Weekly Threats N. 50 2022

16 Dicembre 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

0-day: scoperte vulnerabilità Fortinet, Citrix, Microsoft, Apple, Cisco
NoName057(16) e Anonymous Russia: rivendicate nuove offensive
Ucraina: tracciato attacco supply chain contro entità governative

Questa settimana tra le notizie di maggiore interesse spicca la scoperta di diverse vulnerabilità 0-day sfruttate ITW. Fortinet ha rilasciato un bollettino di sicurezza per la CVE-2022-42475: la falla è una Heap-based Buffer Overflow in FortiOS SSL-VPN che può consentire a un avversario remoto non autenticato di eseguire codice o comandi arbitrari tramite richieste appositamente elaborate. Dal canto suo, Citrix ha corretto la CVE-2022-27518 che impatta Citrix ADC e Citrix Gateway. In aggiunta, la National Security Agency (NSA) americana ha rilasciato un advisory nel quale mette in guardia dallo sfruttamento del bug della stessa applicazione Citrix ADC da parte del gruppo state-sponsored APT5. Microsoft, invece, ha rilasciato il Patch Tuesday per il mese di dicembre in cui viene corretta la CVE-2022-44698 che risulta essere presumibilmente collegata a quella in Windows Mark of the Web (patchata il mese scorso con codice CVE-2022-41091). Dal canto suo, Apple ha sanato la CVE-2022-42856, anch’essa attivamente sfruttata. In particolare, si tratta di una Type Confusion presente in WebKit che consente a contenuti web creati in modo malevolo di eseguire codice arbitrario su un dispositivo vulnerabile. Infine, Cisco scoperto una 0-day ad alto impatto nei propri telefoni IP, serie 7800 e 8800. Individuata con codice CVE-2022-20968, la falla è di tipo Out-of-bounds Write e verrà corretta nel gennaio 2023.

In un panorama hacktivista particolarmente attivo, il filorusso NoName057(16), tramite il proprio canale Telegram, ha rivendicato offensive contro diversi portali austriaci e lituani (tra cui quello delle ferrovie di Vienna), ai quali si aggiungono i siti del Ministero della Difesa italiano, di un media ucraino, di Rail Baltica e di TGV Lyria. In aggiunta, Anonymous Russia ha preso di mira alcuni indirizzi web ufficiali dell’Unione Europea e diverse pagine governative e finanziarie finlandesi.

Infine, concludiamo con una notizia inerente al fronte ucraino. È stato identificato un attacco supply chain attribuito a un cluster denominato UNC4166, che ha preso di mira entità governative ucraine tramite file ISO trojanizzati mascherati da installer legittimi di Windows 10. Al momento, gli analisti non hanno raccolto sufficienti informazioni per attribuire questa minaccia a un avversario noto. Tuttavia, i suoi target si sovrappongono alle organizzazioni prese di mira dal russo Sofacy, legato al GRU.

[post_tags]

Anonymous Russia APT5 CVE-2022-20968 CVE-2022-27518 CVE-2022-41091 CVE-2022-42475 CVE-2022-42856 CVE-2022-44698 NoName057(16) UNC4166

Contenuti correlati

DDoS e ransomware colpiscono l’Italia, smantellata una botnet del russo Sofacy, notificate vulnerabilità sfruttate ITW

Gli hacktivisti filorussi: fronte comune, ma non troppo

NoName057(16) mira all’Italia, nuovi dettagli sull'attacco alla telco ucraina Kyivstar, offensive nel panorama cybercrime