Falle in diversi componenti del sistema CUPS, le ultime dal panorama APT, segnalati presunti leak e un attacco a MoneyGram

GNU/Linux, BSD: rilevate vulnerabilità in CUPS non ancora patchate

Nella serata di giovedì 26 settembre 2024 sono stati pubblicati i primi dettagli tecnici circa quattro vulnerabilità che affliggono componentiOpenPrinting dello spooler di stampa modulare per sistemi operativi di tipo Unix CUPS (Common Unix Printing System), quali cups-browsed, libcupsfilters, libppd e cups-filters. Tracciate con codice CVE-2024-47176 (cups-browsed), CVE-2024-47076 (libcupsfilters), CVE-2024-47175 (libppd) e CVE-2024-47177 (cups-filters), tali falle possono consentire ad un attaccante remoto di rimpiazzare stampanti esistenti o di aggiungerne di nuove, in questo caso con IPP URL malevole e conseguente possibilità di eseguire codice arbitrario sulla macchina affetta all’avvio di un print job. I sistemi affetti sarebbero la maggior parte delle distribuzioni GNU/Linux, alcune BSD, Oracle Solaris, probabilmente Google Chromium/ChromeOS e forse altri. In attesa di una patch ufficiale, le mitigazioni consigliate dal ricercatore che ha effettuato la scoperta prevedono la disabilitazione e rimozione del servizio cups-browsed, l’aggiornamento del pacchetto CUPS (una volta reso disponibile) e, in caso di impossibilità nell’eseguire l’update, il blocco di tutto il traffico UDP verso la porta 631 e potenzialmente di tutto il traffico DNS-SD. Si segnala che è disponibile pubblicamente un exploit Proof-of-Concept.

APT: ultime notizie su gruppi finanziati da Teheran, Pyongyang, Pechino e Nuova Delhi

Ricercatori di sicurezza hanno tracciato un avversario state-sponsored iraniano soprannominato UNC1860, probabilmente affiliato al Ministero dell’Intelligence e della Sicurezza dell’Iran (MOIS), noto per colpire reti governative e delle telecomunicazioni in Medio Oriente. Stando a quanto analizzato l’attaccante utilizza sofisticati tool e backdoor passive a supporto dei suoi obiettivi, tra cui il suo ruolo di probabile Initial Access Broker e la sua capacità di ottenere un accesso persistente a reti di alto rilievo. Passando in Corea del Nord, sono state identificate ulteriori operazioni che sfruttano false identità per ottenere un impiego presso organizzazioni in un’ampia gamma di settori al fine di generare entrate per il regime di Pyongyang ed eludere le sanzioni, questa volta condotte da un cluster rintracciato come UNC5267. Spostandoci in Cina, un presunto gruppo con sede nel Paese, denominato Earth Baxia, è stato osservato prendere di mira un’entità governativa di Taiwan – con probabili target anche in altri Paesi della regione APAC (Asia Pacifica) – utilizzando lo spear phishing, malware custom e una vulnerabilità presente nel software open-source per l’elaborazione di dati geospaziali GeoServer, tracciata con codice CVE-2024-36401. D’altra parte, è stata scoperta una botnet inedita, composta da un esercito di dispositivi SOHO e IoT, verosimilmente gestita dall’APT cinese Flax Typhoon. Soprannominata Raptor Train, si ritiene sia operativa almeno dal maggio 2020 e che da allora siano stati arruolati più di 200.000 router SOHO, dispositivi NVR/DVR, server NAS e telecamere IP, rendendola una delle più grandi botnet IoT finanziate da Pechino scoperte finora. Restando nel continente asiatico, è stata condotta un’indagine su un avversario indiano chiamato SloppyLemming – allineato a Outrider Tiger – che usa diversi provider di servizi cloud per facilitare le proprie attività e che, dalla fine del 2022 a oggi, ha utilizzato regolarmente Cloudflare Workers, presumibilmente come parte di un’ampia campagna di spionaggio rivolta ai Paesi del Sud e dell’Est asiatico. L’APT prende di mira principalmente organizzazioni pakistane dei settori governativo, della Difesa, delle telecomunicazioni, tecnologico ed energetico; tuttavia, oltre al Pakistan che rimane il suo principale obiettivo, targettizza anche Bangladesh, Indonesia, Sri Lanka, Nepal e Cina.

Cybercrime: segnalati presunti data leak e un attacco a MoneyGram

Diversi avversari hanno condiviso in contesto underground presunti data leak riconducibili a importanti aziende e realtà. IntelBroker ha pubblicato un post nel quale ha annunciato il caricamento di due file contenenti comunicazioni interne di Deloitte, stando a quanto riferito estrapolate grazie a un data breach subito dalla società dopo aver accidentalmente esposto a internet un server Apache Solr che utilizzava credenziali di login predefinite. Un attaccante rintracciato con il nome di grep ha postato due annunci riguardanti presunte fughe di dati attribuibili rispettivamente a Dell Inc. e Twillo, che hanno portato all’esposizione di informazioni interne di oltre 10.800 dipendenti di Dell e dei suoi partner e di un database con 11.802 record di chiamate di Twillo. La stessa Dell sembrerebbe essere caduta vittima di supposti ulteriori leak sempre da parte di grep e di un utente chiamato Chucky. Un avversario noto come l33tfg, tramite diversi post, ha divulgato dati ottenuti da presunte fughe di dati ascrivibili a China National Petroleum Corporation (CNPC), la Casa Bianca (whitehouse[.]gov), SpaceX e CNN. Da ultimo, l’attaccante tracciato con lo pseudonimo 888 ha rivendicato leak riferibili rispettivamente a Oracle e Uber Eats, che nel settembre 2024 hanno subito un data breach – nel caso di Oracle da parte di terzi – che ha esposto rispettivamente 4.002 e 283.000 record di dati. Infine, la società statunitense di trasferimento di denaro MoneyGram International Inc. ha riferito di aver identificato un problema di sicurezza informatica riguardante alcuni dei suoi sistemi, che ha portato all’interruzione delle operazioni. Stando a quanto riportato, una volta individuato l’incidente, l’azienda di Dallas (Texas) ha avviato un’indagine e adottato misure di sicurezza per risolverlo, tra cui la messa offline proattiva dei sistemi che ha avuto un impatto sulla connettività di rete. Ciononostante, non ha fornito ulteriori informazioni sulla natura dell’accaduto.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence