Attacchi DDoS e botnet
Linux.MulDrop.14 colpisce Raspberry PI per mining di cripto-valute
I ricercatori Dr.Web hanno scoperto un malware – Linux.MulDrop.14 – che colpisce Raspberry PI, il popolare computer su singola scheda usato in vari ambiti, che infetta i dispositivi e li aggiunge ad una botnet che fa mining di cripto-valute.
Nel caso in questione i dispositivi con le credenziali di default intatte e raggiungibili via SSH dall’esterno: il malware si installa nel device, cambia la password di accesso e aggiunge vari pacchetti, tra cui le librerie necessarie ad eseguire il mining di cripto-valute, ZMap per eseguire scansioni in rete in cerca di device vulnerabili e sshpass per eseguire la login sui sistemi trovati.
Una volta infettati l’unico modo per eliminare il malware è reinstallare il sistema operativo. Naturalmente le credenziali di default (pi:raspberry) vanno cambiate.
Magala, la botnet che fa aggressive advertising
Kaspersky annuncia la scoperta di Magala, una nuova botnet che esegue aggressive advertising. I computer infetti dal Magala Trojan Clicker eseguono visualizzazioni fittizie di annunci, generando anche $350 al mese. Soprattutto le PMI ci rimettono perché, se si affidano agli inserzionisti sbagliati, pagano per pubblicità che non viene di fatto vista.
Magal, attivo soprattutto in Germania e USA, imita l’azione di un utente su una pagina web, incrementando il contatore delle impressioni legate al sito. Il malware viene distribuito tramite siti infetti e si installa automaticamente sul sistema: una volta attivo contatta il server C&C per ottenere una lista di siti di cui aumentare i click.
Kaspersky Labs afferma che in media il costo di un click (CPC) in queste campagne è di $0,07 e il costo per mille (CPM) è di $2,2; un computer può generare facilmente $350.
“Sebbene questo tipo di advertising fraudolento è noto da tempo, l’emergere di nuove botnet specializzate in questa area indica che c’è una richiesta per questo tipo di promozione. Le PMI per abbattere i costi si affidano a queste soluzioni rovinando gli sforzi fatti in termini di advertising”, conclude Sergey Yunakovsky, security expert di Kaspersky Lab.
Studio rivela che il 15% degli utenti non cambia le credenziali di default dei dispositivi IoT
Uno studio di Positive Technologies, provider di soluzioni per gestione sicurezza e compliance, ha rilasciato uno studio dal quale emergono dati preoccupanti.
Su tutti la percentuale di utenti che non cambiano le credenziali di default dei dispositivi IoT -15%- e il numero di password richiesto per accedere al 10% dei dispositivi in rete: 5.
Questi dati sono preoccupanti perché definiscono le dimensioni del problema legato ad un settore, quello dell’IoT, in costante crescita e per il quale cresceranno nel medio-breve termine le sfide legate alla sicurezza: le botnet come Mirai sfruttano attacchi brute-force con un insieme modesto di credenziali (62, afferma lo studio) e un livello ingegneristico tutto sommato modesto, il danno è reso possibile dall’incuranza degli utenti.
Serve quindi una forte sensibilizzazione al problema anzitutto da parte degli “addetti ai lavori”, e questo studio offre dei numeri e degli spunti di riflessioni interessanti.
Fortunatamente i produttori si stanno adeguando fornendo prodotti con un livello di sicurezza intrinseco migliore.
Ransomware
WannaCry continua ad essere attivo
A più di un mese dall’attacco originale, WannaCry continua ad essere attivo e ad infettare i sistemi. Non è in corso un altro attacco, più semplicemente ci sono dei sistemi a cui non sono ancora state applicate le patch necessarie e sono quindi vulnerabili ad isolati attacchi del ransomware.
Ad esempio in Australia ha infettato 5 autovelox e semafori nello stato di Victoria. L’incidente è avvenuto durante delle operazioni di manutenzione quando è stata collegata un drive USB infetto ai dispositivi, i quali usano Windows e non erano aggiornati.
Un impianto di produzione Honda in Giappone ha dovuto fermarsi a causa di WannaCry, probabilmente importato a causa di un singolo dispositivo infettato che, dopo essere stato installato in azienda, ha colpito tutti gli altri sistemi in rete.
ID Ransomware rileva più di 400 diversi tipi di ransomware
ID Ransomware, lo strumento che permette di rilevare il malware che ha cifrato i vostri dai, raggiunge il traguardo dei 400 ransomware identificati.
Il tool, creato da Michael Gillespie, è molto semplice da usare: basta caricare la nota di riscatto (ransom note), un file cifrato o inserire gli indirizzi email contenuti nella nota di riscatto per conoscere il ransomware che ha cifrato i dati.
Se è disponibile uno strumento o delle procedure per la decrittazione, ID Ransomware lo rende noto.
Rilasciati strumenti di decifrazione per XData, Jaff, EncrypTile, NemucodAES, Mole02 CryptoMix, BTCWare, Executioner, Petya, Mischa.
Come ogni mese, ecco la rassegna dei nuovi tool di decrittazione rilasciati.
Kaspesky Labs ha creato degli strumenti per XData e Jaff, entrambi decrittabili con lo strumento per Rakhni (appartengono alla stessa famiglia di malware)
Prima di eseguire la decrittazione occorre fermare i processi dei ransomware da Task Manager: sono msdns.exe, mssql.exe, o mscom.exe per XData, SKM_C224e9930.exe per Jaff.
Emsisoft offre un tool per Nemucod.
BleepingComputer mette a disposizione nuovi strumenti per Striked, DCry e Mole02. Il lavoro è frutto della collaborazione con Michael Gillespie, autore del sito ID-Ransomware che identifica il ransomware di cui si è vittima. Lo stesso ricercatore afferma che può decifrare i file cifrati da Executioner: contattarlo in caso di necessità.
Avast rilascia tool per Encryptile. Gli strumenti meno recenti per ransomware come AES_NI, BTCWare, CrySiS, Crypt888, e XData sono stati aggiornati.
Infine, Malwarebytes ha rilasciato uno strumento per Petya: Red Petya, Green Petya, Mischa e Goldeneye.
Il ransomware Locky torna e prende di mira Windows XP e Vista
Il Ransomware Locky sembrava essere definitivamente scomparso, e invece sta tornando, come riferiscono i ricercatori Talos in un articolo.
Locky viene distribuito tramite email spam dalla botnet Necurs ed è inoffensivo nei confronti dei sistemi operativi Windows da 7 in poi con Data Execution Prevention (DEP), ma è efficace su XP e Vista.
La nuova versione è stata rilasciata dopo che Kaspersky Labs ha creato uno strumento di decrittatura per Jaff, il ransomware erede di Locky creato dagli stessi autori.
Probabilmente a causa della fretta nel rimettere in circolazione Locky, gli autori hanno fatto degli errori nella riscrittura, causandone l’inefficacia su determinati sistemi operativi. Il ransomware viene diffuso via email come allegato zip.
Infine, sono state aggiunte delle misure anti-debugging che rendono impossibile lo studio in ambienti virtuali.
Vulnerabilità
Le telecamere Foscam sono piene di vulnerabilità
Le telecamere Foscam (che sono anche vendute white label ad altre società, come ad esempio Opticam) hanno diversi problemi di sicurezza, a quanto riporta F-Secure in un opuscolo dedicato.
In particolare sono stati analizzati due modelli – Foscam C2 e Opticam i5 HD – ma è verosimile che le stesse vulnerabilità siano presenti anche in altri modelli. F-Secure afferma che le telecamere Foscam sono brandizzate anche da altri 14 marchi: Chacon, Thomson, 7links, Opticam, Netis, Turbox, Novodio, Ambientcam, Nexxt, Technaxx, Qcam, Ivue, Ebode e Sab.
Le 18 vulnerabilità trovate permettono di prendere controllo del dispositivo e anche, in alcuni casi, della rete locale; si tratta di credenziali di default non sicure e hard-coded, remote code injection, permessi insufficienti su cartelle e file, una funzione Telnet nascosta, firewall che rivela informazioni sulle credenziali. Una lista completa e dettagliata e completa delle vulnerabilità è presente nel file linkato.
Foscam è stata informata delle vulnerabilità tempo fa ma non ha rilasciato aggiornamento al firmware.
Devil’s Ivy è una vulnerabilità contenuta nella popolare libreria gSOAP
I ricercatori Senrio hanno scoperto una vulnerabilità, chiamata Devil’s Ivy, e contenuta in gSOAP (Simple Object Access Protocol), un popolare toolkit che permette ai dispositivi che lo usano di comunicare in rete.
La vulnerabilità prende il nome da una pianta, l’edera del diavolo, che è quasi impossibile da eradicare una volta che infesta una zona: similmente, la vulnerabilità è quasi impossibile da debellare dato che si propaga velocemente tramite riuso del codice, dal momento che fa parte di un toolkit usato milioni di volte da sviluppatori e grandi aziende come IBM, Microsoft, Adobe e Xerox.
Devil’s Ivy, scoperta in un modello di telecamera di sicurezza di Axis Communications, sfrutta una vulnerabilità del tipo buffer overflow che permette l’esecuzione remota di codice, permettendo ad un hacker di ottenere l’accesso al feed video o bloccare l’accesso allo stesso feed al proprietario della telecamera.
Senrio raccomanda di non mettere in rete i dispositivi che sfruttano gSOAP, proteggere al meglio i device IoT connessi e di applicare le patch rilasciate dai vendor non appena possible.
Genivia, la società che sviluppa gSOAP, ha rilasciato una patch.
Bug in systemd permette attacco via DNS su sistemi Linux
Un bug in systemd -il gestore di sistema e servizi per Linux- permette agli hacker di crashare o prendere controllo dei sistemi Linux tramite pacchetti DNS malevoli.
La vulnerabilità, catalogata come CVE-2017-9445, è stata scoperta da Chris Coulson di Canonical: “un server DNS malevolo può sfruttare la vulnerabilità dispondendo con un payload TCP appositamente creato per ingannare systemd-resolved [un servizio di sistema che garantisce la risoluzione di nomi di rete ad applicazioni locali, ndr] e farlo allocare uno spazio buffer troppo piccolo, e quindi scrivere dati arbitari oltre i suoi confini”. I dati scritti possono permettere all’attaccante di mandare in crash systemd or scrivere dati in memoria, quindi eseguire codice sul sistema.
Canonical ha rilasciato update per Ubuntu 16.10 e 17.04, Red Hat afferma che la vulnerabilità non colpisce le versioni di systemd contenute in RHEL 7 mentre Debian tranquillizza gli utenti: systemd-resolved non è abilitato di default.
SambaCry usato per colpire vecchi NAS Linux
Come anticipato lo scorso maggio nel Bollettino Sicurezza, la vulnerabilità CVE-2017-7494 (soprannominata SambaCry dato che, come per WannaCry, colpisce il protocollo SMB) è stata sfruttata per un exploit.
I ricercatori TrendMicro hanno infatti rilevato un malware, soprannominato SHELLBIND, che colpisce in particolar modo le appliance NAS ma anche altri device dell’IoT.
SHELLBIND è un trojan backdoor che permette di aprire una shell remota sui sistemi infetti; modifica le regole di firewall aprendo la porta 61422 TCP per permettere all’hacker di connettersi al dispositivo. A questo punto questi ha il controllo totale del NAS.
Solo le versioni di Samba da 3.5.0 in poi sono vulnerabili all’exploit; Samba ha rilasciato patch per le versioni 4.6.4, 4.5.10 e 4.4.14, disponibili a questo indirizzo. Se non è possibile aggiornare la versione di Samba, aggiungere questa stringa nella sezione delle configurazioni globali al file smb.conf e riavviare smbd.
nt pipe support = no
News dai vendor
Eternal Blues permette di scoprire se si è affetti dalla vulnerabilità EternalBlue
Elad Erez, security researcher, ha creato uno strumento chiamato Eternal Blues che verifica se i computer su una rete sono vulnerabili ad exploit basati su ETERNAL BLUE, l’exploit targato NSA usato da WannaCry e NotPetya.
Pur essendo meno completo e avanzato come NMap, Eternal Blues è semplice ed immediato e alla portata di tutti; sfrutta Google Analytics per raccogliere dati anonimi.
Lo strumento è disponibile a questo indirizzo, e questa pagina contiene delle interessanti statistiche di utilizzo: più di 8 milioni di indirizzi IP controllati, più del 50% degli host hanno SMBv1 ancora abilitato, 1 host ogni 9 è vulnerabile a ETERNAL BLUE.
Cosa fare se si è vulnerabili?
Applicare la patch MS17-010 a Windows, impostare gli aggiornamenti automatici, disabilitare SMBv1, verificare periodicamente lo stato di sicurezza della rete con uno scanner apposito.
Apple rilascia aggiornamenti di sicurezza, anche per il bug Broadpwn
Apple rilascia diversi aggiornamenti di sicurezza, il più importante riguarda il bug Broadpwn, che permette all’hacker di prendere controllo dei dispositivi iOS che utilizzano chipset wifi Broadcom. Il bug è risolto per watchOS, macOS e tvOS, oltre che per iOS.
Gli altri aggiornamenti di sicurezza riguardano tvOS, iTunes e iCloud per Windows, Safari, macOS, iOS e watchOS.
Android rilascia patch per bug Broadpwn
Anche Android è interessato dal bug Broadpwn che colpisce i chipset wifi Broadcom.
In particolare, i dispositivi con chipset Broadcom BCM43xx sono vulnerabili ad attacchi da parte di hacker. Ulteriori informazioni sul bug sono disponibili a questo indirizzo.
La patch è contenuta nell’update mensile di sicurezza di luglio.
Avast acquisisce Piriform
Avast rende nota l’acquisizione di Piriform, la software house nota soprattutto per il software CCleaner, usato da 130 milioni di utenti, inclusi 15 milioni su sistema operativo mobile Android.
Piriform sviluppa altri tool per la manutenzione del computer come Recuva (recupero file cancellati), Speccy (recupero informazioni sul sistema) e Defraggler (deframmentazione disco).
Vince Steckler, CEO di Avast, commenta così: “Il brand CCleaner si intona molto bene con Avast per diverse ragioni. Entrambi crediamo in prodotti gratuiti di alta qualità. La gente non usa un prodotto solo perchè è gratuito, anzi è l’opposto: devi convincere i clienti che il prodotto è gratuito, ma non di poco valore. Bisogna offrire un prodotto solido e valido così che la gente sceglie di usarlo e lo raccomanda ad amici e conoscenti. CCleaner e Avast sono noti per i loro prodotti leggeri ed innovativi. La tecnologia e i prodotti di Piriform sono estremamente robusti. Manterremo i prodotti Piriform separati dal portfolio Avast, e i clienti Piriform continueranno a ricevere l’attenzione e il supporto a cui sono abituati.”
Adobe rilascia patch per Flash Player
Adobe ha rilasciato ben 12 patch per Flash Player nelle ultime settimane.
I security bulletin di giugno includono aggiornamenti per Flash Player ed altri prodotti Adobe, come Adobe Shockwave Player, Adobe Captivate e Adobe Digital Editions.
Le patch per Flash Player riguardano attacchi del tipo Remote Code Execution.
I security bulletin di luglio riguardano Adobe Connect e Flash Player.
Anche in questo caso le patch riguardano attacchi del tipo Remote Code Execution che può risultare nella presa di controllo del sistema infettato, e attacchi sfruttando vulnerabilità del tipo Information Disclosure e Memory address disclosure. Si consiglia di eseguire l’update il prima possibile.
Microsoft Patch Tuesday di luglio corregge 55 problemi di sicurezza
Patch Tuesday, l’aggiornamento mensile cumulativo di sicurezza Microsoft, è stato rilasciato come per ogni mese il secondo martedì di luglio. La patch di questo mese contiene 55 aggiornamenti di sicurezza.
I prodotti che hanno ricevuto degli aggiornamenti sono Internet Explorer, Microsoft Edge, Microsoft Windows, Microsoft Office e Microsoft Office Services and Web Apps, .NET Framework, Adobe Flash Player e Microsoft Exchange Server.
Dal momento che Microsoft ha smesso ad aprile di fornire un bollettino completo sugli aggiornamenti, è possibile usare uno script PowerShell creato da John Lambert di Microsoft per ottenere le informazioni sulle patch.
Una lista completa e dettagliata degli aggiornamenti è disponibile a questo indirizzo.
Anche Google Chrome non supporta più i certificati rilasciati da StartCom
Google non supporterà più i certificati SSL rilasciati da StartCom (e dalla proprietaria WoSign) dalla prossima versione di Chrome, la 61, prevista per settembre.
Il motivo riguarda l’impossibilità del vendor di mantenere gli alti standard richiesti alle CA - Certificate Authority.
In agosto 2017 Google è stata avvisata dal team di sicurezza di GitHub che WoSign ha rilasciato un certificato per uno dei domini diGitHub ad un utente GitHub senza autorizzazione. L’indagine condotta con Mozilla ha portato alla luce molti altri certificati rilasciati illecitamente da WoSign.
Anche Apple e Mozilla non supportano più i certificati di StartCom/WoSign.