Questa vulnerabilità si ha quando a causa di configurazioni poco attente alla sicurezza si abbassa il livello di protezione di un sistema.
Consente agli aggressori di sfruttare sistemi non patchati o accedere ad account predefiniti, pagine inutilizzate, file e directory non protetti, ecc. per ottenere accesso non autorizzato o conoscenza del sistema
La Security Misconfiguration può verificarsi a qualsiasi livello dello stack applicativo, inclusi i servizi di rete, il server Web, l'application server , il database, i framework, il codice o le macchine virtuali. Gli scanner automatici sono utili per rilevare configurazioni errate, utilizzo di account o configurazioni predefinite, servizi non necessari, opzioni legacy, ecc.
Tali difetti spesso danno agli aggressori l'accesso non autorizzato ad alcuni dati o funzionalità del sistema.

Occasionalmente, tali difetti si traducono in un completo compromesso del sistema.
L'impatto aziendale dipende dalle esigenze di protezione dell'applicazione e dei dati.

Agent Tesla è un RAT (Remote Access Trojan)  che funziona come keylogger e password stealer ed è attivo dal 2014.

Può monitorare e raccogliere gli input da tastiera della vittima, appunti di sistema, può registrare screenshot e esfiltrare le credenziali per una varietà di software (inclusi Google Chrome, Mozilla Firefox e il client di posta elettronica Microsoft Outlook).

Come tutti il malware che si rispettino si è evoluto, oggi viene venduto come servizio MaaS e nel 2020, un report di Checkpoint ci riferisce essere l'infostealer più pericoloso avendo raggiunto la quota del 29% di infezioni registrate da questa tipologia di malware a livello worlwide mentre in Europa sale a quota 31%.

Le versioni più recenti prendono di mira più applicazioni per il furto di credenziali, utilizzano tattiche di comunicazione aggiornate e mettono a punto nuove tecniche per aggirare la difesa degli endpoint.

I ricercatori del team Qihoo 360 di NETLAB hanno rivelato una nuova #backdoor in grado di rubare le credenziali di accesso degli utenti, le informazioni sui dispositivi infettati e l'esecuzione di comandi arbitrari sui sistemi #Linux.
Il# malware è un #dropper, soprannominato #Facefish, in grado di droppare sul server infettato un #rootkit utilizzando il cifrario #Blowfish per crittografare le comunicazioni con il #C2.

Facefish è composto da 2 parti, Dropper e Rootkit, e la sua funzione principale è determinata dal modulo Rootkit, che funziona al livello Ring 3 e viene caricato utilizzando una injection nella variabile LD_PRELOAD.
Questa scoperta si basa su evidenze riportate dai ricercatori di Juniper Networks dove si documenta un attacco al Control Web Panel (CWP), prima noto come #CentOs CWP, con lo scopo di esfiltrare dati.
L'esatta vulnerabilità sfruttata dall'attaccante rimane poco chiara, in quanto la crittografia e l'offuscamento intenzionale dell'eseguibile rende difficile accertare quali versioni di CWP sono vulnerabili all'attacco.

Il dropper contiene con un proprio toolset di comandi, tra cui il rilevamento dell'ambiente di runtime, il beaming verso il C2, la configurazione del rootkit e l'avvio del rootkit che esegue una #injection nel processo #sshd.

Pillole di #penetrationtest

Non si deve assolutamente abbassare la guardia rispetto alle forme di attacco basate sul cyber squatting (typo squatting, bit squatting) perché sono ancora ben radicate nell'arsenale di attacco degli agenti di minaccia.

E' proprio di oggi la notifica da parte del portale di condivisione di informazioni di sicurezza IBM X-Force Exchange della individuazione di alcune campagne di squatting. E le vittime saranno al solito clienti di industrie molto note (Paypal e HotMail) che certamente sono attente alla loro sicurezza, ma difficilmente possono tenere sotto controllo questa forma di attacco che coinvolge tutto il parco clienti con la semplicità della registrazione di nomi di dominio "truffaldini" come paypal-groups.com, secure-paypal-loginuser.com, hotmails.se, htmail.se, 
ecc

Per approfondimenti:

https://exchange.xforce.ibmcloud.com/collection/6cc516faf515233c3b5765707e9149e1

https://exchange.xforce.ibmcloud.com/collection/a6599fef030d43f349fbe31d1805c8f5