Abbiamo appena finito di parlarne (e aggiornare i nostri dispositivi), che ancora una volta Apple deve correre ai ripari per altre vulnerabilità zero-day, ancora una volta con obiettivo il motore WebKit per i suoi browser e naturalmente con il coinvolgimento dell’intero suo ecosistema (dagli iPhone ai dispositivi macOS). 

Come sempre accade in queste circostanze, Apple, come qualsiasi altro vendor in procinto di mitigare il rischio di uno zero-day appena svelato, non ha rilevato molti dettagli tecnici riguardo a queste vulnerabilità, così come non vi è ancora traccia documentale sul database NVD del NIST. 

Stiamo solo agli annunci relativi alle patch di sicurezza che Apple ha diffuso per i suoi dispositivi: si tratta dell’annuncio https://support.apple.com/en-us/HT213092 per i sistemi macOS (stiamo parlando dell’ultimo della famiglia, ossia la versione 12, che ha nome Monterey) e dell’annuncio per l’insieme più recente dell’ecosistema mobile di Apple (iPhone, iPad, iPod) https://support.apple.com/en-us/HT213093. 

Pur in ambienti differenti, tutti i casi citati derivano da problema che colpisce il framework WebKit, componente che gestisce la navigazione dei contenuti in questi ambienti, quindi la vulnerabilità consente la violazione semplicemente attraverso l’elaborazione di contenuti Web appositamente congegnati per il suo sfruttamento. 

In particolare la debolezza in termini di sviluppo software è la CWE-416, che indica un problema di utilizzo di memoria dopo che questa sia stata liberata (“use after free”), che

Una nuova minaccia si affaccia sull’orizzonte degli utilizzatori di Microsoft Office.

La minaccia da macrovirus in ambiente Microsoft Office è ormai endemica, ma non smettono di stupire le forme sempre nuove di occultamento di questa minaccia che riescono a veicolare il vettore di attacco in casa dei malcapitati. Il metodo è sempre lo stesso: ingegneria sociale per recapitare il “pacco regalo” attraverso la posta elettronica.

Naturalmente tutto questo è noto agli strumenti ed analisti di difesa che da anni osservano il traffico di rete dei loro perimetri alla ricerca delle forme note di questa minaccia.

I formati Microsoft Office nel tempo sono mutati, ma la necessità di eseguire macro per l’automazione delle operazioni d’ufficio è rimasta coerente, pertanto è normale veder circolare, e dunque è necessario vigilare su, vecchi e nuovi formati che presuppongono l’inclusione di tali operazioni automatiche.

È dunque evidente come la questione si sia spostata ora sulle forme di occultamento più che sulla tecnologia si, tecnologia no. Tipicamente le forme di occultamento per questa minaccia erano legate alle forme del malware stesso. Ora una nuova minaccia incombe: un nuovo formato file si è dimostrato capace di veicolare la minaccia fino in casa, in barba a certa euristica e casi d’uso che prevedevano il diffondersi di tale minacce con i più canonici formati .doc, .xlts, ecc.

L’inatteso arriva da un

Il nome che si sente comunemente è “Virus”, ma questa è solo una delle forme che un “software malevolo” (questo il significato del nome malware) può assumere. Le forme sono in questo caso anche sostanza, sostanza che in un nome proprio (virus, worm, trojan, rootkit, keylogger, botware, adware, crimeware, ransomware, ecc) descrive il comportamento di questi programmi che hanno nel loro DNA solo intenti minacciosi verso di noi, le vittime designate. I malware in realtà intendono fornire un’arma per gli aggressori del cyberspazio per raggiungere i loro scopi: rubare informazioni, ricattarci al fine di estorcere denaro (tipicamente solo criptovaluta), spiare le nostre abitudini, rubare le nostre credenziali al fine di costruire nuove forme di aggressione, e tanto altro. Giungono a noi mediante varie forme di inganno, ovvero falsificazione (spoofing) delle forme di identità che governano a vari livelli la conversazione del cyberspazio, e per questo possono carpire la nostra buonafede e consentire loro di esistere così nei nostri computer: infatti un malware, ad oggi, viene veicolato nei nostri dispositivi tipicamente attraverso forme di comunicazione in realtà sotto il nostro controllo (quando scarichiamo programmi da siti e store) o comunque di nostro utilizzo quotidiano (come quando leggiamo la nostra posta elettronica). Proprio quest’ultimo caso è uno dei metodi di diffusione più perseguiti dagli attori di minaccia, il cosiddetto “phishing”, una strategia di diffusione di malware che come la pesca d’altura cerca di catturare con le sue reti più pesci possibile, ed in questo caso i

Con un recente annuncio di sicurezza Cisco lancia l’allarme sulla presenza di differenti vulnerabilità per alcuni suoi prodotti per il mercato Small Business, ed in particolare i router della serie RV quando utilizzati come SSL Gateway, ossia come noti per accesso VPN.

La serie RV infatti è una famiglia di appliance per realizzare VPN in modo conveniente per l’accessibilità del personale aziendale da remoto. Si tratta di prodotti integrati dotati di firewall, crittografia avanzata e funzionalità di autenticazione per risolvere tutte le necessità relative alla gestione di una VPN in un unico box.

L’allarme deriva dal fatto che il numero di vulnerabilità è davvero alto: ben 15 differenti vulnerabilità, di cui 3 con punteggio massimo CVSS (10.0); un bouquet degno di nota, dunque: abbiamo esecuzione remota di codice, elevazione di privilegio, esecuzione di comandi arbitrari, violazione della sessione, caricamento e sovrascritture di file arbitrari (con la conseguente esecuzione degli stessi), possibile denial of service.

Per i curiosi le vulnerabilità sono CVE-2022-20699, CVE-2022-20700 e CVE-2022-20708 quelle da 10.0; CVE-2022-20706, CVE-2022-20701 e CVE-2022-20703 quelle sopra 8.0 ed infine le restanti CVE-2022-20710, CVE-2022-20709, CVE-2022-20749, CVE-2022-20702, CVE-2022-20704, CVE-2022-20705, CVE-2022-2070, CVE-2022-20711 e CVE-2022-20712.

Naturalmente, come Cisco stesso evidenzia, non tutte e 15 le

Non è la prima volta che accade, ma ci risiamo! 

Era il lontano 2016 quando il codice sorgente del malware alla base della botnet Mirai fu sottratto agli autori e finì pubblicato sulla piattaforma github (https://github.com/jgamblin/Mirai-Source-Code). Questo è evidente portò ad una più rapida evoluzione del fenomeno: la possibilità di avere questa piattaforma software consentitì a differenti attori di produrre una propria variante del malware Mirai (Moobot, Satori, Masuta, ecc), ognuna con proprie funzionalità e caratteristiche che le rese uniche e sempre più aggressive. Il risultato: l’esplosione di milioni di infezioni. 

Il terreno di cultura per queste infezioni è stato ed è il mondo IoT, ormai proverbialmente noto per essere refrattario ai più ordinari e semplici principi di sicurezza. 

Medesimo destino sembra ora aver portato un'altra vecchio gloria del mondo del malware orientato all’IoT al medesimo approdo. 

Correva il 2021 quando i laboratori Alien Labs della AT&T scoprivano il primo malware realizzato nel linguaggio di programmazione golang (Mirai era in C), il linguaggio di programmazione open-source di

Con gli ultimi aggiornamenti per macOS Monterey 12.2 (https://support.apple.com/en-us/HT213054), iOS 15.3 e iPadOS 15.3 (https://support.apple.com/en-us/HT213053), ha rimosso il rischio di sfruttamento di tutta una serie di vulnerabilità censite per i suoi prodotti (da CVE-2022-22578 a CVE-2022-22579, da CVE-2022-22583 a CVE-2022-22587 e da CVE-2022-22589 a CVE-2022-22594). 

Particolare interesse destano la CVE-2022-22594 (in quanto ne avevamo già parlato e attendevamo la pubblicazione della patch) e la CVE-2022-22587. Entrambe sono state (o sono) vulnerabilità 0-day; entrambe hanno infatti mostrato un ritardo nella pubblicazione dei dettagli “durante” le azioni correttive implementate da Apple. Per la prima avevamo ancora evidenze nel sistema bugzilla del progetto di uno stato transitorio tra scoperta e soluzione, mentre le seconda è ancora associata (nel momento che scriviamo) ad un CVE indicato come “riservato” sul sito di MITRE (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22587), quindi senza alcuna attribuzione. Entrambi i fenomeni sono caratteristici della riservatezza alla pubblicazione dovuta nel caso di uno 0-day rilevato da ricercatori indipendenti al vendor relativo. 

La CVE-2022-22594 trova finalmente correzione alla violazione della Same Origin Policy

ePO, ePolicy Orchestrator, è lo strumento enterprise di McAfee per il governo della sicurezza in una infrastruttura IT: è un punto focale per l’amministrazione della sicurezza per host ed endpoint, capace si integrare analisi e reazione alle minacce. Proprio nel comparto della protezione dell’endpoint, ePO dialoga con l’agente di McAfee Endpoint Security, ossia McAfee Agent. 

Quindi, se vogliamo, è questo lo strumento che agisce per la sicurezza: ma cosa accade se proprio questa componente ha un difetto tale da consentire un attacco proprio attraverso di essa? 

Di difetti, ossia vulnerabilità, McAfee Agent ne ha esattamente due, così come sono state censite sul database NIST NVD con identificativo CVE-2021-31854, CVE-2022-0166: il NIST non ha ancora eseguito una analisi sulle vulnerabilità, quindi stiamo alle dichiarazioni del vendor che classifica entrambe con uno score alto (7.7 per la CVE-2021-31854 e 7.8 per la CVE-2022-0166). 

Una prima vulnerabilità (CVE-2021-31854) nasce dalla possibilità di iniettare codice nel programma cleanup.exe che fa parte del processo di installazione/disinstallazione/aggiornamento dell’agent: un

Nel cuore del browser dei sistemi di Apple batte un sistema comune a più del 50% dei browser utilizzati sul pianeta: WebKit. Questo ovviamente non per esclusivo merito di Apple (che non detiene quella fascia di mercato), ma per il fatto che questo sistema è frutto della collaborazione di differenti società di sviluppo software. Ricordiamo tra queste Samsung (con il suo Dolphin ed in generale il suo sistema Tizen), Amazon (con il suo Kindle), KDE e fino al 2013 anche Google (con il suo Chrome), che però ha creato un suo sviluppo autonomo del medesimo progetto (ora denominato Blink). 

Naturalmente il progetto comune non contempla un destino comune, in quanto le differenti tecnologie su cui è destinato necessitano di sviluppo autonomo, aprendo lo spazio a che problematiche differenti affliggano le differenti implementazioni. 

È il caso appunto del problema di confidenzialità che è stato riscontrato in questo sistema su dispositivi Apple, che date le convergenze delle tecnologie nei differenti sistemi non ha più importanza indicare se macOS, iOS o iPadOS, ma bensì la generazione: si tratta di generazione 15 per melafonini e pad e 12 per sistemi desktop. 

Tutto nasce da una questione: i programmi utente, pure sul

Nel suo portafoglio di soluzioni alle imprese, Cisco presenta due prodotti per supportare i servizi di assistenza al cliente. Si tratta di Unified Contact Center Enterprise (UCCE) e Cisco Unified Contact Center Express (UCCX). 

UCCE è una applicazione di gestione di livello enterprise basata su tecnologie web utilizzabile da amministratori, utenti e supervisori di un “contact center”, insomma l’assistenza ai clienti. UCCX è la corrispondente per realtà più piccole. 

Naturalmente si tratta di strumenti complessi, che vanno dalla gestione degli operatori, alle chiamate (in ingresso e uscita), sondaggi e business intelligence. In particolare UCCE è adottato da attori effettivamente “molto grandi”. 

Con la vulnerabilità CVE-2022-20658 viene reso pubblico un problema per entrambi i prodotti, ed in particolare (nel solo caso si UCCE che è una suite) la applicazione Cisco Unified Contact Center Management Portal (CCMP), l’insieme delle componenti server per la gestione back-end, inclusa l'autenticazione e altre funzioni di sicurezza nonché la gestione delle risorse coinvolte (da personale ai contatti) e le azioni intraprese (come chiamate telefoniche). 

Il bug ha una valutazione critica di 9.6 e potrebbe consentire ad aggressori remoti e autenticati di elevare i propri privilegi ad amministratore, con la possibilità di creare altri account amministratore. Naturalmente a

Microsoft ha appena corretto un importante bug di sicurezza per il protocollo RDP (Remote Desktop Protocol): ha distribuito la correzione con la Patch Tuesday del 11 gennaio 2022, ma il problema è molto più vecchio, e sembra risalire fino a Window 8.1 e Windows Server 2012 R2. 

Microsoft non è stata la responsabile della scoperta, che è frutto di un team di ricerca indipendente da questa (CyberArk), avvenuta prima del 19/08/2021, data di prima segnalazione a Microsoft del problema. 

L’analisi non compare ancora nel database NVD del NIST, pur essendo la vulnerabilità già censita con CVE-2022-21893: l’analisi completa è invero ottenibile, seguendo le indicazioni di Microsoft nell’annuncio della patch all’indirizzo https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21893, sul sito dei ricercatori, all’indirizzo https://www.cyberark.com/resources/threat-research-blog/attacking-rdp-from-inside. 

Abbiamo a che fare con una vulnerabilità importante, con base score 8.8, che consentirebbe (se non corretta) ad un utente malintenzionato all’interno del perimetro di accedere alle risorse di qualsiasi altro utente si connetta al sistema attraverso la comunicazione RDP. 

In buona sostanza, e semplificando, l’attaccante, con una prima connessione RDP, senza alcun particolare privilegio, prenderebbe il controllo di