Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.  

In sintesi: 

  • KillNet: nuove offensive colpiscono l’Italia 
  • Vulnerabilità: tracciati 3 bug sfruttati ITW 
  • Palermo: attacco informatico colpisce il Comune 

Si intensificano le offensive verso l’Italia ad opera del gruppo russo KillNet. Il collettivo ha pubblicato sui propri canali Telegram più elenchi riguardanti target italiani: tra questi vi sono banche, infrastrutture portuali e aeroportuali e siti istituzionali. Tra quelli presi di mira vi è anche il portale istituzionale dello CSIRT. L’offensiva, con picchi rilevati di 40 Gbps, è iniziata nel tardo pomeriggio del 30 maggio ed è durata complessivamente circa 10 ore articolandosi in più fasi. Gli attacchi sono stati mitigati dai sistemi anti-DDoS senza riuscire a compromettere la disponibilità del sito web per gli utenti. 

Passando al versante delle vulnerabilità, durante la settimana sono state identificati tre problemi di sicurezza sfruttati ITW. Il primo, rilevato sotto il nome di Follina e tracciato con codice CVE-2022-30190 (CVSS 7.8), consente l’esecuzione di codice nei prodotti Microsoft Office e sussiste quando MSDT viene richiamato utilizzando il protocollo URL da un’applicazione chiamante come Word. Tale bug è attivamente sfruttato da diversi avversari tra cui il gruppo state-sponsored cinese TA413 e, secondo quanto riportato dal CERT-UA, da un avversario al momento non noto in un’offensiva rivolta a organizzazioni governative di Kiev.
La seconda vulnerabilità critica, identificata con codice CVE-2022-29464 (CVSS 9.8), interessa diversi prodotti WSO2 ed è stata recentemente utilizzata al fine di veicolare un beacon Cobalt Strike compatibile con Linux e altri malware. Nel corso di recenti indagini sono state rilevate offensive volte a sfruttare tale vulnerabilità anche in Italia allo scopo di eseguire il miner Kinsing.
La terza, invece, è una 0-day critica che impatta i prodotti Confluence di Atlassian. Tracciata con codice CVE-2022-26134, è di tipo Unauthenticated Remote Code Execution ed è attualmente sfruttata da avversari di matrice presumibilmente cinese per installare web shell, tra cui Behinder e China Chopper. 

Concludiamo con una notizia dal nostro Paese. Nelle prime ore del mattino di giovedì 2 giugno 2022 è stato rilevato un attacco al sistema informatico del Comune di Palermo che ha messo fuori uso anche le telecamere di videosorveglianza comunale. Al momento il sistema è stato cautelativamente spento e isolato dalla rete, di conseguenza i relativi servizi online sono attualmente indisponibili e potrebbero verificarsi disagi anche nei prossimi giorni. 

EMAIL WEEKLY

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi