Il nome che si sente comunemente è “Virus”, ma questa è solo una delle forme che un “software malevolo” (questo il significato del nome malware) può assumere. Le forme sono in questo caso anche sostanza, sostanza che in un nome proprio (virus, worm, trojan, rootkit, keylogger, botware, adware, crimeware, ransomware, ecc) descrive il comportamento di questi programmi che hanno nel loro DNA solo intenti minacciosi verso di noi, le vittime designate. I malware in realtà intendono fornire un’arma per gli aggressori del cyberspazio per raggiungere i loro scopi: rubare informazioni, ricattarci al fine di estorcere denaro (tipicamente solo criptovaluta), spiare le nostre abitudini, rubare le nostre credenziali al fine di costruire nuove forme di aggressione, e tanto altro. Giungono a noi mediante varie forme di inganno, ovvero falsificazione (spoofing) delle forme di identità che governano a vari livelli la conversazione del cyberspazio, e per questo possono carpire la nostra buonafede e consentire loro di esistere così nei nostri computer: infatti un malware, ad oggi, viene veicolato nei nostri dispositivi tipicamente attraverso forme di comunicazione in realtà sotto il nostro controllo (quando scarichiamo programmi da siti e store) o comunque di nostro utilizzo quotidiano (come quando leggiamo la nostra posta elettronica). Proprio quest’ultimo caso è uno dei metodi di diffusione più perseguiti dagli attori di minaccia, il cosiddetto “phishing”, una strategia di diffusione di malware che come la pesca d’altura cerca di catturare con le sue reti più pesci possibile, ed in questo caso i

Non è la prima volta che accade, ma ci risiamo! 

Era il lontano 2016 quando il codice sorgente del malware alla base della botnet Mirai fu sottratto agli autori e finì pubblicato sulla piattaforma github (https://github.com/jgamblin/Mirai-Source-Code). Questo è evidente portò ad una più rapida evoluzione del fenomeno: la possibilità di avere questa piattaforma software consentitì a differenti attori di produrre una propria variante del malware Mirai (Moobot, Satori, Masuta, ecc), ognuna con proprie funzionalità e caratteristiche che le rese uniche e sempre più aggressive. Il risultato: l’esplosione di milioni di infezioni. 

Il terreno di cultura per queste infezioni è stato ed è il mondo IoT, ormai proverbialmente noto per essere refrattario ai più ordinari e semplici principi di sicurezza. 

Medesimo destino sembra ora aver portato un'altra vecchio gloria del mondo del malware orientato all’IoT al medesimo approdo. 

Correva il 2021 quando i laboratori Alien Labs della AT&T scoprivano il primo malware realizzato nel linguaggio di programmazione golang (Mirai era in C), il linguaggio di programmazione open-source di

Con un recente annuncio di sicurezza Cisco lancia l’allarme sulla presenza di differenti vulnerabilità per alcuni suoi prodotti per il mercato Small Business, ed in particolare i router della serie RV quando utilizzati come SSL Gateway, ossia come noti per accesso VPN.

La serie RV infatti è una famiglia di appliance per realizzare VPN in modo conveniente per l’accessibilità del personale aziendale da remoto. Si tratta di prodotti integrati dotati di firewall, crittografia avanzata e funzionalità di autenticazione per risolvere tutte le necessità relative alla gestione di una VPN in un unico box.

L’allarme deriva dal fatto che il numero di vulnerabilità è davvero alto: ben 15 differenti vulnerabilità, di cui 3 con punteggio massimo CVSS (10.0); un bouquet degno di nota, dunque: abbiamo esecuzione remota di codice, elevazione di privilegio, esecuzione di comandi arbitrari, violazione della sessione, caricamento e sovrascritture di file arbitrari (con la conseguente esecuzione degli stessi), possibile denial of service.

Per i curiosi le vulnerabilità sono CVE-2022-20699, CVE-2022-20700 e CVE-2022-20708 quelle da 10.0; CVE-2022-20706, CVE-2022-20701 e CVE-2022-20703 quelle sopra 8.0 ed infine le restanti CVE-2022-20710, CVE-2022-20709, CVE-2022-20749, CVE-2022-20702, CVE-2022-20704, CVE-2022-20705, CVE-2022-2070, CVE-2022-20711 e CVE-2022-20712.

Naturalmente, come Cisco stesso evidenzia, non tutte e 15 le

Con gli ultimi aggiornamenti per macOS Monterey 12.2 (https://support.apple.com/en-us/HT213054), iOS 15.3 e iPadOS 15.3 (https://support.apple.com/en-us/HT213053), ha rimosso il rischio di sfruttamento di tutta una serie di vulnerabilità censite per i suoi prodotti (da CVE-2022-22578 a CVE-2022-22579, da CVE-2022-22583 a CVE-2022-22587 e da CVE-2022-22589 a CVE-2022-22594). 

Particolare interesse destano la CVE-2022-22594 (in quanto ne avevamo già parlato e attendevamo la pubblicazione della patch) e la CVE-2022-22587. Entrambe sono state (o sono) vulnerabilità 0-day; entrambe hanno infatti mostrato un ritardo nella pubblicazione dei dettagli “durante” le azioni correttive implementate da Apple. Per la prima avevamo ancora evidenze nel sistema bugzilla del progetto di uno stato transitorio tra scoperta e soluzione, mentre le seconda è ancora associata (nel momento che scriviamo) ad un CVE indicato come “riservato” sul sito di MITRE (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22587), quindi senza alcuna attribuzione. Entrambi i fenomeni sono caratteristici della riservatezza alla pubblicazione dovuta nel caso di uno 0-day rilevato da ricercatori indipendenti al vendor relativo. 

La CVE-2022-22594 trova finalmente correzione alla violazione della Same Origin Policy