Weekly Threats N. 52 2019

In questa settimana di Natale sono stati registrati due episodi di natura diversa che hanno interessato l’Italia: l’azione hacktivista di Anonymous Italia “Cervelli in fuga”, mirata contro una lunga lista di Università e una campagna di phishing da parte di un avversario ancora non identificato che ha colpito alcuni utenti del portale NoiPA per i servizi stipendiali della Pubblica Amministrazione, gestito dalla società inhouse Sogei del Ministero dell’Economia e delle Finanze.

Nel panorama internazionale emergono fatti che coinvolgono due diverse aree geografiche nel segno del controllo governativo delle comunicazioni via Internet. Fa parlare di sé la vicenda dell’applicazione ToTok, diffusa in Medio Oriente e soprattutto negli Emirati Arabi, dove sono state vietate le popolari WhatsApp e Skype. L’utility – prodotta da una società associata alla DarkMatter che collabora coi servizi del governo emiratino – è disponibile sia per sistemi Android che iOS e risulterebbe agire come un vero e proprio tool di sorveglianza di massa. La Russia, poi, sembra aver completato le operazioni di segregazione della propria rete rispetto al DNS globale. Lo scorso novembre Mosca ha fatto approvare una legge di impianto difensivo che consente, in caso di attacco o di rischio per il Paese, di disconnettere totalmente tutte le comunicazioni esterne di RuNet senza perdere l’operatività interna; di fatto, tutte i dati transiterebbero su server con funzioni di kill-switch controllati direttamente dal Governo.

Sul versante delle minacce cyber, segnaliamo diversi incidenti. Uno è occorso alla Municipalità di Francoforte, costretta a chiudere tutti i propri servizi online per fronteggiare un attacco basato sul malware Emotet. Il secondo ha impattato la compagnia aerea locale dell’Alaska, Ravn Air, che ha cancellato numerosi voli a causa di un attacco cyber non meglio specificato. I più recenti sono attribuiti a due ransomware: i sistemi dell’Università olandese di Maastricht sono stati messi fuori gioco da Clop, mentre la città statunitense di Pensacola è stata impattata da un’incursione di Maze con successiva pubblicazione – come ormai di consueto – di una parte dei dati sulla piattaforma degli attaccanti.

Nutrita appare la sezione vulnerabilità. Bollettini di sicurezza sono stati rilasciati per i dispositivi industriali Moxa e WECON e per VMware. Twitter ha corretto un bug nella versione per Android che consente di installare codice malevolo nell’area della memoria di storage ristretta dell’app. È stato risolto un bug critico di tipo remote code execution (CVE-2019-19781) in Citrix Application Delivery Controller e Citrix Gateway. Nessuna patch, al momento, per il grave problema di sicurezza che affligge il sistema di aggiornamento del client di DropBox e mette a rischio l’integrità di Windows. Nuovi guai per una vecchia falla di Cisco Adaptive Security Appliance (ASA) e Firepower Appliance (FTD); la CVE-2018-0296, che consente di determinare condizioni di DoS o di avere accesso a informazioni, nonostante il rilascio delle correzioni nel giugno 2018, continua ad essere sfruttata in the wild. NVIDIA risolve una vulnerabilità DoS (denial of service) ad altro impatto che interessa l’applicazione GeForce Experience (GFE) per Windows (CVE-2019-5702).

Infine, un ricercatore indipendente ha annunciato su Twitter di aver realizzato il jailbreak delle versioni più recenti di iOS (13.3); unico elemento tecnico reso noto in un video è che l’exploit è basato su tfp0 e induce al crash l’app Apple News. Qualche conferma del fatto è stata pubblicata da altri utenti della piattaforma di microblogging.

[post_tags]