Molte realtà hanno la cattiva abitudine di amministrare le proprie infrastrutture direttamente da Internet, esponendo interfacce amministrative direttamente nel cyberspazio e così facendo esponendosi alle potenziali ed inevitabili conseguenze. 

È quello che è stato possibile per un lungo periodo e su differenti versioni (dalla 2010 alla 2019 upd 4) di Microsoft Exchange Server per la vulnerabilità CVE-2020-0688 (di cui Microsoft ha rilasciato correzione nel febbraio del 2020) quando si rendesse esposto Exchange Control Panel (ECP, uno degli strumenti amministrativi Web che si sono susseguiti nella storia evolutiva di Exchange). Questo poteva rendere possibile, mediante la precedente vulnerabilità (Microsoft Exchange Memory Corruption Vulnerability), di ottenere una remota code execution (RCE). 

La medesima strategia è stata ora utilizzata in un nuovo attacco sviluppato a partire dall’esecuzione remota di uno script PowerShell capace di impiantare un modulo per Internet Information Services (IIS, la suite di software per server Web/hosting Web di Microsoft) con

Non si ferma lo sfruttamento di dispositivi IoT (Internet of Things) per la costituzione di botnet. 

Benché già nota e corretta dal vendor, una vulnerabilità consente ancora oggi l’assorbimento in una botnet di numerosi dispositivi ancora vulnerabili di prodotti NVR (Network Video Recorder) di Hikvision, un grande produttore di prodotti di videosorveglianza con base in Cina. 

La campagna è ancora molto attiva e viene portata avanti mediante una botnet derivazione della conosciutissima Mirai e nota con il nome di Moobot. 

Come rilevato dai ricercatori di FortiGuard Labs, la botnet di questa campagna sfrutta una vulnerabilità nota dei prodotti Hikvision (CVE-2021-36260) che consente l’esecuzione remota di codice (RCE), pertanto è ovvio che, come primo obiettivo dello sfruttamento della stessa, la prima azione applicata contro l’obiettivo sia quella di iniettare il malware Moobot stesso per la propagazione della botnet stessa. L’assimilazione è così avvenuta, ed il destino del dispositivo è così legato alla botnet. 

Moobot, abbiamo detto, è una variante di Mirai (storico malware open-source e potentissima botnet per IoT) con tracce del codice Satori (una delle varianti Mirai note), ma

Non si rammentava una vulnerabilità così grave dalla scoperta di Heartbleed (che permetteva di ottenere informazioni da protocollo sicuro come SSL/TLS) e Shellshock (che consentiva di eseguire codice su una macchina remota attraverso la Bash shell). 

Non solo per gravità, ma anche in termini di dimensione. 

La nuova vulnerabilità raggiunge infatti un Base CVSS Score tondo tondo di 10.0; si tratta della vulnerabilità censita come CVE-2021-44228 e che colpisce la libreria Log4j, software della Apache Foundation per la gestione dei messaggi di log nelle applicazioni Java. 

Ma la dimensione del fenomeno è straordinaria vista anche la condizione di utilizzo di questa libreria: si tratta infatti della libreria più utilizzata in assoluto dalle applicazioni web per la gestione delle registrazioni eventi (log) in questo contesto, pertanto il numero di implementazioni concrete è certamente esplosivo. 

Inizialmente individuata sui server del gioco Minecraft, è stata poi individuata su server di altri giochi come Steam, ma anche più minacciosamente sui server di Apple iCloud, e chissà dove altro ancora. 

Mentre è chiaro lo sfruttamento possibile sui

Non bastava la minaccia reale? Ora la paura torna a correre anche nel cyberspazio. 

Ancora non è chiara la vera natura della nuova variante Omicron del SARS-CoV-2 (noto a tutti come COVID-19), che già si fa ben evidente la rinnovata virulenza degli agenti di minaccia che intendano sfruttare la pandemia e la paura che ne consegue per i loro sporchi affari. 

La pandemia è terreno di differenti scontri ideologici che tutti noi conosciamo, ma fuori dai riflettori dei canali mainstream è successo ben altro: con l’abilità che li contraddistingue e la facile debolezza di molti indotti dal senso di ansia che attanaglia il mondo, gli agenti di minaccia si sono fin da subito contraddistinti in ingegnose campagne di attacco a tema COVID-19, con tecniche classiche di ingegneria sociale. 

Già con l’arrivo dei primi vaccini non sono mancate campagne a tema, così come quando è stato lanciato il Covid Pass (per noi Green Pass). Si pensi che in soli 3 mesi a cavallo tra il 2020 e il 2021 si è avuto un incremento pari al 26% delle campagne a tema Covid (fonte Barracuda Networks) e oltre 290 domini pericolosi che