Attacchi DDoS e Botnet

Disponibile il report di FortiNet Threat Landscape Report Q1 2018

FortiNet ha pubblicato il report Threat Landscape Q1 2018, che analizza dati raccolti tra gennaio e marzo 2018.

Dal report emerge che la maggior parte (55%) delle infezioni dovute a botnet dura meno di un giorno, il 18% meno di due giorni e solo meno del 5% più di una settimana, segno che le botnet sono sempre in costante evoluzione.

L’infezione dovuta alla botnet Mirai è quelle che dura più a lungo: in media 5 giorni e mezzo; ma è Ghost la botnet prevalente.

Nonostante siano state identificate 268 diverse botnet, il loro numero e la loro attività è in declino nel periodo analizzato; l’attività di crypto-jacking, cioè generazione di criptovalute, è quella principale.

 Ransomware

Ransomware colpisce le iLO HP

Link notizia -> LINK

È stata individuato un malware- il ricercatore M. Shahpasandi è stato tra i primi - che attacca le iLO, le console di gestione remota dei server HP.

Il malware potrebbe essere un ransomware dal momento che chiede un riscatto, ma tecnicamente dovrebbe trattarsi di un attacco meno sofisticato portato a termine manualmente; in ogni caso, le interfacce iLO direttamente esposte in rete sono da considerarsi vulnerabili. Maggiori dettagli sono presenti in questo articolo di BleepingComputer.

Le iLO dovrebbero anzitutto essere aggiornate all’ultima versione, e in ogni caso non essere esposte in rete: la prassi comune è accedere tramite VPN sicura.

Disponibili nuovi strumenti di decifrazione per diversi ransomware

Se da una parte il mondo dei ransomware ogni mese vede nuove minacce, è anche vero che grazie al lavoro di volontari e ricercatori vengono sviluppati strumenti per decifrare i dati cifrati dai ransomware: se non si hanno dei backup pronti da ripristinare, il consiglio è di conservare i file cifrati in attesa di un tool apposito.

L’instancabile Michael Gillespie ha rilasciato uno strumento per CryptConsole (contattare il ricercatore), SepSis, Everbe (sviluppato con Maxime Meignan); la polacca CERT Polksa ha rilasciato uno strumento per Vortex, Sigrun consente di decifrare i dati attaccati, ma solo per gli utenti russi, seguendo uno schema che si sta diffondendo tra i ransomware russi (ossia di non fare danni in Russia, in modo da evitare sanzioni e persecuzioni penali).

La pagina dedicata del progetto NoMoreRansom rimane il punto di riferimento, e il servizio Ransomware ID di MalwareHunter Team permette di identificare quale ransomware ha cifrato i vostri file tra i 500 in catalogo.

Vulnerabilità

Alcuni prodotti server SuperMicro sono vulnerabili

I ricercatori Eclypsium hanno scoperto che alcuni prodotti SuperMicro contengono delle vulnerabilità nel firmware facilmente sfruttabili che li espongono ad attacchi.
Una prima falla di sicurezza è causata dal “Region Descriptor”, che serve ai processori Intel per funzionare: dei permessi impostati non correttamente consentono al software del descrittore di venir eseguito direttamente dal processore; un malware con permessi amministrativi può agire su questo ed arrivare direttamente al processore.

Un’altra falla risiede nel meccanismo di aggiornamento dello UEFI, che richiede di poter scrivere temporaneamente il firmware; anche in questo caso le impostazioni di sicurezza sono permissive e consentono ad aggiornamenti non autenticati di essere eseguiti. Inoltre non è presente un meccanismo di rollback degli aggiornamenti che consente di “annullare” l’update se questo è più vecchio della versione precedente (un vecchio update può contenere quelle modifiche necessarie per sfruttare le vulnerabilità).
Il framework CHIPSEC consente, con un semplice comando (nella fattispecie, chipsec_main -m common.spi_access) di capire se il firmware del proprio server è protetto o meno.

SuperMicro sta collaborando attivamente con il team Eclypsium, e sono già disponibili degli update per alcuni prodotti.

Vulnerabilità consente di loggarsi su iLO HP

È stato recentemente pubblicato un paper che sfrutta la vulnerabilità CVE-2017-12542 e consente di guadagnare con estrema facilità (basta il comando cURL e 29 ‘A’ per l’autenticazione) l’accesso alla console senza autorizzazione ed ottenere dati sugli utenti presenti; tutte le iLO accessibili dalla Rete sono da considerarsi a rischio.

Solo la versione 4 è affetta dalla vulnerabilità, si consiglia di aggiornare ad una versione con firmware 2.54 o superiore. Le versioni 3 e 5 non sono soggette.

News dai vendor

Chrome 67 è ora disponibile

Chrome si aggiorna e arriva alla versione 67, in attesa della 68 in uscita a breve, che conterrà importanti novità sul trattamento dei siti senza certificato SSL.

Una delle maggiori novità sono le API per sensori generici che, come lascia intendere il nome, consentono ai siti di utilizzare i sensori dei dispositivi, in particolare (mobile devices) giroscopio, accelerometro, sensori di orientamento e movimento. Anche le API WebXR Device sono nuove, e consentono di utilizzare Chrome in ambito VR con headset come Oculus Rift e simili.
Lato sicurezza, oltre a 34 bugfix, continua la diffusione di Strict Site Isolation che consente di mitigare i rischi di Spectre.

Office365 non supporterà più Flash, Shockwave e Silverlight

Microsoft annuncia la cessazione del supporto a Flash, Shockwave e Silverlight.
Il blocco avverrà a gennaio 2019 e riguarderà solo gli abbonamenti Office365, ma non le singole installazioni di Office 2016, Office 2013 e Office 2010.
Le ragioni di ciò sono la data di EOL per Flash (2020) e i rischi posti da queste tecnologie obsolete e fallaci.

Tuesday Patch di Microsoft

Come ogni secondo martedì del mese, Microsoft ha rilasciato il pacchetto cumulativo di aggiornamenti per sistemi Windows noto come Patch Tuesday. Viene installato automaticamente se gli aggiornamenti automatici sono abilitati, altrimenti è disponibile tramite Windows Update.

Tra i 53 problemi sistemati ion 15 diversi prodotti, citiamo quelli relativi a Internet Explorer, Microsoft Edge, Microsoft Windows, Microsoft Office e Microsoft Office Services and Web Apps, ChakraCore, Adobe Flash Player, .NET Framework, ASP.NET, Skype for Business e Visual Studio.

In nessun caso le vulnerabilità sono state in precedenza sfruttate per attacchi.

Questo post del blog GFI riassume bene gli aggiornamenti contenuti nel Patch Tuesday.

È possibile selezionare i singoli pacchetti di aggiornamento e trovare ulteriori informazioni sulle patch tramite la Security Update Guide.

L'autore

Riccardo Gallazzi

Sistemista JR, tra i suoi campi di interesse maggiori si annoverano virtualizzazione con vSphere e Proxmox e gestione ambienti Linux. È certificato VMware VCA for Data Center Virtualization.

banner5

fb icon evo twitter icon evo

Parola del giorno

ALOHA è un protocollo di rete sviluppato dalla università delle Hawaii nel 1971 come prima dimostrazione del funzionamento di reti wireless...

>

L'acronimo LTSC (Long Term Servicing Channel), riferito al mondo Microsoft, caratterizza i prodotti server che vengono acompagnati da una politica...

>

L'acronimo SAC (Semi Annual Channel), riferito al mondo Microsoft, caratterizza i prodotti server che vengono acompagnati da una politica di...

>

Project Honolulu è la nuova piattaforma Web (basata su HTML 5) per la gestione centralizzata di host e cluster in...

>

L'acronimo WSL (Windows Subsystem for Linux) indica la tecnologia (un insieme di componenti software) introdotta da Microsoft che permette di eseguire comandi Linux...

>
Leggi anche le altre...

Download del giorno

Fiddler

Fiddler è un server proxy che può girare in locale per consentire il debug delle applicazioni e il...

>

Adapter Watch

Adapter Watch è uno strumento che permette di visualizzare un riepilogo completo e dettagliato delle informazioni riguardanti una determinata...

>

DNS DataView

DNS Lookup  è un tool a interfaccia grafica per effettuare il lookup DNS dal proprio PC, sfruttando i...

>

SolarWinds Traceroute NG

SolarWinds Traceroute NG è un tool a linea di comando per effettuare traceroute avanzati in ambiente Windows...

>

Network Inventory Advisor

Network Inventory Advisor  è uno strumento che permette di scansionare la rete e acquisire informazioni riguardanti tutti i...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 19 - luglio 2018

    GURU advisor: numero 19 - luglio 2018

  • GURU advisor: numero 18 - aprile 2018

    GURU advisor: numero 18 - aprile 2018

  • GURU advisor: numero 17 - gennaio 2018

    GURU advisor: numero 17 - gennaio 2018

  • GURU advisor: numero 16 - ottobre 2017

    GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • GURU advisor: numero 13 -  marzo 2017

    GURU advisor: numero 13 - marzo 2017

  • GURU advisor: numero 12 -  gennaio 2017

    GURU advisor: numero 12 - gennaio 2017

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1