Nuova frontiera della privacy: l'Europa punta a inasprire le misure contro gli occhiali intelligenti.
Le telecamere integrate negli occhiali stanno destando preoccupazione tra legislatori e autorità di regolamentazione, che temono rischi di sorveglianza.
politico.eu/article/new-privac…
Cameras in spectacles have lawmakers and regulators alarmed of surveillance risks.Ellen O'Regan (POLITICO)
Rozaŭtuno likes this.
reshared this
Pro-Iran group Handala breached Cal Water via an exposed GPS tool, reaching billing data for 2M customers. 5GB leaked.Pierluigi Paganini (Security Affairs)
Cybersecurity & cyberwarfare reshared this.
ilpost.it/2026/06/12/lega-salv…
E sarà un bellissimo spettacolo.
L'ultima riunione dei dirigenti piena di contrasti ha mostrato che il partito così com’è non funziona più, ma non c’è accordo nemmeno su come cambiarloIl Post
reshared this
We previously covered such conversions, with another recent one in 2024 involving another 1:150 scale model. That particular one demonstrated driving around on scale model roads, which shows a good practical use of this conversion if you want to have e.g. a scale model town with cars that actually drive around.
In the video you can see how first the base of the scale model has a tiny 25 mAh Li-polymer battery installed, along with two motors, one for steering and one for driving using a rod-linkage system and a lead screw.
The tiny gears used were salvaged from mechanical watches, with photoreflectors keeping track of the driving and steering positions. Remote control is done by infrared, with a tiny SMD IR receiver module in the car, while charging and programming of the MCU is done via terminals installed on the bottom.
In the final part of the video the car is demonstrated driving around, with working head- and rear lights, as well as blinkers and stop lights, including the top rear one. In the video description links are provided to the various schematics and software on Google Drive for those who are feeling like a fun Sunday afternoon project.
youtube.com/embed/FrbVzrdw9Tk?…
Allarme Signal: attacco phishing punta alle chiavi di recupero dei backup
📌 Link all'articolo : redhotcyber.com/post/allarme-s…
A cura di Simone D'Agostino
#redhotcyber #news #cybersecurity #hacking #phishing #signal #sicurezzainformatica #backupcifrati
Una nuova campagna di phishing prende di mira gli utenti Signal per sottrarre le chiavi di recupero dei backup cifrati. Le prime segnalazioni riguardano attivisti anti-Partito Comunista Cinese, ma il fenomeno potrebbe essere più ampioSimone D'Agostino (Red Hot Cyber)
Cybersecurity & cyberwarfare reshared this.
U.S. Cybersecurity and Infrastructure Security Agency (CISA) adds Ivanti Sentry flaw to its Known Exploited Vulnerabilities catalog.Pierluigi Paganini (Security Affairs)
Cybersecurity & cyberwarfare reshared this.
Sometimes it’s useful to add extra mass to a 3D print, and [Joe Fedewa] shared a simple and effective technique that uses plaster of Paris. Rather than pause the print and insert hardware or weighted bits inside, he designed the base as hollow. Not in the sense of zero infill, but in the sense of modeling a cavity into the open bottom of the object.
After the print is complete, he mixes the dry plaster with water until it creates a thick but pourable mixture. Then the object gets turned upside-down and the cavity filled. In about an hour, it will have set up enough to be handled and worked.
Plaster of Paris has a good heft to it, but more importantly it can be made perfectly presentable thanks to being very friendly to post-processing. Any rough spots can be easily sanded and the whole bottom smoothed, so one doesn’t even need to cap it off. Completely cured plaster can be sealed with a clear coat for a more durable finish, if desired.
This basic concept has been used in other ways, such as reinforcing prints with concrete to yield parts solid enough to make tools out of. But using plaster of Paris not just to add mass, but specifically to create a presentable surface that doesn’t need covering up is a neat and highly economical adaptation of the idea.
Other methods of adding mass to a 3D print include inserting metal balls or chunky nuts, bolts, or other hardware, but this method doesn’t require pausing prints to insert things. Nor does it require sealing off or capping the print, messing with goopy epoxies or resins, or spending a lot of money — making it a good one to keep in mind in case it comes in handy someday.
NEW: Google has filed a lawsuit against an alleged AI-powered massive cybercrime operation it calls Outsider Enterprise.
The operation sent 2.5 million scam texts to Android users in a two week period, according to Google.
techcrunch.com/2026/06/12/goog…
The tech giant said a group called "Outsider Enterprise" used AI to scam hundreds of thousands of victims, sending 2.5 million text messages over a span of two weeks.Lorenzo Franceschi-Bicchierai (TechCrunch)
Cybersecurity & cyberwarfare reshared this.
I just updated this story with details from Google's lawsuit complaint, which included a lot of fascinating details on how the operation worked behind the scenes.
Court document here: documentcloud.org/documents/28…
Last week, Elliot got his foot stepped on by a 1.5 metric ton draft horse, and boy is he glad to be back to the relative safety of podcasting! Joining him today is Jenny List, no stranger to farm life, who has been trodden by a cow. It’s going to be one of those podcasts, folks.
Another thing the two hosts have in common is a love for the mystery of the numbers station. But did you know that GPS satellites, for the last 20 years, have broadcast literally millions of secret messages to everyone on the earth with a receiver? After that bombshell, we have an ATtiny85 emulating an 8080, a primer on how to embed magnets in 3D prints, definitive proof that more than one cassette mechanism is still being manufactured, and a look at what makes home automation enthusiasts tick.
Check out the links below if you want to follow along, and as always, tell us what you think about this episode in the comments!
html5-player.libsyn.com/embed/…
Download in DRM-free MP3 and play it in space.
Where to Follow Hackaday Podcast
What’s That Sound:
What counts as portable is somewhat a matter of opinion, especially over the years. [Helge Fykse] has a portable spy radio of Swedish origin. For its time, it was considered very portable, crammed into a good-sized suitcase.
You can see the large crystal that sets the transmit frequency and a key to send Morse code. The receiver has a VFO, so it was more agile. Based on the regenerative knob, it appears the receiver was of the regenerative type. The suitcase had its own battery, and with tubes, it could probably put out some kind of signal if connected to anything metal, like bedsprings, a clothesline, or anything. There was a lightbulb to let you see when you were transmitting maximum power.
Speaking of tubes, there were five inside, two for the transmitter and three for the receiver. The radio had storage for spare tubes, and the agent could maintain the radio in the field.
You not only get a peek inside the suitcase, but a look at the schematic. The radio is a model of simplicity, but we are certain it did its job.
We love looking at exotic spy gear, especially radios.
youtube.com/embed/aK2zi-mfDCU?…
Stephan Uijthoven reshared this.
✨ ShinyHunters colpisce le università americane con uno zero-day Oracle PeopleSoft: l’operazione UNC6240 analizzata da Mandiant
#CyberSecurity
insicurezzadigitale.com/shinyh…
ShinyHunters colpisce le università americane con uno zero-day Oracle PeopleSoft: l’operazione UNC6240 analizzata da Mandiant
Si parla di:
ToggleMandiant e Google Threat Intelligence Group (GTIG) hanno pubblicato oggi un rapporto dettagliato su una campagna attiva di compromissione ed estorsione attribuita a UNC6240, meglio noto come ShinyHunters. L’obiettivo: le istituzioni universitarie americane, colpite attraverso uno zero-day critico in Oracle PeopleSoft che ha consentito l’accesso non autenticato a centinaia di sistemi prima ancora che Oracle rilasciasse la patch.
Il vettore d’attacco: CVE-2026-35273, un RCE con CVSS 9.8
Al centro della campagna si trova CVE-2026-35273, una vulnerabilità di remote code execution (RCE) con punteggio CVSS di 9.8 nel componente Environment Management di Oracle PeopleSoft. Il punto di ingresso sfruttato è l’Environment Management Hub (PSEMHUB), un servizio amministrativo spesso esposto direttamente su Internet nelle configurazioni multi-server. L’attività — documentata tra il 27 maggio e il 9 giugno 2026 — ha preceduto l’advisory Oracle del 10 giugno 2026, classificando di fatto l’exploit come zero-day operativo per oltre due settimane.GTIG ha identificato gli endpoint vulnerabili e avviato notifiche a oltre 100 organizzazioni globali, con una concentrazione geografica negli Stati Uniti. Particolarmente colpito il settore dell’istruzione superiore: il 68% delle organizzazioni notificate sono atenei e college.
Chi sono gli ShinyHunters: da BreachForums a campagne zero-day
ShinyHunters (tracciato da Mandiant come UNC6240) è un gruppo cybercriminale che si è fatto conoscere tra il 2020 e il 2022 per una serie di breach di alto profilo — AT&T, Ticketmaster, Santander, Advance Auto Parts — venduti poi su BreachForums. Il gruppo ha assunto il controllo di BreachForums dopo l’arresto degli amministratori precedenti, consolidando la propria posizione nell’ecosistema del cybercrime anglofono. La campagna attuale segna un’evoluzione tattica: da semplici acquirenti di accesso iniziale a gruppo capace di sviluppare o acquisire exploit zero-day per piattaforme enterprise.Infrastruttura C2: MeshCentral travestito da Microsoft Azure
L’analisi delle directory aperte sui cinque host di staging (IP sequenziali142.11.200.186–190) ha rivelato un’infrastruttura C2 basata su MeshCentral, un software open-source di remote management. Gli agenti Windows precompilati erano rinominati per mimare endpoint legittimi di Microsoft Azure:
meshagent64-azure-ops.exemeshagent32-azure-ops.exemeshagent64-v2.exeTutti gli agenti erano hardcoded per connettersi al server C2
wss://azurenetfiles.net:443/agent.ashx. Il dominio azurenetfiles.net è stato scelto per imitare Microsoft Azure NetApp Files, una tecnica di masquerading volta a confondere i team di sicurezza durante l’analisi dei log di rete. I server di staging eseguivano Python SimpleHTTP sulla porta 8888, inavvertitamente esposti al pubblico — errore OPSEC che ha permesso a Mandiant e ai ricercatori indipendenti di recuperare l’intero corredo di artefatti.Timeline operativa e reconnaissance
Il file.bash_history— identico su tutti e cinque i server di staging — ha fornito una timeline dettagliata delle operazioni. Il 27 maggio 2026 alle 22:14 UTC gli attaccanti hanno installato MeshCentral (v1.1.59); pochi minuti dopo, alle 22:25 UTC, hanno configurato il clientacme-clientper l’automazione dei certificati Let’s Encrypt per il dominio di masquerading. La reconnaissance sulle reti interne delle vittime includeva:
- Lettura del file
psappsrv.cfgper estrarre hostname e indirizzi IP interni- Analisi dei mount NFS attivi (
mount | grep psoft)- Lettura del file
/etc/hostsper mappare la topologia interna- Ispezione delle configurazioni WebLogic (
config.xml)
Propagazione laterale e script fanout
Una volta ottenuto l’accesso al primo nodo, gli attaccanti hanno utilizzato MeshCentral per distribuire uno script Bash denominato[victim_abbreviation]_fanout.sh, scritto direttamente in/tmptramite heredoc. Lo script automatizza il credential spraying SSH verso gli host interni, parsing la lista da/etc/hosts, e — una volta ottenuto l’accesso — copia un file di estorsione nelle directory WebLogic e Process Scheduler:README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT
L’esfiltrazione dei dati è avvenuta tramite compressione conzstdseguita da una connessione SSH in uscita verso176.120.22.24, IP che ospita il mirror pubblico del ShinyHunters Data Leak Site (DLS). Il 9 giugno 2026, alcune organizzazioni vittime sono apparse sul DLS confermando la compromissione avvenuta con successo.Indicatori di compromissione (IoC)
# IP di staging C2 142.11.200.186 142.11.200.187 142.11.200.188 142.11.200.189 142.11.200.190 # DLS mirror 176.120.22.24 # Dominio C2 azurenetfiles.net # Hash SHA-256 artefatti .bash_history: 2ab684d93c1553fad87041b4dea97188a97e78589deee2a7bacff905564f3a35 meshagent64-azure-ops.exe: f02a924c9ff92a8780ce812511341182c6b509d45bc59f3f7b522e37225d24fc meshagent64-v2.exe: d83fdb9e53c5ff03c4cb0451ea1bebd79b53f29eadc1e2fa394c7af13a86ce2f meshagent32-azure-ops.exe: c7e9332731b06644fc73e0046a2a89eaa59b09f54250e9bd622467187351711f meshagent (Linux): 68257a6f9ff196179ec03624e849927f26599eb180a7c82e14ef5bc4e93bc309 # Porte Python SimpleHTTP: porta 8888 WebSocket C2: wss://azurenetfiles.net:443/agent.ashxAzioni di remediation prioritarie
Per i team di sicurezza che gestiscono ambienti Oracle PeopleSoft, Mandiant raccomanda azioni immediate:
- Disabilitare EMHub: in configurazioni multi-server, disabilitare il servizio Environment Management Hub; in configurazioni single-server, rimuovere completamente l’applicazione PSEMHUB.
- Blocco perimetrale: bloccare l’accesso esterno agli endpoint
/PSEMHUB/*e/PSIGW/HttpListeningConnectora livello firewall — non affidarsi esclusivamente a regole WAF.- Analisi log: verificare nei log WebLogic richieste POST anomale verso
/PSEMHUB/hubda IP esterni.- Audit filesystem: cercare file
.jspnon previsti inPSEMHUB.war/e directory inatteselogs/,persistantstorage/,scratchpad/.- Monitoraggio NetFlow: rilevare traffico SMB in uscita (porta 445) da host PeopleSoft verso destinazioni internet esterne (indicatore potenziale di cattura hash NetNTLM).
Fonte primaria: Mandiant / Google Cloud Blog, 11 giugno 2026.
ShinyHunters Targets Education Sector with Oracle PeopleSoft Exploit | Google Cloud Blog
An active compromise and extortion campaign attributed to ShinyHunters targeting Oracle PeopleSoft with a zero-day exploit.Mandiant (Google Cloud Blog)
reshared this
@Informatica (Italy e non Italy)
Mandiant e GTIG hanno documentato una campagna attiva di compromissione ed estorsione condotta da ShinyHunters (UNC6240) contro Oracle PeopleSoft, sfruttando
ShinyHunters colpisce le università americane con uno zero-day Oracle PeopleSoft: l’operazione UNC6240 analizzata da Mandiant
Si parla di:
ToggleMandiant e Google Threat Intelligence Group (GTIG) hanno pubblicato oggi un rapporto dettagliato su una campagna attiva di compromissione ed estorsione attribuita a UNC6240, meglio noto come ShinyHunters. L’obiettivo: le istituzioni universitarie americane, colpite attraverso uno zero-day critico in Oracle PeopleSoft che ha consentito l’accesso non autenticato a centinaia di sistemi prima ancora che Oracle rilasciasse la patch.
Il vettore d’attacco: CVE-2026-35273, un RCE con CVSS 9.8
Al centro della campagna si trova CVE-2026-35273, una vulnerabilità di remote code execution (RCE) con punteggio CVSS di 9.8 nel componente Environment Management di Oracle PeopleSoft. Il punto di ingresso sfruttato è l’Environment Management Hub (PSEMHUB), un servizio amministrativo spesso esposto direttamente su Internet nelle configurazioni multi-server. L’attività — documentata tra il 27 maggio e il 9 giugno 2026 — ha preceduto l’advisory Oracle del 10 giugno 2026, classificando di fatto l’exploit come zero-day operativo per oltre due settimane.GTIG ha identificato gli endpoint vulnerabili e avviato notifiche a oltre 100 organizzazioni globali, con una concentrazione geografica negli Stati Uniti. Particolarmente colpito il settore dell’istruzione superiore: il 68% delle organizzazioni notificate sono atenei e college.
Chi sono gli ShinyHunters: da BreachForums a campagne zero-day
ShinyHunters (tracciato da Mandiant come UNC6240) è un gruppo cybercriminale che si è fatto conoscere tra il 2020 e il 2022 per una serie di breach di alto profilo — AT&T, Ticketmaster, Santander, Advance Auto Parts — venduti poi su BreachForums. Il gruppo ha assunto il controllo di BreachForums dopo l’arresto degli amministratori precedenti, consolidando la propria posizione nell’ecosistema del cybercrime anglofono. La campagna attuale segna un’evoluzione tattica: da semplici acquirenti di accesso iniziale a gruppo capace di sviluppare o acquisire exploit zero-day per piattaforme enterprise.Infrastruttura C2: MeshCentral travestito da Microsoft Azure
L’analisi delle directory aperte sui cinque host di staging (IP sequenziali142.11.200.186–190) ha rivelato un’infrastruttura C2 basata su MeshCentral, un software open-source di remote management. Gli agenti Windows precompilati erano rinominati per mimare endpoint legittimi di Microsoft Azure:
meshagent64-azure-ops.exemeshagent32-azure-ops.exemeshagent64-v2.exeTutti gli agenti erano hardcoded per connettersi al server C2
wss://azurenetfiles.net:443/agent.ashx. Il dominio azurenetfiles.net è stato scelto per imitare Microsoft Azure NetApp Files, una tecnica di masquerading volta a confondere i team di sicurezza durante l’analisi dei log di rete. I server di staging eseguivano Python SimpleHTTP sulla porta 8888, inavvertitamente esposti al pubblico — errore OPSEC che ha permesso a Mandiant e ai ricercatori indipendenti di recuperare l’intero corredo di artefatti.Timeline operativa e reconnaissance
Il file.bash_history— identico su tutti e cinque i server di staging — ha fornito una timeline dettagliata delle operazioni. Il 27 maggio 2026 alle 22:14 UTC gli attaccanti hanno installato MeshCentral (v1.1.59); pochi minuti dopo, alle 22:25 UTC, hanno configurato il clientacme-clientper l’automazione dei certificati Let’s Encrypt per il dominio di masquerading. La reconnaissance sulle reti interne delle vittime includeva:
- Lettura del file
psappsrv.cfgper estrarre hostname e indirizzi IP interni- Analisi dei mount NFS attivi (
mount | grep psoft)- Lettura del file
/etc/hostsper mappare la topologia interna- Ispezione delle configurazioni WebLogic (
config.xml)
Propagazione laterale e script fanout
Una volta ottenuto l’accesso al primo nodo, gli attaccanti hanno utilizzato MeshCentral per distribuire uno script Bash denominato[victim_abbreviation]_fanout.sh, scritto direttamente in/tmptramite heredoc. Lo script automatizza il credential spraying SSH verso gli host interni, parsing la lista da/etc/hosts, e — una volta ottenuto l’accesso — copia un file di estorsione nelle directory WebLogic e Process Scheduler:README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT
L’esfiltrazione dei dati è avvenuta tramite compressione conzstdseguita da una connessione SSH in uscita verso176.120.22.24, IP che ospita il mirror pubblico del ShinyHunters Data Leak Site (DLS). Il 9 giugno 2026, alcune organizzazioni vittime sono apparse sul DLS confermando la compromissione avvenuta con successo.Indicatori di compromissione (IoC)
# IP di staging C2 142.11.200.186 142.11.200.187 142.11.200.188 142.11.200.189 142.11.200.190 # DLS mirror 176.120.22.24 # Dominio C2 azurenetfiles.net # Hash SHA-256 artefatti .bash_history: 2ab684d93c1553fad87041b4dea97188a97e78589deee2a7bacff905564f3a35 meshagent64-azure-ops.exe: f02a924c9ff92a8780ce812511341182c6b509d45bc59f3f7b522e37225d24fc meshagent64-v2.exe: d83fdb9e53c5ff03c4cb0451ea1bebd79b53f29eadc1e2fa394c7af13a86ce2f meshagent32-azure-ops.exe: c7e9332731b06644fc73e0046a2a89eaa59b09f54250e9bd622467187351711f meshagent (Linux): 68257a6f9ff196179ec03624e849927f26599eb180a7c82e14ef5bc4e93bc309 # Porte Python SimpleHTTP: porta 8888 WebSocket C2: wss://azurenetfiles.net:443/agent.ashxAzioni di remediation prioritarie
Per i team di sicurezza che gestiscono ambienti Oracle PeopleSoft, Mandiant raccomanda azioni immediate:
- Disabilitare EMHub: in configurazioni multi-server, disabilitare il servizio Environment Management Hub; in configurazioni single-server, rimuovere completamente l’applicazione PSEMHUB.
- Blocco perimetrale: bloccare l’accesso esterno agli endpoint
/PSEMHUB/*e/PSIGW/HttpListeningConnectora livello firewall — non affidarsi esclusivamente a regole WAF.- Analisi log: verificare nei log WebLogic richieste POST anomale verso
/PSEMHUB/hubda IP esterni.- Audit filesystem: cercare file
.jspnon previsti inPSEMHUB.war/e directory inatteselogs/,persistantstorage/,scratchpad/.- Monitoraggio NetFlow: rilevare traffico SMB in uscita (porta 445) da host PeopleSoft verso destinazioni internet esterne (indicatore potenziale di cattura hash NetNTLM).
Fonte primaria: Mandiant / Google Cloud Blog, 11 giugno 2026.
ShinyHunters Targets Education Sector with Oracle PeopleSoft Exploit | Google Cloud Blog
An active compromise and extortion campaign attributed to ShinyHunters targeting Oracle PeopleSoft with a zero-day exploit.Mandiant (Google Cloud Blog)
L'ex parlamentare Denis Verdini sarà processato per corruzione per presunte interferenze nelle commesse per ANAS
ilpost.it/2026/06/12/processo-…
la scrivo meglio perché così non si capisce:
"Il suocero del Ministro dei Trasporti sarà processato per corruzione, per presunte influenze nelle commesse ANAS." "Il cognato del Ministro dei Trasporti ha patteggiato nell'ambito dello stesso procedimento"
#salvini #Verdini #anas #corruzione
reshared this
17 Paesi uniti contro la minaccia sottomarina: assenti USA e Cina
📌 Link all'articolo : redhotcyber.com/post/17-paesi-…
A cura di Sandro Sana del gruppo DarkLab
#redhotcyber #news #sicurezzamarina #difesacibernetica #infrastrutturecritiche #cavisottomarini
Scopri come 17 paesi stanno collaborando per garantire la sicurezza dei cavi sottomarini durante il Dialogo di Shangri-La a Singapore, affrontando minacce e stabilendo norme internazionali.Sandro Sana (Red Hot Cyber)
Cybersecurity & cyberwarfare reshared this.
CISA has issued Binding Operational Directive BOD 26-04, requiring federal civilian agencies to patch the most critical vulnerabilities — those that are internet-exposed, KEV-listed, automatable, and grant full system control — within just 3 calendar…dark6 (Secure Bulletin)
reshared this
Supply chain attacks continue, with Microsoft’s own open source Azure repositories being automatically disabled by GitHub following a compromise of the packages by the Miasma worm.
OpenSourceMalware reports that the infection resulted in 73 Microsoft-related package repositories being flagged and taken offline in a little over a minute by the GitHub automated security system, with over 40 repositories being related to Azure and the rest distributed across the Microsoft organization.
The center of the infection appears to be the Microsoft Durabletask package, which was previously compromised in May and used to push infected packages to PyPi. Considering that all of the supply chain worms also steal credentials for every service they can find in the build or developer environment they infect, it seems likely that credentials stolen in the original attack were never properly disabled.
Disabling the repositories can help stem the infected packages and GitHub actions from spreading and infecting more organizations, but of course any build processes depending on those packages will not function. In May, the Durabletask package showed over 400,000 downloads per month.
The OpenSourceMalware report includes a full list of the impacted repositories.
Microsoft has finally fixed a bug in GitHub which could steal a GitHub authentication token with access to all of an accounts repositories via the embedded web-based VSCode editor which is part of GitHub itself.
Ammar Askar discovered the bug and discusses it on their blog; by manipulating the sandboxed VS Code into treating an embedded web view as user keyboard strokes, it is possible to to cause it to install a VS Code extension which is then used to exfiltrate the GitHub authentication tokens of the user using the embedded VS Code instance.
Julian B demonstrates capturing traffic from TP-Link routers and access points thanks to an unregistered domain name in the firmware.
After finding an archive of the firmware releases for every TP-Link product, Julian simplified the list to the latest versions, and ran a custom scraper tool to extract domain names referenced in the firmware and search for matching domain names.
After registering an available domain, Julian began receiving requests from TP-Link devices checking in to a server which had lapsed, likely years ago. Fortunately, Julian reported the issue to TP-Link and was able to transfer the domain.
It’s unclear what the risks of the unregistered domain name were in the context of the TP-Link devices, however unregistered domain names can lead to all sorts of issues in the wrong situations.
The OpenSSL library has a new collection of vulnerabilities which range from low-severity flaws in message verification in functions which aren’t used in any of the OpenSSL implemented protocols to a high-severity use-after-free bug in PKCS7 handling which could be used to run arbitrary code.
Use-after-free bugs occur when a chunk of memory is dynamically allocated, then freed and returned to the memory pool, but a later piece of code re-uses the memory that is no longer claimed. In the meantime, this memory could have been assigned to another variable or otherwise restructured, leading to memory corruption. In the case of OpenSSL, the memory associated with a PKCS7 container (a certificate storage method) or a S/MIME message (usually used in secure email) can be manipulated into using freed memory.
The advisory warns that applications processing PKCS7 or S/MIME are affected; fortunately most uses of OpenSSL are unlikely to be directly impacted (neither of those functions are common in web servers or similar), but as always, update as soon as possible!
The researcher previously identified as NightmareEclipse, known for releasing advanced Windows vulnerabilities with working proof of concept code, has returned as MSNightmare releasing several new exploits after previously being removed from GitHub. Despite a strongly worded (and poorly received) public statement by Microsoft threatening criminal investigations, the researcher returns with the RoguePlanet vulnerability.
RoguePlanet exploits race conditions in Windows Defender under Windows 10 and Windows 11 to gain a system-level shell, a fairly common trend in the vulnerabilities found by this researcher.
Additionally, another BitLocker bypass has been released, called GreatXML, which unlocks BitLocker protected drives if a Windows Defender offline scan has ever been run.
Of course, these releases coincide with Patch Tuesday, so they’re unlikely to be addressed before the July patch day.
It appears Microsoft has backed down from their initial press release which appeared to claim that vulnerability research and development outside of the guidelines Microsoft decided would be treated as criminal behavior; this was not well received by much of the security industry. At the start of the modern security industry in the late 1990s, public release of vulnerabilities was common. Companies had no way to reach a security contact to get it fixed, simply did not care to fix it, or were actively hostile to researchers. Through years and decades of community programs, it is now normal to reach out to a company with security flaws and have an expectation they will be fixed, and often rewarded either monetarily through structured bounty programs like HackerOne or through public credit to the researchers who found the flaws (nobody wants to be paid in exposure, but security is now an industry, and having a well-known name and track record can be valuable.)
Unfortunately, recently, it seems Microsoft may have forgotten that while disclosure to the vendor has become the norm, it is simply a social contract. Having already publicly alienated one skilled researcher (NightmareEclipse), the company seems to be doing the best it can to alienate others by burning community good will. Expect more publicly released vulnerabilities in the wake.
Phoronix reports that the Linux kernel has patched a critical-severity flaw on Arm CPUs in the memory allocation logic. The list of processors affected continues to grow, including some NVIDIA embedded platforms.
The flaw lies in specific ordering requirements for accessing memory via the TLB, or “Translation Lookaside Buffer”, a critical part of the virtual memory and memory protection system. The TLB is a cache of recently resolved lookups of physical memory locations, so any corruption of the TLB can cause invalid memory reads, leading to almost the same results as recent kernel vulnerabilities in the Linux page cache system which allowed binaries to be replaced in RAM.
The bug was found thanks to advisories from Arm themselves clarifying that additional protections were needed around modifications to the TLB cache on these chips. The real-world impact remains to be seen, but now that the bug and patches are public, I’d expect proof of concept code to follow soon after. It’s also safe to assume that this flaw affects other operating systems on Arm platforms, as well, but there is no public information yet.
FreeBSD racks up another kernel bug this week, the amusingly named Bumsrakete (“Bum Rocket” or “Bang Rocket”), complete with a well-crafted troll of an announcement, right down to the use of Comic Sans for the announcement site.
Beneath the crap-posting exterior lies a legitimate CVE (CVE-2026-45257) where any user with access to the PMAP_HAS_DMAP system (the standard configuration) can overwrite the disk page cache in memory. This is the FreeBSD flavor of the kernel cache flaws in Linux used by CopyFail, DirtyPipe, and friends, and even involves decryption primitives in the kernel similar to the original CopyFail process.
It’s not surprising that following the multiple disk cache corruption bugs in Linux disclosed this spring, other operating systems with similar functionality are being examined and new flaws showing up.
NPM is introducing major changes in NPM 12 to attempt to stem the flood of supply-chain vulnerabilities by removing the automatic execution of commands from the install phase of packages and disabling the use of remote URLs as dependencies.
Most of the NPM-based worms infecting packages at record rates use the install script process, hooking either pre-install, install, or post-install scripts to run commands automatically as a package dependency is included. Since the install script runs as the user (or build service) pulling the dependencies, it has direct access to any credentials or files that user and service has. Under the new model an infected package could still perform malicious actions inside a compiled application or site, but a major mechanism for automatic spreading of malicious packages will be addressed.
It’s good to see progress made towards addressing the underlying weaknesses in the package ecosystem which aid in spreading malicious packages.
The libinput library sees a pair of security fixes this week, centered around the handling of device names for uinput and uhid devices. Maliciously named devices could execute commands as root.
To be able to exploit this, a user needs to already be on the system and have the ability to create new uinput devices. This is normally restricted to root, however if steam-devices, antimicrox, or kdeconnectd packages are installed, the permissions to create a device are modified and any user logged into the system can create a uinput device.
Go forth, and update!
The Shai-Hulud, Mini Shai-Hulud, and Miasma worms have been prolifically infecting packages on NPM and PyPi as well as VS Code extensions and GitHub actions. Using a combination of captured worm code and publicly released versions of the worms, researchers have been reverse engineering the behavior of the worm using the decrypted payloads.
Amusingly, they have discovered that the Mini Shai-Hulud worm attempts to hide from automatic analysis and detection via AI prompt injection. The payload file executed during a NPM package install contains a block of comment text referencing biological and nuclear weapons, topics many AI models refuse to allow.
Interpreting the comment as a banned request, the AI models may immediately stop processing the rest of the file, either blocking further analysis by researchers or disabling AI-based malware detection tools scanning for malicious payloads.
For the second time this year, Microsoft has a record-breaking number of fixes included in Patch Tuesday with more than 200 security fixes, including fixes for two vulnerabilities released by NightmareEcllipse in recent weeks, however none of the fixes specifically reference the conflict between Microsoft and the researcher.
Outside of the Patch Tuesday fixes, Microsoft also fixed 360 browser vulnerabilities.
With the increasing automatic bug finding via AI tools, this may become the new normal for Patch Tuesday fix counts.
Sometimes pedantry pays off. StepSecurity brings the tale of a supply chain infection of the popular Pythagoria-io GPT Pilot package, an AI coding assistant tool. After one of the developers was infected by the Miasma supply chain worm, the worm performed the typical trick of attempting to reversion and push compromised versions of all accessible packages.
This time, the commits containing the trojaned were rejected by the Python linter, Ruff, for not matching the style guidelines of the project. Linters analyze code for style, comments, and syntax (think the pretty printing in a code editor that highlights incorrect tabs and spaces or deprecated functions.)
The developer will still need to clean up their system and make sure to revoke all tokens the worm has access to, but the project itself was spared infection by a humble syntax styler.
Finally, we have a dive into the Miasma worm thanks to SafeDep.
The payload source for Miasma has been open sourced, apparently by some of the developers of the malware. Previously the payload was heavily encrypted, however progress was made in decoding it during the initial wave of attacks. By open sourcing the worm, the developers likely hope to muddy the waters by creating copy-cat worms using modified techniques and signatures.
SafeDep takes a deep look into the capabilities of the payload, noting several unusual abilities including disabling GitHub environment protections, a full list of the credential harvesting capabilities, and more. Be sure to check out the full write up for an extremely detailed breakdown of each major component of the worm and the actions it takes, if that sort of thing is interesting to you!
GoFlateLoader, a new Go-based malware loader active since April 2026, has infected over 33,000 users globally by exploiting a simple but effective trick: inflating its file size to 700-950 MB to bypass VirusTotal and similar size-limited scanning too…dark6 (Secure Bulletin)
reshared this
CVE-2026-44963: RCE critico su Veeam Backup & Replication — aggiornare subito a 12.3.2.4854
#tech
spcnet.it/cve-2026-44963-rce-c…
@informatica
CVE-2026-44963: RCE critico su Veeam Backup & Replication — aggiornare subito a 12.3.2.4854
Il 9 giugno 2026 Veeam ha rilasciato una patch di emergenza per CVE-2026-44963, una vulnerabilità di esecuzione di codice remoto con CVSS v4 di 9.4 (Critical) che colpisce Veeam Backup & Replication 12.x. La falla consente a un qualsiasi utente autenticato nel dominio Active Directory di eseguire codice arbitrario sul backup server — anche senza privilegi specifici sull’applicazione Veeam stessa. In un ambiente enterprise, questo equivale alla potenziale compromissione dell’intera infrastruttura di disaster recovery.Cosa permette di fare CVE-2026-44963
Si tratta di una falla di deserializzazione non sicura nel servizio Veeam Backup & Replication. Un utente di dominio può inviare richieste costruite ad hoc all’API interna del backup server e ottenere esecuzione di codice con i permessi del processo Veeam — tipicamente SYSTEM o un account di servizio ad alto privilegio.Il vettore è di rete, la complessità bassa, non è richiesta interazione utente. L’unica limitazione: il backup server deve essere membro di un dominio Active Directory. I server Veeam in workgroup non sono affetti da questa CVE specifica.
Versioni affette e versione sicura
Versione Stato 12.3.2.4465 e precedenti (tutta la linea 12.x) ⚠️ Vulnerabile 12.3.2.4854 ✅ Patchata 13.x ✅ Non affetta (architettura diversa) Perché i backup server sono target critici
Un backup server ha accesso privilegiato a tutti i sistemi che protegge: credenziali, snapshot, dati di configurazione. Un attaccante che lo compromette può:
- Esfiltrare dati sensibili dai backup di sistemi critici
- Cifrare o cancellare i backup, rendendo inutile la strategia di disaster recovery
- Usare le credenziali salvate per muoversi lateralmente nell’infrastruttura
- Distribuire ransomware sapendo che il ripristino sarà impossibile
Sina Kheirkhah di WatchTowr, che ha scoperto e segnalato la falla, sottolinea come compromettere il backup server sia l’equivalente di togliere la rete di sicurezza prima che qualcuno cada.
Verificare la versione installata
Da PowerShell sul backup server:Get-ItemProperty -Path "HKLM:\SOFTWARE\Veeam\Veeam Backup and Replication" | Select-Object -ExpandProperty PackageVersion
Oppure via registry:reg query "HKLM\SOFTWARE\Veeam\Veeam Backup and Replication" /v PackageVersion
In alternativa, dalla Veeam Backup Console: Help → About.Procedura di aggiornamento a 12.3.2.4854
L’update è disponibile sul portale download Veeam. Prima di procedere:
- Verificare lo spazio disco: l’installer richiede almeno 3 GB liberi sul volume di sistema.
- Eseguire un backup manuale dei sistemi più critici come precauzione.
- Mettere in pausa i job schedulati per evitare conflitti durante l’aggiornamento.
- Aggiornare i componenti remoti dopo l’update del server principale (proxy, repository, agent). Non ignorare questo passaggio.
# Verificare componenti da aggiornare dopo l'update del server Add-PSSnapin VeeamPSSnapIn $currentVer = (Get-VBRVersion).ProductVersion Get-VBRServer | Where-Object { $_.ComponentsVersion -ne $currentVer }Mitigazioni se non è possibile aggiornare subito
Se non è possibile applicare la patch immediatamente, queste misure riducono la superficie di attacco:
- Isolare il backup server dalla rete generale: limitare l’accesso alle porte di gestione Veeam (default TCP 9392, 9401) ai soli host autorizzati tramite firewall o ACL.
- Ridurre gli account di dominio con accesso al server Veeam: applicare il principio del minimo privilegio.
- Monitorare i log di autenticazione: cercare autenticazioni anomale verso il Veeam Backup Service in orari inusuali.
- MFA per gli account di gestione Veeam: se il provider di identità lo supporta, abilitare l’autenticazione a più fattori.
Il pattern storico delle vulnerabilità Veeam
Non è la prima volta che Veeam finisce sotto i riflettori per falle critiche. CVE-2023-27532 (CVSS 7.5), CVE-2024-40711 (CVSS 9.8) e ora CVE-2026-44963 mostrano che i backup server sono bersagli sempre più ricercati, specialmente dagli operatori ransomware. Il suggerimento è di trattare i server Veeam come sistemi Tier-0, al pari dei Domain Controller: monitoraggio dedicato, accesso privilegiato minimale, patch urgente e segmentazione di rete.Conclusione
CVE-2026-44963 non ammette ritardi: qualsiasi utente di dominio può compromettere il backup server e da lì raggiungere tutto il resto. Verificare la versione installata, pianificare l’aggiornamento a 12.3.2.4854 nel più breve tempo possibile e applicare nel frattempo le mitigazioni di rete.Fonte: The Hacker News — Veeam Backup & Replication RCE Flaw Lets Domain Users Run Remote Code | BleepingComputer — New Veeam vulnerability exposes backup servers to RCE attacks
Veeam Backup & Replication RCE Flaw Lets Domain Users Run Remote Code
Veeam fixes CVE-2026-44963 RCE in 12 builds, blocking authenticated domain users from attacking backup servers.The Hacker News
adhocfungus likes this.
reshared this
The Vietnamese state-aligned threat group OceanLotus (APT32) hijacked the update server of popular investment software FireAnt MetaKit to deliver the SPECTRALVIPER backdoor to targeted stock market users, in a campaign running from October 2025 throu…dark6 (Secure Bulletin)
reshared this
IAKerb e LocalKDC su Windows: meno dipendenza da NTLM, più Kerberos
#tech
spcnet.it/iakerb-e-localkdc-su…
@informatica
IAKerb e LocalKDC su Windows: meno dipendenza da NTLM, più Kerberos
Perché NTLM è ancora vivo (e quanto è difficile eliminarlo)
In ambienti Active Directory, Kerberos è il protocollo di autenticazione preferito da Microsoft da oltre vent’anni. Eppure, NTLM continua a essere presente in quasi ogni infrastruttura Windows perché esistono tre scenari in cui Kerberos non funziona e il sistema ricade inevitabilmente su NTLM:
- Il client non ha visibilità di rete diretta su un Domain Controller (DC)
- L’autenticazione coinvolge un account locale invece di un account di dominio
- L’ambiente è un workgroup o una macchina standalone, senza infrastruttura di dominio
Sono esattamente questi tre gap che Microsoft sta affrontando con IAKerb e LocalKDC, due funzionalità oggi in public preview su Windows Insider (Canary Channel) e previste in disponibilità generale su Windows 11 24H2 e Windows Server 2025 nella seconda metà del 2026.
IAKerb: Kerberos anche senza visibilità sul Domain Controller
IAKerb (Initial and Pass-Through Authentication using Kerberos) è un meccanismo definito nella bozza IETF draft-ietf-kitten-iakerb-03. Si implementa come sotto-meccanismo GSS-API, inserendosi nel protocollo SPNEGO che Windows già utilizza per la negoziazione dell’autenticazione.Nel flusso Kerberos standard, il client deve contattare direttamente il KDC (Key Distribution Center, il servizio che gira su ogni DC) sulla porta TCP/UDP 88 per ottenere un ticket prima di potersi autenticare su un servizio. Se nessun DC è raggiungibile, Kerberos fallisce e Windows scade su NTLM.
IAKerb risolve questo problema rendendo il server di destinazione un proxy trasparente per i messaggi Kerberos. Il client tunnel i messaggi Kerberos all’interno della connessione esistente verso il server applicativo (ad esempio, sulla porta TCP 445 per SMB), e il server li inoltra al DC per conto del client. Il server non vede mai la password o l’hash: si limita a fare da relay ai messaggi di protocollo.
Il risultato pratico è che l’autenticazione rimane su percorso Kerberos anche quando:
- Il client si trova in una subnet segmentata senza accesso diretto ai DC
- L’accesso avviene via VPN o accesso remoto con routing limitato
- L’architettura cloud restringe la connettività diretta ai controller di dominio
LocalKDC: Kerberos anche per gli account locali
LocalKDC affronta il secondo grande limite: gli account locali. Kerberos richiede un KDC per emettere i ticket, e gli account locali (quelli nel SAM della macchina) non hanno nessun KDC a cui rivolgersi. Di conseguenza, qualunque autenticazione remota che coinvolgesse un account locale era storicamente vincolata a NTLM.LocalKDC è un KDC leggero integrato direttamente in Windows, che opera esclusivamente sugli account del SAM locale. Emette ticket Kerberos basati su AES per le identità locali, abilitando l’autenticazione Kerberos anche in ambienti workgroup, macchine standalone e qualsiasi scenario con credenziali locali.
Stato attuale e configurazione via registro
Le due funzionalità hanno default diversi nel preview corrente:
- IAKerb: abilitato per default
- LocalKDC: disabilitato per default
La configurazione avviene tramite valori di registro di tipo
REG_DWORD:
DisableIAKerb: impostare a0per abilitare,1per disabilitareDisableLocalKDC: impostare a0per abilitare,1per disabilitareGroup Policy e gestione tramite MDM (Intune incluso) saranno aggiunti quando le funzionalità usciranno dalla fase di preview.
Prima di testare: auditing NTLM
Prima di attivare IAKerb e LocalKDC in produzione, è fondamentale capire dove NTLM viene ancora usato nell’ambiente. Windows 11 24H2 e Windows Server 2025 includono log operativi NTLM migliorati, accessibili in Event Viewer sotto:Applications and Services Logs > Microsoft > Windows > NTLM > Operational
Gli Event ID rilevanti sono:
- 4020, 4021: eventi client (includono nome processo, IP di destinazione, codice motivo per cui Kerberos non è stato usato)
- 4022, 4023: eventi server (nome processo e IP client)
- 4030–4033: eventi sui domain controller (dettagli client e server)
I log client sono i più informativi perché riportano il motivo del fallback a NTLM, permettendo di identificare i workload che richiedono intervento prima di pensare a disabilitare NTLM.
L’abilitazione del logging si gestisce via Group Policy:
- Per client e server: Administrative Templates > System > NTLM > NTLM Enhanced Logging
- Per i domain controller: Administrative Templates > System > Netlogon > Log Enhanced Domain-wide NTLM Logs
Limiti attuali e roadmap Microsoft
IAKerb e LocalKDC non eliminano ogni dipendenza da NTLM. Rimangono scenari che continuano a richiedere NTLM:
- Applicazioni con NTLM hardcoded nel codice
- Infrastrutture che assumono NTLM come default nella loro logica di autenticazione
- Alcune interazioni tra account di dominio e account locali sulla stessa macchina
La roadmap Microsoft per la disabilitazione di NTLM si articola in tre fasi:
- Fase 1 (già in produzione): miglioramenti all’auditing NTLM
- Fase 2 (H2 2026): disponibilità generale di IAKerb e LocalKDC
- Fase 3 (~2027–2028): NTLM disabilitato per default nella prossima versione major di Windows Server
Cosa fare adesso
Per un amministratore di sistema che vuole prepararsi al cambiamento in anticipo, il percorso consigliato è: abilitare i log NTLM migliorati oggi (già disponibili su 24H2/Server 2025), analizzare gli event ID nei prossimi mesi per mappare i workload con dipendenza NTLM, e pianificare i test con IAKerb e LocalKDC su ambienti non produttivi non appena la disponibilità generale sarà confermata. Affrontare questa transizione gradualmente è molto più gestibile che trovarsi a fare remediation d’emergenza quando NTLM verrà disabilitato per default.Fonte originale: Reducing NTLM fallback with IAKerb and LocalKDC in Windows – 4sysops.com
Reducing NTLM fallback with IAKerb and LocalKDC in Windows – 4sysops
Microsoft has introduced two new authentication features, IAKerb and LocalKDC, entering public preview in June 2026 for Windows Insiders in the Canary Channel.IT Experts (4sysops)
adhocfungus likes this.
reshared this
A critical path traversal vulnerability (CVE-2026-5027, CVSS 8.8) in Langflow is being actively exploited to achieve remote code execution on exposed servers.dark6 (Secure Bulletin)
reshared this
Si parla di:
Toggle
Mandiant e Google Threat Intelligence Group (GTIG) hanno pubblicato oggi un rapporto dettagliato su una campagna attiva di compromissione ed estorsione attribuita a UNC6240, meglio noto come ShinyHunters. L’obiettivo: le istituzioni universitarie americane, colpite attraverso uno zero-day critico in Oracle PeopleSoft che ha consentito l’accesso non autenticato a centinaia di sistemi prima ancora che Oracle rilasciasse la patch.
Al centro della campagna si trova CVE-2026-35273, una vulnerabilità di remote code execution (RCE) con punteggio CVSS di 9.8 nel componente Environment Management di Oracle PeopleSoft. Il punto di ingresso sfruttato è l’Environment Management Hub (PSEMHUB), un servizio amministrativo spesso esposto direttamente su Internet nelle configurazioni multi-server. L’attività — documentata tra il 27 maggio e il 9 giugno 2026 — ha preceduto l’advisory Oracle del 10 giugno 2026, classificando di fatto l’exploit come zero-day operativo per oltre due settimane.
GTIG ha identificato gli endpoint vulnerabili e avviato notifiche a oltre 100 organizzazioni globali, con una concentrazione geografica negli Stati Uniti. Particolarmente colpito il settore dell’istruzione superiore: il 68% delle organizzazioni notificate sono atenei e college.
ShinyHunters (tracciato da Mandiant come UNC6240) è un gruppo cybercriminale che si è fatto conoscere tra il 2020 e il 2022 per una serie di breach di alto profilo — AT&T, Ticketmaster, Santander, Advance Auto Parts — venduti poi su BreachForums. Il gruppo ha assunto il controllo di BreachForums dopo l’arresto degli amministratori precedenti, consolidando la propria posizione nell’ecosistema del cybercrime anglofono. La campagna attuale segna un’evoluzione tattica: da semplici acquirenti di accesso iniziale a gruppo capace di sviluppare o acquisire exploit zero-day per piattaforme enterprise.
L’analisi delle directory aperte sui cinque host di staging (IP sequenziali 142.11.200.186–190) ha rivelato un’infrastruttura C2 basata su MeshCentral, un software open-source di remote management. Gli agenti Windows precompilati erano rinominati per mimare endpoint legittimi di Microsoft Azure:
meshagent64-azure-ops.exemeshagent32-azure-ops.exemeshagent64-v2.exeTutti gli agenti erano hardcoded per connettersi al server C2 wss://azurenetfiles.net:443/agent.ashx. Il dominio azurenetfiles.net è stato scelto per imitare Microsoft Azure NetApp Files, una tecnica di masquerading volta a confondere i team di sicurezza durante l’analisi dei log di rete. I server di staging eseguivano Python SimpleHTTP sulla porta 8888, inavvertitamente esposti al pubblico — errore OPSEC che ha permesso a Mandiant e ai ricercatori indipendenti di recuperare l’intero corredo di artefatti.
Il file .bash_history — identico su tutti e cinque i server di staging — ha fornito una timeline dettagliata delle operazioni. Il 27 maggio 2026 alle 22:14 UTC gli attaccanti hanno installato MeshCentral (v1.1.59); pochi minuti dopo, alle 22:25 UTC, hanno configurato il client acme-client per l’automazione dei certificati Let’s Encrypt per il dominio di masquerading. La reconnaissance sulle reti interne delle vittime includeva:
psappsrv.cfg per estrarre hostname e indirizzi IP internimount | grep psoft)/etc/hosts per mappare la topologia internaconfig.xml)
Una volta ottenuto l’accesso al primo nodo, gli attaccanti hanno utilizzato MeshCentral per distribuire uno script Bash denominato [victim_abbreviation]_fanout.sh, scritto direttamente in /tmp tramite heredoc. Lo script automatizza il credential spraying SSH verso gli host interni, parsing la lista da /etc/hosts, e — una volta ottenuto l’accesso — copia un file di estorsione nelle directory WebLogic e Process Scheduler:
README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXTzstd seguita da una connessione SSH in uscita verso 176.120.22.24, IP che ospita il mirror pubblico del ShinyHunters Data Leak Site (DLS). Il 9 giugno 2026, alcune organizzazioni vittime sono apparse sul DLS confermando la compromissione avvenuta con successo.# IP di staging C2
142.11.200.186
142.11.200.187
142.11.200.188
142.11.200.189
142.11.200.190
# DLS mirror
176.120.22.24
# Dominio C2
azurenetfiles.net
# Hash SHA-256 artefatti
.bash_history: 2ab684d93c1553fad87041b4dea97188a97e78589deee2a7bacff905564f3a35
meshagent64-azure-ops.exe: f02a924c9ff92a8780ce812511341182c6b509d45bc59f3f7b522e37225d24fc
meshagent64-v2.exe: d83fdb9e53c5ff03c4cb0451ea1bebd79b53f29eadc1e2fa394c7af13a86ce2f
meshagent32-azure-ops.exe: c7e9332731b06644fc73e0046a2a89eaa59b09f54250e9bd622467187351711f
meshagent (Linux): 68257a6f9ff196179ec03624e849927f26599eb180a7c82e14ef5bc4e93bc309
# Porte
Python SimpleHTTP: porta 8888
WebSocket C2: wss://azurenetfiles.net:443/agent.ashx
Per i team di sicurezza che gestiscono ambienti Oracle PeopleSoft, Mandiant raccomanda azioni immediate:
/PSEMHUB/* e /PSIGW/HttpListeningConnector a livello firewall — non affidarsi esclusivamente a regole WAF./PSEMHUB/hub da IP esterni..jsp non previsti in PSEMHUB.war/ e directory inattese logs/, persistantstorage/, scratchpad/.Fonte primaria: Mandiant / Google Cloud Blog, 11 giugno 2026.
An active compromise and extortion campaign attributed to ShinyHunters targeting Oracle PeopleSoft with a zero-day exploit.Mandiant (Google Cloud Blog)
reshared this
Patch Tuesday Giugno 2026: record di 208 CVE, 6 zero-day e una falla kernel wormable con CVSS 9.8
#tech
spcnet.it/patch-tuesday-giugno…
@informatica
Patch Tuesday Giugno 2026: record di 208 CVE, 6 zero-day e una falla kernel wormable con CVSS 9.8
Il Patch Tuesday di giugno 2026 ha stabilito un nuovo record assoluto: Microsoft ha rilasciato aggiornamenti di sicurezza per ben 208 CVE, superando il precedente record e portando con sé 6 zero-day, di cui uno attivamente sfruttato in attacchi reali. Per i sistemisti, questo ciclo di patch è tra i più critici dell’anno: ci sono falle wormable nel kernel, bypass multipli di BitLocker, RCE su Hyper-V, AKS e DHCP, e una vulnerabilità Exchange già sfruttata in produzione.Il quadro generale
Delle 208 vulnerabilità corrette, 33 sono classificate Critical. La distribuzione per tipologia:
- 65 Elevation of Privilege
- 55 Remote Code Execution
- 30 Information Disclosure
- 27 Spoofing
- 19 Security Feature Bypass
- 7 Denial of Service
Il conteggio esclude le 360 CVE ereditate da Chromium/Edge e le falle in servizi cloud come Exchange Online e Microsoft Graph, già patchate in precedenza nel mese.
I sei zero-day
CVE-2026-42897 — Exchange Server Spoofing (attivamente sfruttata)
L’unica zero-day già in uso attivo. Un attaccante invia una email costruita ad hoc: se la vittima la apre in Outlook Web Access, viene eseguito JavaScript arbitrario nel browser. Microsoft ha distribuito mitigazioni tramite il servizio Exchange Emergency Mitigation (EEMS). Verificare che EEMS sia abilitato di default; la patch completa è in lavorazione. Azione immediata richiesta.CVE-2026-45586 — Windows CTFMON GreenPlasma (EoP)
Divulgata da Nightmare Eclipse, permette di ottenere un shell SYSTEM sfruttando una link following errata nel Windows Collaborative Translation Framework. Prima di una serie di zero-day rilasciate dallo stesso ricercatore in protesta contro il bug bounty Microsoft.CVE-2026-45585 — BitLocker YellowKey (Security Feature Bypass)
Con accesso fisico al dispositivo, un attaccante inserisce file costruiti su USB o partizione EFI e, avviando in WinRE tenendo CTRL, ottiene accesso illimitato al disco cifrato. Colpisce sistemi con BitLocker in modalità TPM-only. Mitigazione: abilitare TPM+PIN.CVE-2026-50507 — BitLocker bitskrieg (Security Feature Bypass)
Secondo bypass BitLocker, divulgato da Jonas Lykkegaard. La patch potrebbe causare l’errore “A required file couldn’t be accessed because your BitLocker key wasn’t loaded correctly”. Il fix:reagentc /disable reagentc /enableCVE-2020-17103 — Cloud Files Mini Filter Driver Mini-Plasma (EoP)
CVE originariamente del 2020, segnalata da James Forshaw (Google Project Zero). Sembrava già corretta nel dicembre 2020, ma Nightmare Eclipse ha dimostrato che la vulnerabilità era ancora sfruttabile. L’update di giugno 2026 la chiude definitivamente.CVE-2026-49160 — HTTP/2 Bomb DoS su HTTP.sys
Abusa della compressione degli header HTTP/2 per forzare il server ad allocare quantità sproporzionate di memoria con pochissimi dati in ingresso. Microsoft ha introdotto la chiave di registroMaxHeadersCountper limitare il numero di header accettati (KB5102602):; HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters ; DWORD: MaxHeadersCount = 100Le CVE Critical più rilevanti per l’infrastruttura
CVE-2026-45657 — Windows Kernel RCE (CVSS 9.8, wormable)
È la vulnerabilità che preoccupa di più. Una use-after-free nel kernel legata all’elaborazione del traffico TCP/IP permette a un attaccante non autenticato di eseguire codice da remoto, senza interazione utente. Il vettore CVSS (AV:N/AC:L/PR:N/UI:N) e la classificazione wormable significa che un exploit funzionante potrebbe autopropag arsi tra macchine sulla stessa rete. Sistemi colpiti: Windows 11 (23H2, 24H2, 25H2, 26H1) e Windows Server 2022/2025 incluso Server Core. I ricercatori stimano la finestra per un exploit pubblico in giorni, non settimane. Priorità assoluta.CVE-2026-32193 — Azure Kubernetes Service Container Escape (Critical)
Path traversal in AKS che permette a un container configurato conhostNetwork: truedi evadere il container e ottenere il controllo del worker node. Chi gestisce cluster AKS deve verificare aggiornamenti disponibili:az aks upgrade --resource-group myRG --name myCluster --kubernetes-version latestCVE-2026-44815 — DHCP Client Service RCE (Critical)
RCE nel client DHCP di Windows, sfruttabile da un attaccante che controlla un server DHCP malevolo in rete. Rischio elevato in ambienti con BYOD o reti ospiti non segregate.CVE-2026-45641 / CVE-2026-47652 — Hyper-V RCE (Critical)
Due falle di esecuzione di codice in Hyper-V. Su hypervisor il patching è prioritario: una compromissione può portare all’escape delle VM e alla compromissione dell’host.CVE-2026-45648 — Active Directory Domain Services RCE (Critical)
RCE nei Domain Controller. Qualunque falla RCE su DC va trattata con la massima urgenza: una compromissione equivale a quella dell’intero dominio.CVE-2026-47291 — HTTP.sys RCE (Critical)
RCE nel driver HTTP.sys, separata dalla HTTP/2 Bomb. Colpisce tutti i sistemi che espongono servizi HTTP inclusi IIS e applicazioni che usano direttamente HTTP.sys.Strategia di deployment
Con 208 CVE e sei zero-day, non c’è spazio per ritardi. Alcune linee guida pratiche:
- Controllare ADV990001: verificare che il Servicing Stack Update (SSU) sia installato. È il prerequisito per l’installazione corretta di tutti gli altri aggiornamenti.
- Exchange prima: CVE-2026-42897 è attivamente sfruttata. Applicare le mitigazioni EEMS immediatamente.
- Domain Controller: CVE-2026-45648 su AD DS è Critical. Test in ambiente non-prod, poi deployment rapido su DC.
- BitLocker — leggere le release notes: CVE-2026-50507 può richiedere il fix manuale con
reagentc. Testare prima del rollout su larga scala.- Hotpatch su Azure VM: Microsoft ha reso generalmente disponibile l’hotpatching per Azure VM (Linux e Windows Server), che applica le patch kernel senza riavvio. Nei workload Azure, è la modalità preferita per ridurre i downtime.
Conclusione
Il Patch Tuesday di giugno 2026 non è un mese da rimandare. La CVE-2026-45657 (kernel wormable CVSS 9.8), la zero-day Exchange in produzione, i doppi bypass BitLocker e la falla AKS compongono un quadro che richiede azione rapida e pianificata. Scaricare gli update, verificare l’SSU, prioritizzare Exchange e DC, e monitorare per eventuali regressioni post-patch, specialmente per il caso BitLocker/reagentc.Fonte: BleepingComputer — Microsoft June 2026 Patch Tuesday fixes 6 zero-days, 200 flaws | Zero Day Initiative — June 2026 Security Update Review
Zero Day Initiative — The June 2026 Security Update Review
I’ve made it through Pwn2Own Berlin, had a little vacation, and now I’m back for Patch Tuesday. Microsoft and Adobe didn’t disappoint. In fact, they have heralded my return with the largest Patch Tuesday release ever.Dustin Childs (Zero Day Initiative)
adhocfungus likes this.
reshared this
RoguePlanet mette in ginocchio Microsoft Defender! Ed è LPE per Windows
📌 Link all'articolo : redhotcyber.com/post/rogueplan…
A cura di Luigi Zullo
#redhotcyber #news #cybersecurity #hacking #malware #vulnerabilita #microsoftdefender
Scopri come Nightmare Eclipse ha rivelato una vulnerabilità 0-day in Microsoft Defender, permettendo l'ottenimento di privilegi a livello sistema.Luigi Zullo (Red Hot Cyber)
reshared this
Google sues Chinese cybercrime network Outsider Enterprise, accusing it of using Gemini AI to create fake websites and scam hundreds of thousands of Americans (Cecilia Kang/New York Times)
nytimes.com/2026/06/12/technol…
techmeme.com/260612/p9#a260612…
reshared this
Holy shit, y'all. I stopped reading at this point:
- Avoid having vulnerabilities in systems that ransomware could exploit.
reshared this
reminds me of a "security awareness" video ostensibly about OAuth session hijacking which contained no technical details on why/how it works. And for prevention it had the extremely helpful suggestion of "be careful with links" (paraphrased)
10/10 no notes
Users.
That would be the users.
The users (including our and their management) who are a security vulnerability that ransomware hackers exploit.
Cybersecurity & cyberwarfare reshared this.
non so se quei particolari forum sono deserti, ma mettici il follow da mastodon, così ti arrivano le discussioni.
se sono attivi, sanno sicuramente di cosa parli
Claudia
@signorina37.ransomnews.online
· 1h
#nerdystuff in pausa pranzo
Non è il primo, non è il più fico, ma è utile per preparare, con quello che c'è in casa, un piatto divertente.
Che poi sia #FigataOMinkiata ce lo dirà Scarabelli, io penso solo a far colpo su Chef Oldani 😎
🍝 www.supercook.com
Cybersecurity & cyberwarfare reshared this.
Need a hinge in your 3D printed design and would prefer not to re-invent the wheel? You may find [Alex Krush]’s glue-in filament hinge useful.
This design prints half the hinge as a separate piece — the u-shaped one in the picture to the side — that must be glued into the target object after printing. It’s a bit of extra work, but doing it this way has a couple advantages.
One is that printing some of the hinge elements separately means one no longer needs to choose between a print orientation that best suits the object, and a print orientation that works best for the hinge. Also, the length of 1.75 mm filament used as a hinge pin is held captive after assembly so there’s no need to glue the hinge pin itself.
[Alex] helpfully provides the parts in STEP format, which makes CAD tweaks and adjustments easy. While incorporating the design should be doable even if one is just using .stl or .3mf files because boolean subtraction and merging is all that’s needed, having the model in STEP format is so much better.
Should you need some pointers on incorporating either into FreeCAD, we have you covered.
Is the Trump phone actually made in America? Our deep-dive teardown reveals the Trump Mobile T1 is basically a gold-painted, rebranded HTC U24 Pro.Shahram Mokhtari (iFixit)
reshared this
reshared this
ShinyHunters exploited a critical Oracle PeopleSoft zero-day to breach over 100 orgs, mostly universities, before a patch was available.Pierluigi Paganini (Security Affairs)
Cybersecurity & cyberwarfare reshared this.
Raccoon 1.0 was finally released for Android in recent days, a rather innovative client originally created for #Friendica, but which has now become one of the most innovative apps for the user experience on #Mastodon. The app is available for Android (already on the Play Store and Izzidroid, and will soon be available on F-Droid), but a #Debian package has also been released. An iOS version remains to be seen for its success.
The app introduces some very important innovations to the federated app landscape.
Raccoon is the only app that lets you browse the Fediverse even without an account. When you install it, you can select any Friendica or Mastodon instance and "leverage" its local public and federated timelines. This way, users can explore multiple instances before choosing which one to open an account on. Of course, even after adding an account (the app manages multiple accounts), you can browse the timelines of servers other than the one you signed up to.
Unlike all other social apps (both those for the Fediverse and those for commercial social networks), #RaccoonForFriendica lets you open a post in your timeline and continue browsing through previous and next posts by simply swiping left and right.
This is a truly interesting ergonomic innovation.
Since the app was created for Friendica, it features a built-in formatting toolbar reminiscent of Lemmy clients (in fact, the developer @janTeko first experimented with app development with a Lemmy app). The formatting toolbar can also be used for Mastodon instances running the Glitch-soc fork, such as infosec.exchange, tech.lgbt, and my poliversity.it instance, which was the one the developer experimented with.
In addition to being more immediate, writing formatted posts is also made easier by a "preview" function that helps avoid errors in Markdown or BBCode coding.
As you may know, Mastodon doesn't support the display of group posts. Even if you select a group, you'll still see a single timeline where top posts alternate with replies. Searching for a thread on Mastodon is therefore very complicated, but the #Raccoon developer has found a way to enable "topic" viewing across all accounts that are "activitypub groups," be they #Lemmy, #NodeBB, Piefed, Mbin, Peertube, Wordpress, Mobilizon, Flipboard, etc.
This idea also came about thanks to the fact that the developer had previously tried his hand at developing an app for Lemmy and was able to experiment with the formatting bars and display of Lemmy "communities," which are nothing other than "#activitypub groups."
Among other features, you can
The app features all the features found in most other Mastodon apps, except one: the correct handling of Mastodon posts that quote other posts. These are still displayed in a fairly primitive way. The developer is trying to decide whether to adapt to Mastodon specifications or reinterpret the feature in a more personalized way.
It must be said that, unfortunately, the implementation of quoted messages (already present in Friendica for ages) was implemented by Mastodon very late, only in recent months, and in a very "personal" way that many other software developers did not appreciate.
This app has been under development for almost two years, and the beta version is just over a year old. However, version 1.0 has resolved all previously encountered issues.
Based on user feedback, the developer will evaluate whether to create an iOS version and even a Windows version.
Anyone who wishes to allow reporting of application errors can enable anonymous crash reports.
This is the developer's profile:
androiddev.social/users/janTek…
This is the app repository: github.com/LiveFastEatTrashRac…
This is the Play Store link:
play.google.com/store/apps/det…
This is the link on IzzyDroid (the app will be released on F-Droid soon, but is currently under review):
apt.izzysoft.de/fdroid/index/a…
Here is the developer's blog:
livefasteattrashraccoon.github…
Finally, from here you can download the .apk or .deb package without using the online stores. line:
github.com/LiveFastEatTrashRac…
The public's response will be important to enable the further development of this app.
If you want to test it on Mastodon, I recommend using instances running the glitch-soc fork. Among these, I'd recommend the infosec.exchange instance, which is well managed by @jerry. And of course, but only if you communicate in Italian or Esperanto, I'd be happy to host you on my poliversity.it instance.
Regarding Friendica, I recommend two instances: friendica.world, managed by @ruud and featuring a rather lively timeline, and, of course, social.trom.tf, excellently managed by @tio.
If you communicate in Italian, I'd be happy to host you on my poliverso.org instance.
Greetings to all and let me know if you need further information, if you have tried the app and how you found it.
Francesco
You can also interact with me through the Mastodon account @informapirata and the Friendica account @notizie
Connect your site to the Open Social Web and let millions of users follow, share, and interact with your content from Mastodon, Pixelfed, and more.Automattic (WordPress.org)
like this
reshared this
Mastodon isn't the entirely of ActivityPub apps. Lemmy doesn't seem to work with any of the ActivityPub apps, and nobody is trying to fix that problem.
It's not a "Fediverse", if it's not federated everywhere.
Lo 0day in Oracle PeopleSoft ha permesso ai hacker di svuotare più di cento organizzazioni
📌 Link all'articolo : redhotcyber.com/post/lo-0day-i…
A cura di Redazione RHC
#redhotcyber #news #cybersecurity #hacking #malware #ransomware #zeroday #oracle #peoplesoft
Scopri come una vulnerabilità zero-day in Oracle PeopleSoft ha permesso agli hacker di accedere a dati sensibili di oltre cento organizzazioni, tra cui l'Università di Nottingham.Redazione RHC (Red Hot Cyber)
Cybersecurity & cyberwarfare reshared this.
-CISA changes federal patching rules
-House Republican hacked by Russia
-US Cyber Force voted out of NDAA
-FCC seeks stronger telco KYC
-ShinyHunters gets an Oracle zero-day
-npm to block auto-run install scripts by default
-Argentina soccer squad passports leak
-Breach at Thailand's health agency exposes 67m
-Coupang gets record $409m fine
-Hackers extort Jamaica
-Philippines Senate website defaced
Newsletter: news.risky.biz/risky-bulletin-…
Podcast: risky.biz/RBNEWS576/
In other news: House Republican hacked by Russia; ShinyHunters gets a new zero-day; npm to block auto-run install scripts by default.Catalin Cimpanu (Risky.Biz)
reshared this
Catalin Cimpanu reshared this.
21,786 live cameras stream with zero authentication. Cheap gear is the real risk, webcamXP open 46% of the time.Pierluigi Paganini (Security Affairs)
reshared this
Our recently concluded event in Europe saw the return of the Hackaday Communicator badge — a stylish handheld gadget with a QWERTY keyboard, a LoRa radio, and an ESP32. It came complete with a simple messaging app built into it’s MicroPython firmware, and by all accounts it was a great success.
But there was certainly room for improvement, which is where [Giovi321]’s new firmware for the badge comes in. It brings support for Meshtastic proper, as well as longer battery life support for GPS module. To install this firmware you will need to have the ESP-IDF but fortunately there are very comprehensive instructions provided to help you. Under the hood it’s running FreeRTOS.
It’s something which is so often missing with an event badge, any sense of how it might have a life after the event rather than becoming a piece of e-waste. The Communicator badge is such a nice physical design that it obviously has potential, so this firmware unlocks it and gives the badge a use out in the real world. We really like it for this, and we’ll be flashing a few of our badges over to give it a shot shorlty.
If you’re looking to upgrade the hardware on your Communicator, check out the custom RGB keyboard we covered last week.
🔥 AFFRETTATEVI AD ISCRIVERVI! SIAMO GIA' A 9 POSTI SU 14 DISPONIBILI PER L'OTTAVA LIVE CLASS "𝗗𝗔𝗥𝗞 𝗪𝗘𝗕 𝗘 𝗖𝗬𝗕𝗘𝗥 𝗧𝗛𝗥𝗘𝗔𝗧 𝗜𝗡𝗧𝗘𝗟𝗟𝗜𝗚𝗘𝗡𝗖𝗘" – livello intermedio 🚀
Per info e iscrizioni: 📱 💬 379 163 8765 ✉️ formazione@redhotcyber.com
Cybersecurity & cyberwarfare reshared this.
Sicurezza Informatica: è boom di Assunzioni ma attenzione all’Intelligenza Artificiale
📌 Link all'articolo : redhotcyber.com/post/sicurezza…
A cura di Silvia Felici
#redhotcyber #news #cybersecurity #intelligenzaartificiale #sicurezzainformatica
Scopri come le assunzioni nel settore della sicurezza informatica stanno crescendo grazie all'impatto dell'intelligenza artificiale. Le aziende cercano esperti per affrontare nuove minacce e opportunità.Silvia Felici (Red Hot Cyber)
Cybersecurity & cyberwarfare reshared this.
Non sono più fake news. È guerra alla scienza Le fake news erano la versione facile. Adesso c'è gente che ti smonta la reputazione di un medico a tavolino. E i bersagli preferiti sono scienza e medicina.Marco Camisani Calzolari
reshared this
Maxtux
in reply to informapirata ⁂ • • •Emanuele
in reply to informapirata ⁂ • • •Le preoccupazioni sono più che legittime: la tecnologia corre, ma il diritto all’immagine è lì da decenni e continua a valere, anche quando la telecamera è nascosta in una montatura.
In Italia la distinzione tra riprendere e pubblicare è chiarissima, e molti la ignorano.
Tempo fa avevo raccolto un po’ di norme e casi concreti proprio su questo punto: emanuelegori.uno/ray-ban-meta-…
emanuelegori
2026-05-09 17:08:46
reshared this
informapirata ⁂, Generale Specifico, Scimmia di Mare e tornainpietru reshared this.
Mattiz6276
in reply to Emanuele • • •reshared this
informapirata ⁂ e Sovranità Digitale 🇪🇺✨🛰🌐🔋 reshared this.
Elena Brescacin
in reply to informapirata ⁂ • • •Il funzionamento è: tu dici "descrivi scena", lui fa una foto poi ti racconta quello che vede.
Gli occhiali smart sono una integrazione al bastone bianco e il cane guida, e i legislatori devono cazzo capirlo.
Tutelare la riservatezza, e tutelare anche noi. Fra l'altro il discorso riservatezza vale pure per noi, perché non è che faccia così comodo avere qualcosa che va in cloud a tua insaputa. E che il tizio dal kenya sottopagato, sta guardando quello che fai, cieco o no che tu sia. In altro post ho parlato anche del riconoscimento volti, che quello è a dir poco pericolosissimo
reshared this
informapirata ⁂ e RFanciola reshared this.
Francesco Costa
in reply to Elena Brescacin • • •Elena Brescacin
in reply to Francesco Costa • • •informapirata ⁂ reshared this.