Weekly Threats N. 23 2020

Il collettivo LulzSecITA questa settimana ha ripetutamente dato segnali della propria attività; sul profilo Twitter ufficiale ha rivendicato ben tre data breach. Fra le vittime si annoverano Riscotel[.]it, il portale nazionale di riferimento per quanto riguarda le informazioni sui tributi locali, la regione Lazio e non meglio precisati enti sanitari italiani. Ad essi si aggiunge un curioso depistaggio; gli anonymi avrebbero registrato un sito il cui nome può essere confuso con quello degli sviluppatori dell’applicazione Immuni – per il monitoraggio della pandemia da COVID-19 – e hanno invitato gli interessati a consultarlo.
Rimaniamo in Italia per segnalare alcune campagne malware. Una di esse, basata sul trojan bancario Ursnif, ha sfruttato documenti XLS sul consueto tema delle fatturazioni. Un’altra ha colpito miratamente società di forniture industriali localizzate nel nostro Paese, ma anche in Giappone, Germania e Regno Unito. Si segnalano, poi, numerosi siti di phishing creati per esfiltrare le credenziali degli utenti di alcuni noti istituti di credito e servizi finanziari, come Banca Intesa, CheBanca, Banco Posta (BPOL), Monte dei Paschi di Siena, Fineco e Nexi.
Sulla scena internazionale si registrano numerose attività associabili soprattutto a gruppi APT. Intanto, la compagine cinese Hellsing ha sfruttato un malware chiamato USBCulprit per prendere di mira sistemi governativi air-gapped nel Sudest asiatico. Inoltre, è tornato a colpire il team nordcoreano Higaisa, noto dal 2016 e interessato soprattutto a ufficiali di governo e organizzazioni per i diritti umani.
Nel frattempo, i membri dello staff del candidato democratico alle Presidenziali USA, Joe Biden, sarebbero stati presi di mira dal team sponsorizzato da Pechino APT31 (Zirconium), mentre quelli dello staff di Trump da quello iraniano APT35 (Charming Kitten).
Dal versante crime giungono segnali di un nuovo ransomware che colpisce sia Windows che Linux, chiamato Tycoon, che è già stato sfruttato per attacchi altamente mirati.
Inoltre, abbiamo dato conto di attacchi basati su particolari vulnerabilità. Nello specifico, 6 strutture di backend di Cisco sono state compromesse grazie all’exploit dei due bug CVE-2020-11651 (authentication bypass) e CVE-2020-11652 (directory traversal) che impattano il framework SaltStack. Inoltre, una campagna massiva contro i siti basati su WordPress, ha sfruttato vecchie falle dei plugin non aggiornati per estrarre le credenziali dei database e ottenere così l’accesso; al momento, sembra siano stati bloccati oltre 130 milioni di tentativi di sfruttamento che hanno preso di mira più di 1,3 milioni di siti WordPress.
Passiamo alle vulnerabilità risolte. Il produttore di telefoni cellulari sudcoreano LG ha rilasciato un aggiornamento per correggere un problema di sicurezza che riguarda tutti gli smartphone Android venduti negli ultimi sette anni (a partire dalla Serie 5). Identificato con CVE-2020-12753, ha impatto sul componente bootloader degli smartphone e consente di inserirvi codice malevolo.
Inoltre, Cisco ha reso noto che gli switch Nexus che adottano il software NX-OS sono interessati da una grave vulnerabilità che consente di bypassare i controlli di accesso alla rete e redirigere il traffico dannoso verso reti interne (CVE-2020-10136). In entrambi questi casi sono pubbliche le Proof of Concept degli exploit.
Quanto ad Apple, sono stati aggiornati tutti i sistemi operativi e, fra gli interventi più significativi, sono state rilasciate patch per il jailbreak battezzato unc0ver (CVE-2020-9859) e per una falla in Apple ID che impatta la feature OAuth-styled chiamata “Sign in with Apple” (il suo scopritore ha ricevuto un premio di ben 100.000 dollari).
Numerosi sono poi i bollettini di sicurezza pubblicati negli ultimi giorni per soluzioni software e dispositivi hardware: VMware, Mozilla, Chrome, Android e Pixel, Fortinet, Ubuntu, ABB, General Electrics, Zoom.
Chiudiamo la nostra rassegna con una tecnica di attacco side-channel messa a punto da ricercatori di sicurezza dell’Indian Institute of Technology Kanpur. DABANGG – questo è il nome che le è stato assegnato – è finalizzata a compromettere CPU Intel e AMD e si presenta come una variante perfezionata degli attacchi Flush+Reload e Flush+Flush,scoperti da tre ricercatori della Cornel University.