Clio Security

ORIZON AWARE È QUI. Sviluppato in collaborazione con Clio Security e arricchito dai contenuti di DI.GI. Academy, Orizon Aware non è solo un servizio di formazione online: è un ecosistema pensato per rendere la sicurezza un’abitudine quotidiana. ⚫️ CHI deve essere formato? Tutti. Perché la sicurezza non è solo una questione tecnica, ma anche di cultura e consapevolezza. ⚫️ DOVE? Ovunque. Grazie a una piattaforma online intuitiva e accessibile e all'app per dispositivi mobili. ⚫️ PERCHÉ? Perché ogni click, ogni scelta e ogni comportamento contano. Qualcosa sta per cambiare nel modo in cui ci formiamo e proteggiamo il nostro mondo digitale. Stay tuned. #OrizonAware #awareness #cybersecurity #formazione #sicurezza

𝐃𝐚𝐭𝐢 𝐒𝐞𝐧𝐬𝐢𝐛𝐢𝐥𝐢, 𝐏𝐫𝐢𝐯𝐚𝐜𝐲, 𝐕𝐞𝐢𝐜𝐨𝐥𝐢 𝐄𝐥𝐞𝐭𝐭𝐫𝐢𝐜𝐢 𝐞 𝐅𝐨𝐫𝐳𝐞 𝐝𝐞𝐥𝐥’𝐎𝐫𝐝𝐢𝐧𝐞 Un recente scandalo di sicurezza informatica coinvolge Cariad, la divisione software del Gruppo Volkswagen, che ha esposto i dati di circa 800.000 veicoli elettrici. I dettagli trapelati includono informazioni personali dei conducenti e dati di geo-localizzazione con una precisione fino a 10 centimetri. La gravità della situazione cresce ulteriormente quando scopriamo che fra i veicoli compromessi figurano anche le auto della polizia di Amburgo e persino veicoli di potenziali agenti dei servizi segreti. Come si è arrivati a questo punto? Il problema nasce da un’errata configurazione di due applicazioni IT di Cariad, che ha permesso agli hacker del Chaos Computer Club (CCC) di accedere ai dati. I ricercatori hanno scoperto: - 460.000 veicoli con dati di localizzazione estremamente precisi. - Chiavi di accesso salvate in un dump di memoria non protetto. - Informazioni relative ai movimenti di politici tedeschi come Nadja Weippert e Markus Grübel. La rivelazione che oltre 30 veicoli della polizia di Amburgo erano tra quelli compromessi solleva interrogativi inquietanti. Come possono le forze dell’ordine affidarsi a tecnologie così vulnerabili? La possibilità di raccogliere questi dati mette a rischio operazioni sensibili, rivelando dettagli operativi critici. Cariad sostiene che i dati esposti riguardavano esclusivamente veicoli registrati per servizi online e che la privacy dei clienti era protetta tramite pseudonimizzazione. Tuttavia, il CCC ha dimostrato che combinare dataset separati consente comunque di risalire ai conducenti e ai loro spostamenti. #ClioSecurity #DatiSensibili #Privacy #CyberSecurity #Volkswagen #Cariad #DataBreach #GeoLocalizzazione #CloudSecurity #ForzeDellOrdine #SicurezzaNazionale #EthicalHacking #ChaosComputerClub #ProtezioneDati #SicurezzaDigitale #Automotive

Buon Natale da Clio Securit s.r.l.! 🎄 Auguriamo a tutti i nostri follower un Natale pieno di gioia, serenità e sicurezza. Grazie per il vostro continuo supporto e fiducia. Che il 2025 porti nuove opportunità e successi!

Una grave vulnerabilità di Apache Struts 2, recentemente corretta e tracciata come CVE-2024-53677, è attivamente sfruttata da attaccanti tramite exploit proof-of-concept pubblici per individuare dispositivi vulnerabili. Apache Struts è un framework open-source per la creazione di applicazioni web basate su Java, utilizzato da molte organizzazioni, tra cui enti governativi, piattaforme di e-commerce, istituzioni finanziarie e compagnie aeree. La vulnerabilità CVE-2024-53677 (punteggio CVSS 4.0: 9.5, "critica") è stata resa pubblica sei giorni fa da Apache, che l'ha descritta come un bug nella logica di caricamento dei file del software. Questo difetto consente traversal di percorso (path traversal) e il caricamento di file malevoli, con il rischio di esecuzione di codice remoto (RCE). Versioni interessate: Struts 2.0.0 – 2.3.37 (fine del ciclo di vita). Struts 2.5.0 – 2.5.33. Struts 6.0.0 – 6.3.0.2. Come funziona l’attacco? Un attaccante può manipolare i parametri del caricamento dei file per abilitare il traversal di percorso e, in alcuni casi, caricare file malevoli, come web shell. Questi file possono poi essere utilizzati per: -Eseguire comandi da remoto. -Scaricare ulteriori payload malevoli. -Rubare dati sensibili. Johannes Ullrich, ricercatore di ISC SANS, ha riportato tentativi di sfruttamento attivo della vulnerabilità, con l'uso di exploit pubblicamente disponibili o comunque ispirati ad essi. "𝘈𝘣𝘣𝘪𝘢𝘮𝘰 𝘰𝘴𝘴𝘦𝘳𝘷𝘢𝘵𝘰 𝘵𝘦𝘯𝘵𝘢𝘵𝘪𝘷𝘪 𝘥𝘪 𝘦𝘹𝘱𝘭𝘰𝘪𝘵 𝘤𝘩𝘦 𝘤𝘰𝘳𝘳𝘪𝘴𝘱𝘰𝘯𝘥𝘰𝘯𝘰 𝘢𝘭 𝘤𝘰𝘥𝘪𝘤𝘦 𝘗𝘰𝘊. 𝘎𝘭𝘪 𝘢𝘵𝘵𝘢𝘤𝘤𝘩𝘪, 𝘢𝘭 𝘮𝘰𝘮𝘦𝘯𝘵𝘰, 𝘱𝘶𝘯𝘵𝘢𝘯𝘰 𝘢 𝘦𝘯𝘶𝘮𝘦𝘳𝘢𝘳𝘦 𝘴𝘪𝘴𝘵𝘦𝘮𝘪 𝘷𝘶𝘭𝘯𝘦𝘳𝘢𝘣𝘪𝘭𝘪," ha dichiarato Ullrich. Gli attaccanti caricano un file chiamato exploit.jsp, contenente una singola linea di codice per stampare la stringa "Apache Struts". Successivamente, verificano se il server è vulnerabile accedendo allo script caricato. Fino ad ora, gli attacchi sono stati rilevati provenire da un unico indirizzo IP: 169.150.226.162. https://lnkd.in/dnJ9zEnU #ClioSecurity #ApacheStruts #CVE202453677 #CyberSecurity #Java #RemoteCodeExecution #PatchManagement #SicurezzaIT #ProtezioneDati

𝐈 𝐜𝐨𝐝𝐢𝐜𝐢 𝐐𝐑 𝐜𝐡𝐞 𝐚𝐠𝐠𝐢𝐫𝐚𝐧𝐨 𝐥’𝐢𝐬𝐨𝐥𝐚𝐦𝐞𝐧𝐭𝐨 𝐝𝐞𝐥 𝐛𝐫𝐨𝐰𝐬𝐞𝐫 Gli esperti di Mandiant (part of Google Cloud) hanno identificato un nuovo metodo per aggirare l’isolamento del browser utilizzando i codici QR. L’isolamento del browser consente di eseguire script e contenuti delle pagine in un browser remoto (cloud o VM) invece che localmente, filtrando codice potenzialmente dannoso. Tuttavia, Mandiant ha dimostrato che comandi cifrati in codici QR possono essere visualizzati sulla pagina e successivamente intercettati da malware sul dispositivo della vittima, permettendo all’attaccante di aggirare queste protezioni. Il proof-of-concept dell’attacco ha sfruttato un browser locale headless controllato da un malware preinstallato sulla macchina della vittima, che decodifica il QR ricevuto per eseguire istruzioni. La dimostrazione ha utilizzato l’ultima versione di Google Chrome e integrato il payload con Cobalt Strike External C2. Nonostante la sua ingegnosità, questa tecnica ha limiti significativi: - Dimensione dei dati: ogni pacchetto è limitato a 2189 byte, pari al 74% della capacità massima di un codice QR. - Velocità: ogni richiesta richiede 5 secondi, riducendo il trasferimento dati a 438 byte/s, rendendo questa tecnica inadatta a trasferimenti di grandi volumi. Inoltre, misure come il controllo della reputazione del dominio, la scansione degli URL e la prevenzione della perdita di dati possono bloccare l’attacco. Nonostante ciò, gli amministratori di sistema sono invitati a monitorare con attenzione traffico anomalo e attività di browser headless per prevenire eventuali abusi. https://lnkd.in/d84iSzxe #cliosecurity #cybersecurity #browserIsolation #QRCode #Mandiant #GoogleChrome #malware #cyberattack #securitybreach #CobaltStrike #dataprotection #cybernews

"𝐒𝐞𝐜𝐫𝐞𝐭 𝐁𝐥𝐢𝐳𝐳𝐚𝐫𝐝" 𝐡𝐚 𝐟𝐚𝐭𝐭𝐨 𝐮𝐧'𝐚𝐥𝐭𝐫𝐚 𝐝𝐞𝐥𝐥𝐞 𝐬𝐮𝐞 Gli specialisti di Lumen Black Lotus Labs e del Microsoft Threat Intelligence Team hanno scoperto che il gruppo russo di cyber spionaggio Turla (noto anche come Secret Blizzard) ha compromesso l'infrastruttura di un'altra APT, il gruppo pakistano Storm-0156, per condurre attacchi mirati su reti già violate. Questa campagna, iniziata nel dicembre 2022, ha visto Turla ottenere l'accesso a reti già compromesse da Storm-0156, tra cui organizzazioni governative in Afghanistan e India, e installare i propri strumenti dannosi. Una rete di attacchi Secondo Lumen, Storm-0156 si concentrava su obiettivi in India e Afghanistan. Durante il monitoraggio, è stato rilevato un server di comando e controllo con un banner "hak5 Cloud C2", indicando l'uso di dispositivi fisici come Wi-Fi Pineapple in reti governative indiane. Tuttavia, analizzando queste attività, i ricercatori hanno notato anomalie che indicavano l'intervento di Turla. Ad esempio, tre indirizzi IP VPS, già collegati in precedenza a Turla, interagivano con i server. Inoltre, i pattern di trasmissione dati non erano coerenti con le tattiche precedenti di Storm-0156. A partire dalla fine del 2022, Turla ha compromesso diversi server di comando e controllo di Storm-0156, installando malware come il backdoor TinyTurla, TwoDash e altri strumenti come Statuezy e MiniPocket. Obiettivi strategici Microsoft ha rilevato che Turla ha utilizzato l'infrastruttura di Storm-0156 per colpire istituzioni governative afgane, tra cui il Ministero degli Esteri e l'intelligence nazionale, nonché consolati stranieri in Afghanistan. A metà del 2023, Turla ha compiuto un ulteriore passo avanti, spostandosi lateralmente nell'infrastruttura di Storm-0156 fino a comprometterne le workstation. Questo ha permesso loro di accedere a strumenti di Storm-0156, come CrimsonRAT e il trojan Wainscot, oltre a dati rubati e credenziali. In un caso, Turla ha utilizzato un backdoor rubato a Storm-0156 per attaccare un singolo computer in India. Tuttavia, ha anche installato backdoor sui server di Storm-0156 che ospitavano informazioni rubate da istituzioni militari indiane. "Strumenti e endpoint di hacker ‘governativi’ e criminali sono vulnerabili poiché non adottano moderni stack di sicurezza," spiegano gli esperti di Lumen. "Se installano prodotti di protezione, rischiano di rivelare informazioni su di loro e sui loro strumenti sconosciuti." Questo modus operandi non è nuovo per Turla. Nel 2019, il gruppo ha sfruttato l'infrastruttura dell'iraniana OilRig per i propri attacchi, rubando dati come log, credenziali e costruttori di malware. Più recentemente, nel 2023, gli analisti di Mandiant hanno scoperto che Turla aveva preso il controllo dei server di un vecchio botnet Andromeda per individuare nuovi obiettivi per operazioni di spionaggio. #ClioSecurity #Turla #APT #CyberEspionage #CyberSecurity #Storm0156 #Malware #ThreatIntel

𝐏𝐫𝐨𝐝𝐮𝐭𝐭𝐨𝐫𝐞 𝐬𝐮𝐝𝐜𝐨𝐫𝐞𝐚𝐧𝐨 𝐚𝐜𝐜𝐮𝐬𝐚𝐭𝐨 𝐝𝐢 𝐚𝐯𝐞𝐫 𝐢𝐧𝐭𝐞𝐠𝐫𝐚𝐭𝐨 𝐟𝐮𝐧𝐳𝐢𝐨𝐧𝐚𝐥𝐢𝐭à 𝐃𝐃𝐨𝐒 𝐢𝐧 ... 𝐫𝐢𝐜𝐞𝐯𝐢𝐭𝐨𝐫𝐢 𝐬𝐚𝐭𝐞𝐥𝐥𝐢𝐭𝐚𝐫𝐢... La polizia sudcoreana ha arrestato il CEO e cinque dipendenti di un'azienda accusata di aver prodotto oltre 240.000 ricevitori satellitari con funzionalità DDoS integrate, attivate su richiesta degli acquirenti. Dal 2018, un'azienda cliente aveva richiesto al produttore sudcoreano di aggiungere un modulo DDoS ai dispositivi per contrastare presunti attacchi da parte di concorrenti. Tra il 2019 e il 2024, circa 98.000 dispositivi sono stati venduti con il modulo preinstallato, mentre altri hanno ricevuto l’aggiornamento tramite firmware. Gli utilizzatori finali, inconsapevoli, hanno partecipato agli attacchi, subendo rallentamenti nelle prestazioni dei dispositivi. Gli attacchi DDoS, sempre illegali se diretti a sistemi esterni, hanno esposto l'azienda produttrice e i suoi operatori a gravi accuse legali. L'indagine è iniziata dopo che Interpol ha condiviso informazioni secondo cui un’azienda straniera importava ricevitori satellitari con funzionalità DDoS da un produttore coreano. La polizia ha confermato che il modulo veniva attivato durante aggiornamenti firmware. Sei persone sono state arrestate con accuse legate alla violazione delle leggi sulla sicurezza delle reti e comunicazioni. La corte ha approvato il sequestro dei beni aziendali, inclusi 61 miliardi di KRW (circa 4,35 milioni di dollari) ricavati dalla vendita dei ricevitori compromessi. Le autorità coreane stanno cercando collaborazione internazionale per rintracciare i responsabili delle aziende clienti che hanno commissionato questi dispositivi. #ClioSecurity #CyberSecurity #DDoS #Hacking #ViolazioniLegali #AttaccoInformatico #Interpol #SicurezzaReti #Corea

𝐑𝐚𝐧𝐬𝐨𝐦𝐰𝐚𝐫𝐞: 𝐈𝐥 𝐩𝐫𝐨𝐝𝐮𝐭𝐭𝐨𝐫𝐞 𝐝𝐢 𝐯𝐨𝐝𝐤𝐚 𝐝𝐢𝐜𝐡𝐢𝐚𝐫𝐚 𝐛𝐚𝐧𝐜𝐚𝐫𝐨𝐭𝐭𝐚 Le filiali americane del gruppo Stoli hanno dichiarato bancarotta a causa di 𝐮𝐧 𝐚𝐭𝐭𝐚𝐜𝐜𝐨 𝐫𝐚𝐧𝐬𝐨𝐦𝐰𝐚𝐫𝐞 𝐬𝐮𝐛𝐢𝐭𝐨 𝐚𝐝 𝐚𝐠𝐨𝐬𝐭𝐨. L'attacco informatico ha gravemente compromesso i sistemi IT del gruppo, bloccando la piattaforma ERP (Enterprise Resource Planning) e forzando le operazioni in modalità manuale. 𝐐𝐮𝐞𝐬𝐭𝐨 𝐡𝐚 𝐩𝐚𝐫𝐚𝐥𝐢𝐳𝐳𝐚𝐭𝐨 𝐟𝐮𝐧𝐳𝐢𝐨𝐧𝐢 𝐞𝐬𝐬𝐞𝐧𝐳𝐢𝐚𝐥𝐢, 𝐜𝐨𝐦𝐞 𝐥𝐚 𝐜𝐨𝐧𝐭𝐚𝐛𝐢𝐥𝐢𝐭à, 𝐜𝐨𝐧 𝐮𝐧 𝐩𝐢𝐞𝐧𝐨 𝐫𝐞𝐜𝐮𝐩𝐞𝐫𝐨 𝐩𝐫𝐞𝐯𝐢𝐬𝐭𝐨 𝐧𝐨𝐧 𝐩𝐫𝐢𝐦𝐚 𝐝𝐞𝐥𝐥'𝐢𝐧𝐢𝐳𝐢𝐨 𝐝𝐞𝐥 2025. Chris Caldwell, Presidente e CEO di Stoli USA e Kentucky Owl, ha dichiarato: "𝘓’𝘢𝘵𝘵𝘢𝘤𝘤𝘰 𝘩𝘢 𝘤𝘢𝘶𝘴𝘢𝘵𝘰 𝘨𝘳𝘢𝘷𝘪 𝘱𝘳𝘰𝘣𝘭𝘦𝘮𝘪 𝘰𝘱𝘦𝘳𝘢𝘵𝘪𝘷𝘪 𝘪𝘯 𝘵𝘶𝘵𝘵𝘦 𝘭𝘦 𝘴𝘰𝘤𝘪𝘦𝘵à 𝘥𝘦𝘭 𝘨𝘳𝘶𝘱𝘱𝘰, 𝘪𝘮𝘱𝘦𝘥𝘦𝘯𝘥𝘰 𝘭𝘢 𝘨𝘦𝘯𝘦𝘳𝘢𝘻𝘪𝘰𝘯𝘦 𝘥𝘪 𝘳𝘦𝘱𝘰𝘳𝘵 𝘧𝘪𝘯𝘢𝘯𝘻𝘪𝘢𝘳𝘪 𝘱𝘦𝘳 𝘪 𝘤𝘳𝘦𝘥𝘪𝘵𝘰𝘳𝘪 𝘦 𝘱𝘰𝘳𝘵𝘢𝘯𝘥𝘰 𝘢𝘭 𝘥𝘦𝘧𝘢𝘶𝘭𝘵 𝘴𝘶 𝘶𝘯 𝘥𝘦𝘣𝘪𝘵𝘰 𝘥𝘪 78 𝘮𝘪𝘭𝘪𝘰𝘯𝘪 𝘥𝘪 𝘥𝘰𝘭𝘭𝘢𝘳𝘪." #CyberSecurity #Ransomware #StoliVodka #AttaccoInformatico #Bancarotta #PMI #SupportoUcraina #ControversiaLegale

𝐙𝐚𝐛𝐛𝐢𝐱 𝐚𝐯𝐯𝐢𝐬𝐚 𝐠𝐥𝐢 𝐮𝐭𝐞𝐧𝐭𝐢 𝐝𝐢 𝐮𝐧𝐚 𝐯𝐮𝐥𝐧𝐞𝐫𝐚𝐛𝐢𝐥𝐢𝐭à 𝐜𝐫𝐢𝐭𝐢𝐜𝐚 È stata individuata una grave vulnerabilità (9,9 su 10 nella scala CVSS) nel software open-source Zabbix, utilizzato per il monitoraggio e la raccolta di telemetria da sistemi IT nelle reti aziendali, incluse postazioni di lavoro, server e risorse cloud. Zabbix, essendo uno strumento open-source, è particolarmente apprezzato dalle piccole e medie imprese per la sua flessibilità e convenienza. Secondo nostra ricerca, in Italia sono solo 697 i server Zabbix esposti su Internet, ma ogni server conta quando si tratta di sicurezza. Proteggiamo insieme ciò che conta davvero. ;) Questa vulnerabilità permette a un attaccante remoto di prendere il controllo dei server Zabbix sfruttando l'API della piattaforma. Identificata come CVE-2024-42327, questa falla è un caso di SQL Injection. Gli sviluppatori Zabbix spiegano che per sfruttarla è sufficiente un account non amministrativo con ruolo predefinito di “User” o qualsiasi altro ruolo che permetta l’accesso all’API. Secondo il report: «Nel metodo CUser della funzione addRelatedObjects esiste un SQLi. Questa funzione è richiamata da CUser.get, accessibile a qualunque utente con permesso API». 𝐋𝐞 𝐯𝐞𝐫𝐬𝐢𝐨𝐧𝐢 𝐝𝐢 𝐙𝐚𝐛𝐛𝐢𝐱 𝐢𝐧𝐭𝐞𝐫𝐞𝐬𝐬𝐚𝐭𝐞 𝐝𝐚𝐥𝐥𝐚 𝐯𝐮𝐥𝐧𝐞𝐫𝐚𝐛𝐢𝐥𝐢𝐭à 𝐬𝐨𝐧𝐨: 6.0.0-6.0.31 (risolta in 6.0.32rc1); 6.4.0-6.4.16 (risolta in 6.4.17rc1); 7.0.0 (risolta in 7.0.1rc1). Gli esperti di sicurezza di Qualys segnalano che, tramite il motore di ricerca Fofa, sono stati individuati oltre 83.000 server Zabbix esposti su internet e vulnerabili alla CVE-2024-42327. https://lnkd.in/eQ-x94Cy #ClioSecurity #CyberSecurity #Zabbix #Vulnerabilità #SQLInjection #AggiornamentoSicurezza #CVE2024

𝐋𝐚 𝐧𝐮𝐨𝐯𝐚 𝐟𝐮𝐧𝐳𝐢𝐨𝐧𝐞 𝐝𝐢 𝐢𝐎𝐒 18.1 𝐜𝐨𝐦𝐩𝐥𝐢𝐜𝐚 𝐥𝐞 𝐚𝐭𝐭𝐢𝐯𝐢𝐭à 𝐟𝐨𝐫𝐞𝐧𝐬𝐢 A novembre si è scoperto che i criminalisti sono preoccupati per un comportamento anomalo degli iPhone: i dispositivi si riavviano automaticamente se non sono connessi alla rete cellulare per un certo periodo di tempo. I ricercatori hanno confermato che con il rilascio di iOS 18.1, gli sviluppatori di Apple hanno aggiunto una nuova funzione di protezione. Ora i dispositivi possono riavviarsi autonomamente, complicando notevolmente il successivo sblocco dei telefoni, come nel caso di dispositivi sequestrati ai criminali. Il riavvio spontaneo porta il dispositivo dallo stato di «dopo la prima sblocco» (After First Unlock, AFU) a «prima della prima sblocco» (Before First Unlock, BFU), rendendo più difficile l'uso degli strumenti di hacking da parte dei criminalisti. Lo stato BFU rende l'estrazione dei dati praticamente impossibile, poiché anche il sistema operativo non può più accedere ai dati usando le chiavi di cifratura memorizzate nella memoria (appunto asente nella memoria post reboot). I rappresentanti di Apple non hanno risposto alle domande riguardo alla nuova funzione di protezione in iOS 18 che potrebbe portare i dispositivi a riavviarsi da soli, complicando il lavoro degli esperti. Tuttavia, la ricercatrice Jiska Classen dell'istituto Hasso Plattner ha scoperto che in iOS è stata effettivamente introdotta una nuova protezione. La funzione di inactivity reboot (riavvio per inattività) è implementata in keybagd e nell'estensione del kernel AppleSEPKeyStore. La funzione sembra non essere correlata allo stato del telefono o alla rete wireless. L'archivio delle chiavi viene utilizzato per sbloccare il dispositivo, quindi se l'iPhone non viene sbloccato per un certo periodo, si riavvia automaticamente. Gli sviluppatori di GrapheneOS hanno spiegato che nei dispositivi iOS tutti i dati sono cifrati con una chiave creata al momento dell'installazione o configurazione del sistema operativo. Quando un iPhone viene sbloccato tramite PIN o dati biometrici, il sistema operativo carica le chiavi di cifratura nella memoria. Dopo di che, se è necessario accedere a un file, questo viene automaticamente decifrato utilizzando queste chiavi. Tuttavia, dopo il riavvio, l'iPhone passa in uno stato di «riposo» e non memorizza più le chiavi di cifratura, rendendo praticamente impossibile la decodifica dei dati. Secondo gli sviluppatori di GrapheneOS, in iOS 18.1 è stato implementato un timer speciale che riavvia il dispositivo dopo quattro giorni di inattività. #ClioSecurity #iPhone #iOS18 #CyberSecurity #ProtezioneDati #Apple #Cifratura #RiavvioPerInattività #SicurezzaiPhone #SicurezzaMobile #GrapheneOS #NotizieTecnologiche