Attacchi sull’Italia, breach nel mondo, vulnerabilità sfruttate ITW

Italia: nuove offensive di NoName057(16) e presunti attacchi ransomware colpiscono il Paese

Anche nell’ultima settimana il collettivo hacktivista NoName057(16) ha rivendicato attacchi DDoS contro i siti di diverse organizzazioni italiane. Tra le presunte vittime figurano la CONSOB e molteplici target legati al settore dei trasporti tra cui, AMAT Palermo, Siena Mobilità, GTT, CTM, ACTV, SAD e Trentino Trasporti, oltre ai Porti di Trieste, Taranto e il sito dell’azienda triestina che sviluppa software per il settore marittimo Sinfomar. Il gruppo filorusso, tuttavia, non si è fermato ai soli portali italiani, ma ha preso di mira anche pagine danesi, spagnole, lettoni, bulgare, ceche, svizzere e canadesi. Oltre a ciò, il bel Paese si è trovato anche al centro di varie offensive ransomware. LockBit Team ha annunciato la violazione del resort italiano Preidlhof; mentre 8BASE Team ha reclamato sul proprio sito dei leak la compromissione della multinazionale italiana Gruppo Cimbali S.p.A. Dal canto suo Compass Group Italia S.p.A., realtà parte di Compass Group PLC, ha rilasciato sul proprio portale ufficiale un comunicato stampa nel quale dichiara di essere recentemente caduta vittima di un incidente informatico che ha interessato una parte dei suoi sistemi. Al momento non sono disponibili ulteriori informazioni; tuttavia, alcune indiscrezioni parlano di un presunto attacco ransomware sferrato da Akira Team. Infine, Azienda USL di Modena, Azienda Ospedaliero-Universitaria di Modena e Ospedale di Sassuolo S.p.A. hanno comunicato che nella notte tra il 28 e 29 novembre i loro sistemi informatici sono stati attaccati. L’offensiva ha caratteristiche simili a quanto avvenuto nei mesi scorsi in altre regioni. In particolare, l’evento ha causato il blocco delle attività dei centri prelievi, riservando l’esecuzione degli esami di laboratorio alle sole urgenze ospedaliere.

Breach: varie implicazioni a livello globale

Diversi breach sono stati individuati anche a livello internazionale, tra questi la società statunitense General Electric (GE) sta indagando su un presunto data leak a seguito della pubblicazione su un noto forum underground di un annuncio di vendita relativo ad accessi SSH, SVN e a dati dell’azienda stessa. Il provider IT britannico dedicato esclusivamente al settore legale CTS ha annunciato di essere caduto vittima di un incidente informatico causa di un’interruzione che ha avuto un impatto su una parte dei servizi offerti ad alcuni dei propri clienti. Sebbene CTS non abbia ancora rivelato la natura dell’attacco o il numero di clienti colpiti, questi ultimi potrebbero potenzialmente essere centinaia. Media locali riportano che potrebbero essere stati impattati tra gli 80 e i 200 studi legali. D’altra parte, LockBit Team ha rivendicato sul proprio sito dei leak la compromissione di National Aerospace Laboratories (NAL), azienda aerospaziale indiana istituita dal Consiglio per la ricerca scientifica e industriale (CSIR); mentre Okta ha rilasciato ulteriori dettagli in merito alla violazione avvenuta due mesi fa che ha coinvolto il sistema di gestione dei casi di assistenza (noto anche come Okta Help Center), affermando che l’avversario ha scaricato un report contenente i nomi e gli indirizzi e-mail di tutti gli utenti del suo sistema di assistenza clienti. Infine, il governo di Tokyo ha dichiarato che l’Agenzia spaziale giapponese (JAXA) è stata probabilmente colpita da un attacco informatico, aggiungendo che quest’ultimo non ha coinvolto informazioni sensibili relative a razzi o satelliti. Fonti vicine alla questione hanno riferito che l’agenzia non era a conoscenza della possibile violazione avvenuta durante l’estate fino a quando non è stata contattata dalle Forze dell’Ordine in autunno.

Vulnerabilità: sfruttati ITW problemi di sicurezza di Google, Apple e ownCloud

Nuove 0-day sono state sanate da Google ed Apple. Per quanto riguarda la casa di Mountain View, tracciata con codice CVE-2023-6345 e sanata negli aggiornamenti per Chrome, la falla è una Integer Overflow in Skia, una libreria grafica 2D open-source scritta in C++. Google ha dichiarato di essere a conoscenza dell’esistenza ITW di un exploit per questa falla; tuttavia, ha affermato che i dettagli sul problema saranno resi pubblici solo quando la maggioranza degli utenti avrà effettuato l’aggiornamento. Da parte sua, Apple ha rilasciato gli aggiornamenti dei propri sistemi operativi iOS 17.1.2, iPadOS 17.1.2 e macOS Sonoma 14.1.2, oltre alla versione 17.1.2 di Safari, per correggere due problemi di sicurezza attivamente sfruttati ITW. Identificati come CVE-2023-42916 e CVE-2023-42917 sono rispettivamente una Out-of-bounds Read e una Memory Corruption nel motore di rendering per browser WebKit. La Casa di Cupertino ha dichiarato di essere a conoscenza di una segnalazione secondo la quale queste vulnerabilità potrebbero essere state sfruttate attivamente contro versioni di iOS precedenti alla 16.7.1. Infine, si segnala che avversari hanno iniziato a sfruttare la vulnerabilità CVE-2023-49103 di ownCloud recentemente divulgata. La falla, alla quale è stato assegnato un punteggio di gravità CVSS pari a 10.0, deriva dal fatto che l’applicazione graphapi si basa su una libreria di terze parti che rivela i dettagli di configurazione dell’ambiente PHP (phpinfo), comprese tutte le variabili d’ambiente del webserver che, nelle distribuzioni containerizzate, possono includere dati sensibili come la password di amministrazione di ownCloud, le credenziali del server di posta e la chiave di licenza.