lo vede chiaramente: la sottovalutazione del rischio non è un problema teorico, è pratica quotidiana.

Non nasce da arroganza pura, più da stanchezza, da abitudine, da una fiducia mal riposta nel fatto che “siamo piccoli”. Una frase che torna, uguale, detta con convinzione. E che però non regge.

Perché “non siamo un obiettivo” non funziona

Nelle PMI l’idea è diffusa: nessun dato interessante, nessun nome famoso, nessuna ragione per attirare attenzioni. È una convinzione comoda e diciamola tutta, anche molto rassicurante. Permette di pensare che il problema riguardi altri, quelli grandi, quelli sotto i riflettori. Qui no, qui si lavora e basta.

Il punto è che gli attacchi non funzionano più così, se mai lo hanno fatto.

Non c’è qualcuno che guarda una singola azienda e decide se vale la pena. C’è automazione, c’è scanning continuo, c’è un rumore di fondo costante fatto di tentativi automatici. Non serve essere speciali. Basta essere lì.

Ma quante sono le piccole imprese che sono rimaste vittima di un ransomware e sono presenti su questo sito? Migliaia.

Attacchi automatici, non personali

Chi analizza gli incidenti lo ripete da anni, forse con meno pazienza di prima: gran parte degli attacchi è opportunistica. Sistemi che scandagliano la rete senza sosta, alla ricerca di una porta aperta, una configurazione sbagliata, una password debole. Non chiedono chi sei. Provano e basta.

In questo scenario, la dimensione conta poco. Anzi, a volte conta al contrario.

Le realtà più piccole sono spesso meno preparate, meno aggiornate, meno protette. Non per negligenza cattiva, ma per mancanza di tempo, risorse, attenzione. Ed è proprio lì che l’automazione trova spazio.

E se c’è un ransomware di mezzo? la PMI paga subito!

Il problema quindi è uno solo. Essere fortunati di non andarci di mezzo. Ma per una Amministratore delegato di una media impresa, costruita con il sacrificio e con la passione di anni di duro lavoro. E’ con la fortuna che vogliamo giocare?

Quando la teoria diventa danno concreto

Ci sono casi reali, documentati, di piccole aziende colpite duramente e ci sono casi documentati di aziende che hanno fallito per un attacco informatico.

Non per attività sensibili o segreti industriali, ma perché impreparate. Sistemi bloccati, dati irrecuperabili, operatività ferma. Il tipo di danno che, per una PMI, pesa molto più che per una grande struttura. Volete vedere cosa succede veramente?

Abbiamo anche realizzato un fumetto su questo, il secondo episodio della nostra serie a fumetti BETTI-RHC dal titolo “Zero Decrypt” dove raccontiamo proprio questa storia. Un attacco ransomware ad una piccola impresa. E questa storia si ripete ogni giorno, nel silenzio assordante della stampa che pensa solo ai pesci “grandi” e non ai piccoli.

Chi racconta questi episodi nota sempre lo stesso dettaglio, quasi banale: nessuno pensava potesse succedere. Nessun piano, nessuna procedura, nessuna reazione pronta. Solo sorpresa. E poi il conto, che arriva sempre in un secondo momento.

Il costo della sottovalutazione

Il problema non è solo l’attacco in sé, ma tutto quello che viene prima. La convinzione che il rischio sia remoto porta a rimandare aggiornamenti, a ignorare segnali, a trattare la sicurezza come un fastidio. Qualcosa che ruba tempo al lavoro vero. Un pensiero laterale, inutile.

Eppure è proprio questa leggerezza a trasformare un evento comune in un disastro. Perché l’attacco, in molti casi, è banale. Quello che manca è la preparazione. E senza preparazione, anche una cosa semplice diventa ingestibile.

La cultura del “chi vuoi che mi attacchi” resiste perché è facile.

Non chiede sforzo, non chiede cambiamenti. È una frase che chiude la discussione, che permette di passare ad altro. In fondo rassicura tutti, anche chi la dice.

Ma chi guarda i numeri, gli incidenti, le dinamiche reali, lo sa: non è una strategia. È solo una speranza. E sperare, quando si parla di sicurezza, raramente è una buona idea. Anche se suona umana, comprensibile. Fin troppo.

L'articolo Sottovalutare la sicurezza informatica Oggi. Parliamo di “tanto chi vuoi che mi attacca?” proviene da Red Hot Cyber.

La sicurezza informatica è un tema che non scherza, specialmente quando si parla di vulnerabilità che possono compromettere l’intero sistema. Ebbene, Hewlett Packard Enterprise (HPE) ha appena lanciato l’allarme su una falla di sicurezza davvero preoccupante nel suo software di punta, OneView.

Questa vulnerabilità, identificata come CVE-2025-37164, ha un punteggio CVSS massimo di 10,0, il che significa che si tratta di un bug molto critico. Insomma, se non si aggiornano i sistemi, si rischia molto ed è questo quello che si consiglia, prima che i criminali informatici possano entrare nei sistemi e generare incidenti di sicurezza informatica.

OneView è il cervello dei data center, gestisce server, storage e networking, ed è il motore dell’automazione per gli ambienti cloud ibridi. Quindi, se un utente non autenticato può eseguire codice remoto, siamo davvero nei guai. È arrivato il momento di prendere seriamente questa vulnerabilità e capire cosa sta succedendo.

Il bug, infatti, consente l’esecuzione di codice remoto (RCE) da parte di un utente completamente non autenticato. Secondo l’avviso, la falla consente a un aggressore remoto di eseguire codice arbitrario senza dover effettuare l’accesso. In termini pratici, ciò significa che un aggressore potrebbe assumere il controllo dell’appliance di gestione da tutta la rete senza rubare alcuna credenziale.

Una volta all’interno, potrebbe potenzialmente interrompere le operazioni, distribuire ransomware o manipolare l’hardware fisico gestito dal software. Questa vulnerabilità riguarda HPE OneView – Tutte le versioni precedenti alla v11.00. HPE ha pubblicato una risoluzione urgente e consiglia a tutti i clienti di agire immediatamente.

La soluzione principale consiste nell’aggiornare completamente il software. “Hewlett Packard Enterprise OneView v11.00 o versioni successive risolve questa vulnerabilità”, ha dichiarato l’azienda. Gli amministratori possono scaricare l’aggiornamento tramite My HPE Software Center o HPE Synergy Software Releases.

Per le organizzazioni che impiegano versioni precedenti (dalla 5.20 alla 10.20) e non sono in grado di passare subito alla versione 11.00, HPE ha messo a disposizione un fix di sicurezza urgente. Tuttavia, l’installazione di questa patch richiede un’indicazione fondamentale che, se trascurata, potrebbe mettere a rischio il sistema. Gli esperti di HPE sottolineano che il fix di sicurezza non permane in seguito ad alcuni aggiornamenti.

In particolare, il fix di sicurezza deve essere reinstallato dopo aver aggiornato l’appliance da HPE OneView versione 6.60.xx alla versione 7.00.00, comprese eventuali re-immagini di HPE Synergy Composer.

Gli amministratori sono invitati a controllare i numeri di versione e ad applicare con urgenza le patch, poiché una vulnerabilità CVSS 10 rappresenta spesso una priorità assoluta per i gruppi di ransomware e gli attori finanziati da stati.

L'articolo RCE in HPE OneView: 10 su 10! Aggiornamenti urgenti per il Cloud e i Data Center proviene da Red Hot Cyber.

La Cybersecurity and Infrastructure Security Agency (CISA) ha diramato un’allerta critica includendo tre nuove vulnerabilità nel suo catalogo delle minacce informatiche sfruttate (KEV), evidenziando che tali falle sono attualmente oggetto di sfruttamento attivo da parte degli hacker criminali.

Tra queste, figura CVE-2025-20393, una vulnerabilità critica di tipo zero-day che interessa i dispositivi Secure Email Gateway (SEG) e Web Manager (SEWM) prodotti da Cisco, contraddistinta da un punteggio CVSS pari a 10/10.

Tale vulnerabilità, considerata di “massima gravità”, permette agli aggressori non autenticati di superare tutte le barriere di difesa e di eseguire comandi a loro scelta con i privilegi di root. L’origine del problema risiede in una procedura di convalida degli input errata nella funzione Spam Quarantine, che risulta esposta su Internet.

Gli hacker stanno quindi sfruttando attivamente una falla nelle appliance Secure Email Gateway (SEG) e Web Manager (SEWM) di Cisco, che consente loro di eseguire comandi arbitrari con privilegi di root a causa di una convalida errata degli input nella funzione Spam Quarantine quando questa è accessibile online.

Secondo Cisco Talos, un gruppo di minacce informatiche cinese-nexus, identificato come UAT-9686, sta già sfruttando questa falla, come visto nell’articolo precedente. Il gruppo sta implementando una suite di malware personalizzati, tra cui la backdoor persistente AquaShell e AquaPurge, uno strumento progettato per ripulire i log e nascondere le proprie tracce.

La CISA ha inoltre segnalato una situazione critica che coinvolge i dispositivi SonicWall SMA1000. Sebbene l’avviso evidenzi una vulnerabilità specifica (spesso collegata alla console di gestione), il vero pericolo deriva dal modo in cui gli aggressori la stanno collegando a una precedente falla, la CVE-2025-23006.

Gli aggressori stanno combinando queste vulnerabilità per ottenere un controllo completo del sistema. Il rapporto osserva che gli aggressori “hanno concatenato questa vulnerabilità con una falla di deserializzazione pre-autenticazione SMA1000 di gravità critica… per ottenere l’esecuzione di codice remoto non autenticato con privilegi di root”.

Questa “catena di exploit” trasforma il dispositivo in una porta aperta per gli intrusi. Alle agenzie federali è stata data una scadenza ravvicinata, il 24 dicembre 2025, per risolvere questa specifica minaccia.

La terza aggiunta è un tuffo nel passato con conseguenze moderne. CVE-2025-59374 (CVSS 9.3) riguarda il client ASUS Live Update, un’utilità che ha raggiunto la fine del supporto (EOS) nel 2021.

Nonostante sia obsoleto, il software viene sfruttato tramite una sofisticata “compromissione della supply chain”. Modifiche non autorizzate introdotte nel client di aggiornamento consentono agli aggressori di forzare i dispositivi a “eseguire azioni indesiderate” se soddisfano specifiche condizioni di targeting. Poiché il software non è più supportato, rappresenta un rischio “zombie”, in quanto non aggiornato e in agguato sui sistemi più vecchi.

Si evince quindi che le vulnerabilità informatiche sono sempre dietro l’angolo. La CISA ha segnalato ben tre nuove falle sfruttate attivamente dagli hacker. Questa falla permette agli aggressori di eseguire comandi a loro scelta con i privilegi di root.

Per non cadere dentro questi problemi, occorre prestare attenzione ad alcuni aspetti. Innanzitutto, è fondamentale aggiornare i sistemi e i software alle ultime versioni, come le falle scoperte nei dispositivi SonicWall SMA1000. Inoltre, è importante fare attenzione ai software obsoleti, come il client ASUS Live Update, che non sono più supportati ma possono ancora rappresentare un rischio.

In sintesi, la finestra tra pubblicazione degli exploit e sfruttamento attivo si sta sempre più riducendo, pertanto risulta importante effettuare il “patch management”, prima che gli aggressori possano sfruttare le falle di sicurezza all’interno delle nostre organizzazioni.

Solo con una grande attenzione e consapevolezza è possibile evitare di cadere nelle trappole tese dagli hacker.

L'articolo Allerta critica CISA! Tre nuovi bug sfruttati attivamente: Cisco, SonicWall e ASUS nel mirino proviene da Red Hot Cyber.

Quando si parla di sicurezza informatica, è normale pensare a un gioco costante tra chi attacca e chi difende. E in questo gioco, le vulnerabilità zero-day sono il jackpot per gli hacker criminali. Recentemente, una falla critica nei dispositivi di posta elettronica sicura di Cisco ha attirato l’attenzione di un gruppo di hacker cinesi molto esperti.

Questa vulnerabilità, identificata come CVE-2025-20393, ha un punteggio CVSS massimo di 10 e consente agli aggressori di prendere il controllo totale dei gateway di rete sensibili.

Ma cosa significa esattamente?

In pratica, questi attacchi permettono agli hacker di bypassare l’autenticazione ed eseguire comandi come root, il che significa avere carta bianca per fare danni. La campagna è stata scoperta da Cisco Talos e prende di mira i dispositivi Cisco Secure Email Gateway (ESA) e Secure Email and Web Manager (SMA) che eseguono il software Cisco AsyncOS.

La cosa preoccupante è che la falla richiede configurazioni specifiche non standard per essere sfruttata, ma se gli aggressori riescono a sfruttarla, le conseguenze per le organizzazioni colpite possono essere davvero catastrofiche.

Il vettore di attacco si basa su una configurazione errata specifica: la funzione Spam Quarantine. Anche se disabilitata di default, se questa funzione è abilitata e la sua porta è esposta alla rete Internet aperta, diventa un punto di ingresso diretto per gli aggressori. Insomma, è un problema che non può essere ignorato..

“Questo attacco consente agli autori della minaccia di eseguire comandi arbitrari con privilegi di root sul sistema operativo sottostante di un dispositivo interessato”, si legge nell’avviso . Una volta entrato, l’avversario non si limita a eseguire comandi, ma installa una backdoor persistente e personalizzata, progettata per mimetizzarsi con il server web dell’appliance.

Cisco Talos ha attribuito questa campagna con “moderata sicurezza” a un autore di minacce con un legame con la Cina, identificato come UAT-9686. Le tecniche del gruppo mostrano evidenti sovrapposizioni con noti APT come APT41 e UNC5174.

Il gruppo distribuisce una serie di strumenti specializzati, pensati appositamente per questi elettrodomestici, denominati serie “Aqua”:

• AquaShell: il fiore all’occhiello della campagna. Questa backdoor Python leggera è integrata chirurgicamente nei file del server web esistente dell’appliance (/data/web/euq_webui/htdocs/index.py). Ascolta passivamente richieste HTTP POST appositamente create, decodificando ed eseguendo i comandi senza lasciare traccia nel log.
• AquaPurge: uno script “cleanup team” che pulisce i log di sistema. Utilizza egrep per invertire la ricerca nei file di log, eliminando di fatto tutte le righe contenenti parole chiave specifiche relative all’attività dell’aggressore, lasciando intatto il resto del file.
• AquaTunnel: un binario GoLang compilato basato sullo strumento open source “ReverseSSH“. Questo crea una connessione inversa con l’aggressore, garantendogli di bypassare i firewall e mantenere l’accesso anche se la vulnerabilità iniziale è stata corretta.

Il meccanismo di persistenza utilizzato da UAT-9686 è così profondamente radicato che la correzione standard non è sufficiente. Il consiglio di Cisco per le compromissioni confermate è chiaro: ricostruire. “In caso di compromissione confermata, la ricostruzione degli appliance è, attualmente, l’unica opzione praticabile per eliminare il meccanismo di persistenza degli attori della minaccia dall’appliance”.

Per evitare di cadere in questi problemi, innanzitutto gli amministratori devono verificare al più presto le loro configurazioni. Un punto cruciale è controllare se la funzione Spam Quarantine è abilitata e, se sì, assicurarsi che sia protetta da un firewall e isolata dalla rete Internet pubblica. Considerando che la vulnerabilità in questione ha un punteggio CVSS di 10, che è il massimo, è chiaro che non c’è spazio per errori.

Gli amministratori devono essere sul pezzo e assicurarsi che tutto sia in ordine per evitare brutte sorprese. La prudenza e l’attenzione al dettaglio sono fondamentali per non cadere in trappole del genere.

L'articolo Backdoor invisibile nei Cisco Secure Email: quando la patch non basta più proviene da Red Hot Cyber.