redmount.xyz

Negli ultimi giorni mi sono imbattuto in diversi articoli che parlano di una vulnerabilità piuttosto seria in Roundcube Webmail, un sistema open source che usano molti provider per offrire accesso alla posta via browser. In realtà, questa falla – tracciata come CVE-2024-37383 – non è nuova: è stata scoperta e corretta già a metà 2024. Quello che però è emerso in queste ore è che l’exploit è stato recentemente condiviso o venduto in forum underground, e che diversi gruppi (anche ben organizzati) stanno sfruttando attivamente la vulnerabilità. Il punto è che molti server non sono ancora stati aggiornati, e quindi l’attacco continua a funzionare. Di fatto, alcuni ricercatori hanno osservato una campagna attiva in cui l’attaccante invia email apparentemente innocue, spesso con un allegato .doc, ma in realtà manipolate in modo da far eseguire codice JavaScript nel contesto del browser dell’utente Roundcube. Una semplice apertura dell’email basta: non c’è bisogno che la vittima clicchi nulla...

Il 1° maggio 2025, Commvault, leader globale nelle soluzioni di protezione dei dati, ha confermato di essere stata vittima di un attacco informatico sofisticato. Un gruppo di hacker sponsorizzati da uno stato ha sfruttato una vulnerabilità zero-day, identificata come CVE-2025-3928, per violare l'ambiente Microsoft Azure dell'azienda.​ Dettagli della vulnerabilità CVE-2025-3928 La falla, con un punteggio di gravità CVSS di 8.7, risiedeva nel modulo Web Server di Commvault. Consentiva ad attaccanti remoti autenticati con privilegi limitati di installare webshells, ottenendo così accesso non autorizzato ai sistemi. La vulnerabilità interessava diversi componenti software, tra cui CommServe, Web Server e Command Center, su piattaforme Windows e Linux.​ Scoperta e risposta all'incidente L'attacco è stato rilevato il 20 febbraio 2025, quando Microsoft ha notificato attività sospette nell'ambiente Azure di Commvault. L'azienda ha immediatamente attivato il proprio pian...

Immagina di essere spiato sul tuo smartphone… senza cliccare nulla. Nessun link sospetto, nessuna app strana installata. Eppure, ogni tuo messaggio, ogni chiamata, ogni spostamento è sotto controllo. Fantascienza? Purtroppo no. È esattamente quello che può fare Graphite, uno spyware avanzato sviluppato dalla società israeliana Paragon Solutions, recentemente finito sotto i riflettori in Italia per motivi tutt’altro che rassicuranti. Chi è finito nel mirino di Graphite? Tra le vittime accertate ci sono nomi noti del panorama civile italiano: Luca Casarini, fondatore dell’ONG Mediterranea Saving Humans Francesco Cancellato, direttore di Fanpage Don Mattia Ferrari, cappellano della stessa ONG Tutti sono stati avvisati da Meta di essere stati bersaglio di un attacco “sofisticato, sostenuto da entità governative”. E no, non si tratta di teorie complottistiche: il Guardian ha confermato che Paragon ha interrotto i rapporti con l’Italia, proprio in seguito all’utilizzo non autorizzato del su...

Negli ultimi anni, il mercato dello spyware è cresciuto in modo esponenziale, con aziende che sviluppano strumenti sempre più sofisticati per la sorveglianza digitale. Tra queste, Paragon si è distinta come uno dei principali attori, con operazioni che hanno sollevato numerose preoccupazioni riguardo alla privacy e alla sicurezza dei cittadini. Un recente rapporto di Citizen Lab ha gettato luce sulle attività di Paragon, rivelando dettagli inquietanti sulle sue operazioni di spyware. Chi è Paragon? Paragon è un'azienda che opera nel settore della sorveglianza digitale, fornendo strumenti di monitoraggio e spyware a governi e agenzie di intelligence. Fondata da ex membri di unità militari e di intelligence, Paragon si presenta come un'azienda all'avanguardia nella lotta al terrorismo e al crimine organizzato. Tuttavia, le sue attività hanno spesso oltrepassato i confini della legalità, sollevando interrogativi etici e legali. Le operazioni di spyware Secondo il rapporto di C...

Negli ultimi anni, la crescente diffusione di spyware avanzati ha sollevato seri interrogativi sulla privacy e sulla sicurezza delle informazioni. Uno dei nomi più recenti a emergere nel panorama della sorveglianza digitale è Graphite , uno spyware sviluppato dalla società israeliana Paragon Solutions . Questo strumento ha attirato l’attenzione internazionale per il suo utilizzo da parte di governi e agenzie di intelligence, ma anche per le preoccupazioni legate ai diritti fondamentali e alla libertà di stampa. Cos’è Graphite? Graphite è uno spyware di livello governativo progettato per infiltrare dispositivi mobili e raccogliere informazioni sensibili. A differenza di altri spyware commerciali, Graphite viene venduto esclusivamente a enti statali per attività di intelligence e contrasto al crimine organizzato. Tuttavia, recenti rivelazioni indicano che è stato utilizzato anche per monitorare giornalisti e attivisti, sollevando interrogativi sulla sua gestione e sulle sue implicazioni ...

Recenti ricerche hanno rivelato la presenza di due modelli di machine learning (ML) maliziosi sulla piattaforma Hugging Face, i quali utilizzano una tecnica insolita di "pickle corrotto" per eludere i sistemi di rilevamento. Questi modelli sfruttano il formato di serializzazione Pickle di Python, noto per i suoi rischi di sicurezza, poiché può eseguire codice arbitrario al momento del caricamento e della deserializzazione. Tecnica "NullifAI" e Implicazioni per la Sicurezza La tecnica impiegata, denominata "NullifAI", consiste nell'inserimento di un payload malizioso all'inizio del file Pickle. Questo approccio consente al codice dannoso di essere eseguito prima che la deserializzazione dell'oggetto venga completata, evitando così la rilevazione da parte degli strumenti di sicurezza esistenti. In entrambi i casi analizzati, il payload malizioso è un reverse shell che si connette a un indirizzo IP predefinito. Modelli Coinvolti e Implicazioni per...

Nel magico mondo della cybersecurity, esistono creature mitologiche chiamate exploit zero-day. Sono così preziose che vengono scambiate come diamanti, custodite gelosamente e vendute per cifre da capogiro. Uno zero-day è una vulnerabilità sconosciuta al produttore del software, e quindi ancora non patchata. Se usata per un attacco, diventa un'arma silenziosa e letale. Possederne uno significa avere in mano una chiave d’oro per entrare in sistemi teoricamente sicuri. Nel 2022, un exploit per iOS 15.4.1 è stato venduto per 8 milioni di euro. Permetteva l’esecuzione di codice da remoto tramite Safari. Il pacchetto si chiamava "Nova" e includeva anche exploit per Android e infrastrutture cloud, il tutto venduto da Intellexa a clienti governativi. L'anno successivo, la società russa Operation Zero ha offerto pubblicamente fino a 20 milioni di dollari per una catena di exploit zero-day completa. Non è mai stato confermato se qualcuno abbia incassato la cifra, ma è la taglia...

Nel mondo del pentesting e del CTF, capita spesso di cercare proof-of-concept (PoC) su GitHub o altrove per testare vulnerabilità o comprendere meglio il funzionamento di un exploit. È una pratica comune, ma non sempre sicura. Purtroppo, alcuni PoC in circolazione sono stati deliberatamente confezionati per agire come dropper o malware, sfruttando l’ingenuità di chi li esegue senza verificarli. Un caso recente riguarda un PoC apparentemente legittimo per la CVE-2023-3824, pubblicato su GitHub. Il codice sembrava valido, ma conteneva un payload offuscato che, una volta decompresso ed eseguito, scaricava da un repository remoto diversi binari tra cui un cryptominer e uno script shell persistente. Il tutto veniva installato nella directory ~/.local/bin , e avviato tramite un servizio systemd mascherato come Xsession Auth daemon . Il repository remoto era ospitato su Codeberg, ma oggi risulta rimosso. Alcuni utenti si sono accorti del comportamento sospetto leggendo il codice o esaminand...

Il procuratore della Repubblica Nicola Gratteri è intervenuto recentemente ad un convegno sulle mafie digitali Hacker e tecnologie avanzate sono il futuro della lotta alla mafia. Così in sintesi il pensiero del procuratore della Repubblica, Nicola Gratteri, intervenuto ad un convegno alla sala stampa della Camera dei deputati. Presentato per l’occasione il rapporto “Le mafie nell’era digitale”. Per il procuratore di Catanzaro la priorità è una battaglia che bisogna combattere con una rincorsa alla tecnologia. Per Gratteri infatti “Mentre la politica discute di utilità o meno delle intercettazioni, le mafie sono sempre più presenti nei social”. C’è bisogno di essere veloci e al passo con i tempi: “Una questione di velocità nell’apprendere l’utilità delle tecnologie ma soprattutto sono in grado di pagare degli hacker e di crearsi nuovi sistemi di comunicazione simili a Whatsapp e a Telegram”.

Microsoft mercoledì ha rivelato i dettagli di una "vulnerabilità ad alta gravità" ora corretta nell'app TikTok per Android che potrebbe consentire agli aggressori di assumere il controllo degli account quando le vittime hanno fatto clic su un collegamento dannoso. "Gli aggressori avrebbero potuto sfruttare la vulnerabilità per dirottare un account all'insaputa degli utenti se un utente mirato avesse semplicemente fatto clic su un collegamento appositamente predisposto", ha affermato Dimitrios Valsamaras del Microsoft 365 Defender Research Team in un articolo. Lo sfruttamento riuscito della falla potrebbe aver consentito ad attori malintenzionati di accedere e modificare i profili TikTok degli utenti e le informazioni sensibili, portando all'esposizione non autorizzata di video privati. Gli aggressori potrebbero anche aver abusato del bug per inviare messaggi e caricare video per conto degli utenti. Il problema, affrontato nella versione 23.7.3, interessa...

Microsoft ha pubblicato un nuovo avviso di avviso di una vulnerabilità di bypass della sicurezza che interessa i laptop convertibili Surface Pro 3 che potrebbe essere sfruttata da un avversario per introdurre dispositivi dannosi all'interno delle reti aziendali e sconfiggere il meccanismo di attestazione del dispositivo. Tracciato come CVE-2021-42299 (punteggio CVSS: 5.6), il problema è stato denominato in codice " TPM Carte Blanche " dall'ingegnere software di Google Chris Fenner, a cui è attribuita la scoperta e la segnalazione della tecnica di attacco. Al momento della scrittura, altri dispositivi Surface, inclusi Surface Pro 4 e Surface Book, sono stati ritenuti non interessati, sebbene altre macchine non Microsoft che utilizzano un BIOS simile potrebbero essere vulnerabili. "I dispositivi utilizzano i registri di configurazione della piattaforma ( PCR ) per registrare informazioni sulla configurazione del dispositivo e del software per garantire che il pr...

Windows 10, iOS 15, Google Chrome, Apple Safari, Microsoft Exchange Server e Ubuntu 20 sono stati violati con successo utilizzando exploit originali e mai visti prima alla Tianfu Cup 2021, la quarta edizione del concorso internazionale di sicurezza informatica tenutosi in città di Chengdu, Cina. Gli obiettivi di quest'anno includevano Google Chrome in esecuzione su Windows 10 21H1, Apple Safari in esecuzione su Macbook Pro, Adobe PDF Reader, Docker CE, Ubuntu 20/CentOS 8, Microsoft Exchange Server 2019, Windows 10, VMware Workstation, VMware ESXi, Parallels Desktop, iPhone 13 Pro con iOS 15, telefoni cellulari domestici con Android, QEMU VM, Synology DS220j DiskStation e router ASUS RT-AX56U. La versione cinese di Pwn2Own è stata avviata nel 2018 sulla scia della regolamentazione del governo nel paese che vietava ai ricercatori di sicurezza di partecipare a competizioni internazionali di hacking a causa di problemi di sicurezza nazionale. Ad eccezione del NAS Synology DS220j, dell...

Un attore di minacce di lingua cinese precedentemente sconosciuto è stato collegato a un'operazione evasiva di lunga data mirata a obiettivi del sud-est asiatico già nel luglio 2020 per distribuire un rootkit in modalità kernel su sistemi Windows compromessi. Si dice anche che gli attacchi sferrati dal gruppo di hacker, soprannominato GhostEmperor di Kaspersky, abbiano utilizzato un "sofisticato framework di malware multi-stadio" che consente di fornire persistenza e controllo remoto sugli host mirati. La società di sicurezza informatica russa ha chiamato il rootkit Demodex , con infezioni segnalate in diverse entità di alto profilo in Malesia, Thailandia, Vietnam e Indonesia, oltre a valori anomali situati in Egitto, Etiopia e Afghanistan. "[Demodex] viene utilizzato per nascondere gli artefatti del malware in modalità utente agli investigatori e alle soluzioni di sicurezza, mentre dimostra un interessante schema di caricamento non documentato che coinvolge il compo...

Un exploit funzionante per CVE-2021-22005, una vulnerabilità con VMware vCenter, è stato rilasciato e secondo quanto riferito viene utilizzato dagli attori delle minacce, secondo gli esperti che seguono il problema. La scorsa settimana VMware ha segnalato una vulnerabilità critica nel servizio di analisi di vCenter Server e ha invitato gli utenti ad aggiornare i propri sistemi il prima possibile. Il 21 settembre, VMware ha dichiarato che il suo vCenter Server è affetto da una vulnerabilità di caricamento file arbitraria nel servizio Analytics che consentirebbe a un attore malintenzionato con accesso alla rete di sfruttare questa vulnerabilità per eseguire codice sui server vCenter. Entro il 24 settembre, VMware ha confermato che CVE-2021-22005 veniva sfruttato in natura e dozzine di ricercatori di sicurezza online hanno segnalato scansioni di massa per vCenter Server vulnerabili e codici exploit disponibili al pubblico. CISA seguito con un proprio avvertimento il Venerdì, scrivendo ...

Il codice exploit proof-of-concept per tre vulnerabilità zero-day iOS (e una quarta patchata a luglio) è stato pubblicato su GitHub dopo che Apple ha ritardato l'applicazione delle patch e non è riuscita a accreditare la persona che le ha segnalate. Denis Tokarev (che usa l' handle Twitter di Illusion Of Chaos ), lo sviluppatore di software che ha trovato i quattro zero-day, li ha segnalati ad Apple tra il 10 marzo e il 4 maggio. Tuttavia, la società ne ha silenziosamente riparato uno a luglio con il rilascio di 14.7 senza dare credito nell'avviso di sicurezza. "Quando li ho affrontati, si sono scusati, mi hanno assicurato che era successo a causa di un problema di elaborazione e hanno promesso di elencarlo nella pagina dei contenuti di sicurezza del prossimo aggiornamento", ha detto lo sviluppatore oggi. "Ci sono state tre uscite da allora e ogni volta hanno infranto la loro promessa". "A causa di un problema di elaborazione, il tuo credito sa...

Microsoft lunedì ha rivelato un nuovo malware distribuito dal gruppo di hacker dietro l'attacco alla catena di approvvigionamento SolarWinds lo scorso dicembre per fornire payload aggiuntivi e rubare informazioni sensibili dai server Active Directory Federation Services ( ADFS ). Il Threat Intelligence Center (MSTIC) del gigante tecnologico ha chiamato FoggyWeb "backdoor passiva e altamente mirata", rendendolo l'attore di minacce tracciato come l'ultimo strumento di Nobelium in una lunga lista di armi informatiche come Sunburst , Sunspot , Raindrop , Teardrop , GoldMax, GoldFinder , Sibot , Flipflop , NativeZone , EnvyScout, BoomBox e VaporRage . "Una volta che Nobelium ottiene le credenziali e compromette con successo un server, l'attore fa affidamento su tale accesso per mantenere la persistenza e approfondire la sua infiltrazione utilizzando malware e strumenti sofisticati", hanno affermato i ricercatori di MSTIC . "Nobelium utilizza Foggy...

I ricercatori della sicurezza informatica hanno tracciato l'evoluzione di Jupyter, un infostealer .NET noto per aver individuato i settori sanitario e dell'istruzione, che lo rendono eccezionale nel sconfiggere la maggior parte delle soluzioni di scansione della sicurezza degli endpoint. La nuova catena di distribuzione, individuata da Morphisec l'8 settembre, sottolinea che il malware non solo ha continuato a rimanere attivo, ma mostra anche "come gli attori delle minacce continuano a sviluppare i loro attacchi per diventare più efficienti ed evasivi". La compagnia israeliana ha detto che sta attualmente indagando sulla portata e la portata degli attacchi. Documentato per la prima volta nel novembre 2020, Jupyter (alias Solarmarker) è probabilmente di origine russa e si rivolge principalmente ai dati del browser Chromium, Firefox e Chrome, con funzionalità aggiuntive che consentono funzionalità backdoor complete, incluse funzionalità per sottrarre informazioni...

Google venerdì ha lanciato una patch di sicurezza di emergenza sul suo browser Chrome per risolvere un difetto di sicurezza noto per avere un exploit in natura. Cingolato come CVE-2.021-37.973 , la vulnerabilità è stata descritta come uso dopo gratuito in portali API , un sistema di navigazione pagina web che consente una pagina che mostra un'altra pagina come inserto e "eseguire una transizione a un nuovo stato, in cui la la pagina precedentemente inserita diventa il documento di primo livello." A Clément Lecigne di Google Threat Analysis Group (TAG) è stato attribuito il merito di aver segnalato il difetto. Ulteriori specifiche relative alla debolezza non sono state divulgate alla luce dello sfruttamento attivo e per consentire alla maggior parte degli utenti di applicare la patch, ma il gigante di Internet ha affermato di essere "consapevole dell'esistenza di un exploit per CVE-2021-37973. " L'aggiornamento arriva un giorno dopo che Apple si è moss...

I ricercatori della sicurezza informatica martedì hanno rivelato i dettagli di una vulnerabilità senza patch in macOS Finder che potrebbe essere abusata da avversari remoti per indurre gli utenti a eseguire comandi arbitrari sulle macchine. "Una vulnerabilità in macOS Finder consente ai file la cui estensione è inetloc di eseguire comandi arbitrari, questi file possono essere incorporati all'interno di e-mail che, se l'utente fa clic su di essi, eseguiranno i comandi incorporati al loro interno senza fornire un prompt o un avviso all'utente", SSD Secure Disclosure ha affermato in un articolo pubblicato oggi. A Park Minchan, un ricercatore di sicurezza indipendente, è stato attribuito il merito di aver segnalato la vulnerabilità che colpisce le versioni macOS di Big Sur e precedenti. La debolezza deriva dal modo in cui macOS elabora i file INETLOC - collegamenti a posizioni Internet come feed RSS o connessioni Telnet contenenti nome utente e password per SSH - ris...

SMASH è un nuovo attacco basato su JavaScript che fornisce una lettura e scrittura arbitraria nel browser. Non si basa su vulnerabilità o bug del software, ma sfrutta invece il bug di Rowhammer molto più difficile da mitigare nell'hardware per avviare la catena di exploit. Tuttavia, sfruttare il bug di Rowhammer non è un compito facile. I moderni moduli di memoria sono dotati di una difesa in memoria dedicata contro Rowhammer, chiamata Target Row Refresh (TRR). Sebbene il lavoro precedente abbia dimostrato che TRR è vulnerabile a modelli di accesso più avanzati rispetto al normale Rowhammer, la costruzione di tali modelli dall'interno di JavaScript di alto livello è difficile. SMASH dimostra, tuttavia, che non è impossibile creare schemi di accesso rapidi, che inducono Rowhammer e che evitano i TRR attraverso l'eliminazione della cache, senza fare affidamento su istruzioni di svuotamento di basso livello come CLFLUSH. Inoltre, la ricerca ha prodotto una nuova visione della ...