CVE-2024-50623

Pending

27 Oct 2024

Published

10 Dec 2024

Updated

CVSS

Pending

EPSS

0.04%

4 Posts
60 Interactions

CVE Info

In Cleo Harmony before 5.8.0.21, VLTrader before 5.8.0.21, and LexiCom before 5.8.0.21, there is an unrestricted file upload and download that could lead to remote code execution.

MITRE

NVD

Fediverse

Kevin Beaumont @GossiTheDog

A writeup on the Cleo vulnerabilities, which are under mass exploitation now. Write any file into any folder by using path=..\..\..\ - since it's a webapp, just drop a webshell.

https://labs.watchtowr.com/cleo-cve-2024-50623/

#cleo #threatintel

17
30
5 hours ago

Not Simon 🐐@screaminggoat

watchTowr: Cleo Harmony, VLTrader, and LexiCom - RCE via Arbitrary File Write (CVE-2024-50623)
With Cleo software under active exploitation by threat actors (and rumors of Termite ransomware group being in possession of the zero-day exploit), watchTowr patch diffs and explores CVE-2024-50623 (8.8 high) Cleo Harmony/VLTrader/LexiCom remote code execution. This isn't much that isn't already covered by Huntress (which includes Indicators of Compromise).

There's the possibility that the "CVE Pending" will be labeled a CVE-2024-50623 patch bypass vulnerability due to the insufficient patch.

#threatintel #CVE_2024_50623 #vulnerability #cve #eitw #cleo #harmony #vltrader #lexicom #Activeexploitation #infosec #cybersecurity #IOC #zeroday

3
5
7 hours ago

Not Simon 🐐@screaminggoat

Rapid7: Modular Java Backdoor Dropped in Cleo Exploitation Campaign
Rapid7 reports a Java-based Remote Access Trojan (RAT) being dropped in the mass exploitation of Cleo software (Harmony, VLTrader, LexiCom). They provide a malware analysis, as well as observed post-exploitation activity. Indicators of compromise provided, and TTPs mapped to MITRE ATT&CK.

#threatintel #CVE_2024_50623 #vulnerability #cve #eitw #cleo #harmony #vltrader #lexicom #ActiveExploitation #infosec #cybersecurity #IOC #zeroday

1
4
4 hours ago

buherator @buherator

[RSS] Cleo Harmony, VLTrader, and LexiCom: CVE-2024-50623, RCE via arbitrary file write

https://labs.watchtowr.com/cleo-cve-2024-50623/

0
0
6 hours ago

CVE-2024-11053

curl

11 Dec 2024

Published

11 Dec 2024

Updated

CVSS

Pending

EPSS

Pending

3 Posts
108 Interactions

CVE Info

When asked to both use a `.netrc` file for credentials and to follow HTTP redirects, curl could leak the password used for the first host to the followed-to host under certain circumstances. This flaw only manifests itself if the netrc file has an entry that matches the redirect target hostname but the entry either omits just the password or omits both login and password.

MITRE

NVD

Fediverse

daniel:// stenberg://@bagder

CVE-2024-11053 holds the new #curl record with its ** 9039 ** days present in code until fixed

11
38
10 hours ago

Harry Sintonen @harrysintonen

#curl 8.11.1 has been released. It includes a fix to #CVE_2024_11053 - a #vulnerability I discovered.

It is a logic flaw in the way curl parses .netrc file. In certain situations, the configured password can be sent to a incorrect host. Luckily the affected configurations should be quite rare and thus the situation is unlikely to occur often.

The issue has existed in the curl source code for almost twenty-five years.

• https://curl.se/docs/CVE-2024-11053.html
• https://hackerone.com/reports/2829063

No AI tools were used in discovering or reporting the vulnerability.

#noai #handcrafted #infosec #cybersecurity

20
32
16 hours ago

daniel:// stenberg://@bagder

The new #curl CVE-2024-11053 we call "netrc and redirect credential leak"

While graded severity low, it will of course still be relevant to whomever uses the unlucky combination of options.

https://curl.se/docs/CVE-2024-11053.html

4
3
16 hours ago

CVE-2024-11205

smub WPForms – Easy Form Builder for WordPress – Contact Forms, Payment Forms, Surveys, & More

10 Dec 2024

Published

10 Dec 2024

Updated

CVSS v3.1

HIGH (8.5)

EPSS

0.04%

4 Posts
1 Interaction

CVE Info

The WPForms plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the 'wpforms_is_admin_page' function in versions starting from 1.8.4 up to, and including, 1.9.2.1. This makes it possible for authenticated attackers, with Subscriber-level access and above, to refund payments and cancel subscriptions.

MITRE

NVD

Fediverse

Sam Stepanyan :verified: 🐘@securestep9

#Wordpress WPForms #vulnerability CVE-2024-11205 impacts over 6mln websites allowing any unprivileged authenticated user to perform Stripe refunds:
👇
https://www.bleepingcomputer.com/news/security/wpforms-bug-allows-stripe-refunds-on-millions-of-wordpress-sites/

1
0
11 hours ago

Jeff Hall - PCIGuru :verified:@jbhall56

Tracked under CVE-2024-11205, the flaw was categorized as a high-severity problem due to the authentication prerequisite. https://www.bleepingcomputer.com/news/security/wpforms-bug-allows-stripe-refunds-on-millions-of-wordpress-sites/

0
0
9 hours ago

RF Wave @rfwaveio

Security researchers reveal vulnerability in #WPForms plugin for #WordPress

The vulnerability is tracked as CVE-2024-11205, and when exploited, allows anyone to request refunds and cancel subscriptions

Administrators are advised to patch ASAP

#cybersecurity #vulnerabilitymanagement

https://www.bleepingcomputer.com/news/security/wpforms-bug-allows-stripe-refunds-on-millions-of-wordpress-sites/

0
0
4 hours ago

Cybersecurity & cyberwarfare @cybersecurity

Allerta WordPress: Vulnerabilità critica in WPForms mette a rischio 3 milioni di siti!

È stata rilevata una vulnerabilità nel plug-in WPForms WordPress, un pluginutilizzato da oltre 6 milioni di siti, che consente agli utenti di emettere rimborsi arbitrari tramite Stripe o annullare abbonamenti.

WPForms è un generatore di moduli per WordPress che ti consente di creare moduli di contatto, iscrizione e pagamento e supporta anche Stripe, PayPal, Square e altri sistemi di pagamento.

Il problema viene monitorato sotto il CVE-2024-11205 e non è considerato critico in quanto richiede l’autenticazione per essere sfruttato. Tuttavia, dato che un utente necessita di autorizzazioni a livello di abbonato e che i sistemi di registrazione sono disponibili sui siti vulnerabili per altri bug noti, il problema potrebbe rappresentare una seria minaccia.

La vulnerabilità è stata scoperta dal ricercatore indipendente sulla sicurezza informatica vullu164, che ha ricevuto 2.376 dollari per la sua scoperta come parte del programma Wordfence bug boony.

Il problema è dovuto all’uso errato della funzione wpforms_is_admin_ajax() per determinare se una richiesta AJAX proviene da un amministratore. In effetti, il bug consente a qualsiasi utente autenticato (anche a livello di abbonato) di utilizzare funzioni come ajax_single_payment_refund(), che esegue un rimborso in Stripe, e ajax_single_payment_cancel(), che annulla un abbonamento.

La vulnerabilità colpisce le versioni di WPForms dalla 1.8.4 alla 1.9.2.1 e il mese scorso gli sviluppatori del plugin, Awesome Motive, hanno rilasciato una patch come parte della versione 1.9.2.2.

Secondo le statistiche di wordpress.org, su circa la metà di tutti i siti che utilizzano WPForms, il plugin non è stato aggiornato a una versione sicura (e nemmeno all’attuale ramo 1.9.x), ovvero il numero di risorse vulnerabili è almeno 3 milioni.

Gli specialisti di Wordfence sottolineano di non aver ancora rilevato lo sfruttamento attivo di CVE-2024-11205, ma raccomandano vivamente agli amministratori di aggiornare il plugin alla versione 1.9.2.2 il prima possibile o di disabilitarlo temporaneamente.

L'articolo Allerta WordPress: Vulnerabilità critica in WPForms mette a rischio 3 milioni di siti! proviene da il blog della sicurezza informatica.

0
0
8 hours ago

CVE-2024-53677

Apache Software Foundation Struts

11 Dec 2024

Published

11 Dec 2024

Updated

CVSS v4.0

CRITICAL (9.5)

EPSS

Pending

2 Posts
23 Interactions

CVE Info

File upload logic is flawed vulnerability in Apache Struts. This issue affects Apache Struts: from 2.0.0 before 6.4.0. Users are recommended to upgrade to version 6.4.0, which fixes the issue. You can find more details in https://cwiki.apache.org/confluence/display/WW/S2-067

MITRE

NVD

Fediverse

cR0w h0 h0 @cR0w

Critical ../ -> RCE in Apache Struts? Nice. The bulletin is from a couple weeks ago but the CVE was just published today: https://cwiki.apache.org/confluence/display/WW/S2-067

https://nvd.nist.gov/vuln/detail/CVE-2024-53677

6
11
4 hours ago

Not Simon 🐐@screaminggoat

Apache Struts security advisory 26? November 2024: S2-067
CVE-2024-53677 (CVSSv4: 9.5 critical) File upload logic is flawed, and allows an attacker to enable paths with traversals (@cR0w @reverseics) (impact: remote code execution)
For those of you keeping track, Apache Struts has eight CVEs in CISA's KEV Catalog, 7 of which are related to remote code execution. One is known to be used in ransomware campaigns 🔺

#apache #struts #CVE_2024_53677 #vulnerability #cve #infosec #cybersecurity

3
3
2 hours ago

CVE-2024-11639

Ivanti Cloud Services Application

10 Dec 2024

Published

10 Dec 2024

Updated

CVSS v3.1

CRITICAL (10.0)

EPSS

0.04%

3 Posts

CVE Info

An authentication bypass in the admin web console of Ivanti CSA before 5.0.3 allows a remote unauthenticated attacker to gain administrative access

MITRE

NVD

Fediverse

Sam Stepanyan :verified: 🐘@securestep9

#Ivanti has a new maximum-severity authentication bypass #vulnerability CVE-2024-11639 in its Cloud Services Appliance (CSA) solution. Patch now!
👇
https://www.bleepingcomputer.com/news/security/ivanti-warns-of-maximum-severity-csa-auth-bypass-vulnerability/
https://www.bleepingcomputer.com/news/security/ivanti-warns-of-maximum-severity-csa-auth-bypass-vulnerability/

0
0
11 hours ago

Jeff Hall - PCIGuru :verified:@jbhall56

The security flaw (tracked as CVE-2024-11639 and reported by CrowdStrike's Advanced Research Team) enables remote attackers to gain administrative privileges on vulnerable appliances running Ivanti CSA 5.0.2 or earlier. https://www.bleepingcomputer.com/news/security/ivanti-warns-of-maximum-severity-csa-auth-bypass-vulnerability/

0
0
9 hours ago

RF Wave @rfwaveio

#Ivanti has released software updates to address a critical vulnerability in its Cloud Services Appliance (CSA)

The vulnerability is tracked as CVE-2024-11639, and when exploited, allows an attacker to bypass authentication and gain administrative privileges

Administrators are advised to patch ASAP

#cybersecurity

https://www.bleepingcomputer.com/news/security/ivanti-warns-of-maximum-severity-csa-auth-bypass-vulnerability/

0
0
7 hours ago

CVE-2024-49138

KEV

Microsoft Windows 10 Version 1809

10 Dec 2024

Published

11 Dec 2024

Updated

CVSS v3.1

HIGH (7.8)

EPSS

0.04%

3 Posts
4 Interactions

CVE Info

Windows Common Log File System Driver Elevation of Privilege Vulnerability

MITRE

NVD

Fediverse

VOLTUR (with the good hair)@voltur

Update yo shit! https://www.cve.org/CVERecord?id=CVE-2024-49138

2
0
6 hours ago

nemo™ 🇺🇦@nemo

Microsoft's December Patch Tuesday is here! 🎉 It addresses 72 vulnerabilities, including a critical zero-day flaw (CVE-2024-49138) that could give attackers SYSTEM privileges. 🚨 Windows users should update ASAP to stay secure! 💻🔒 Read more about the fixes and how to apply them here: https://cyberinsider.com/windows-11-december-patch-tuesday-fixes-72-flaws-one-zero-day/ #Windows11 #CyberSecurity #PatchTuesday #CVE2024
#newz

2
0
16 hours ago

Cybersecurity & cyberwarfare @cybersecurity

Il gran finale di Microsoft per il 2024: 1 Zero-Day, 71 CVE e una corsa contro il tempo

Con il Patch Tuesday di dicembre, Microsoft chiude il 2024 con un’ultima serie di aggiornamenti di sicurezza, portando il totale del mese a 71 CVE (Common Vulnerabilities and Exposures). Questo mese segna la terza più ridotta distribuzione di patch dell’anno, preceduta solo da gennaio e giugno. Tuttavia, la dimensione ridotta non significa che manchino criticità: tra le vulnerabilità risolte, figura un pericoloso zero-day già sfruttato attivamente, CVE-2024-49138.

La Vulnerabilità CVE-2024-49138

Questa vulnerabilità di elevazione dei privilegi colpisce il sistema Windows Common Log File System e consente agli attaccanti di ottenere privilegi SYSTEM, il che significa accesso completo al sistema bersaglio. Non sorprende che Microsoft abbia posto un accento particolare su questa falla, considerando che è già oggetto di attacchi attivi e riguarda ogni versione supportata di Windows e Windows Server. L’applicazione immediata delle patch è cruciale per prevenire potenziali compromissioni, mentre Microsoft ha fornito poche informazioni tecniche, se non per sottolineare la gravità del problema.

Oltre allo Zero-Day, tra le 16 vulnerabilità classificate come “critiche”, spicca CVE-2024-49112, una falla di esecuzione di codice remoto nel protocollo Windows Lightweight Directory Access Protocol (LDAP). Con un punteggio di gravità di 9.8 su 10, è questione di tempo prima che venga sfruttata attivamente.

Per chi non può aggiornare immediatamente, Microsoft ha fornito mitigazioni temporanee:

Configura i controller di dominio per bloccare l’accesso a Internet.
Impedisci l’accesso RPC in ingresso da reti non fidate.

Queste misure non solo proteggono contro CVE-2024-49112, ma rappresentano buone pratiche di sicurezza generale, come sottolineato da Tyler Reguly, direttore associato di Security R&D presso Fortra. “Microsoft ha fornito mitigazioni che sono fondamentalmente norme di buona gestione informatica, ma servono come promemoria importante per le imprese,” ha dichiarato Reguly.

Il protocollo Windows Remote Desktop Services continua a essere un bersaglio privilegiato per gli attaccanti, con 9 delle vulnerabilità critiche di questo mese che riguardano l’esecuzione di codice remoto in questa componente. Questo evidenzia quanto sia essenziale per le aziende adottare configurazioni sicure e applicare immediatamente gli aggiornamenti forniti.

Altre vulnerabilità rilevanti includono falle critiche in componenti chiave come LSASS, Hyper-V e Microsoft Message Queuing (MSMQ), tutte potenziali vettori per attacchi devastanti se non affrontate tempestivamente.

Conclusione

Microsoft chiude il sipario del 2024 con un ultimo Zero-Day e un pacchetto di patch che richiede attenzione immediata. Agire con rapidità è essenziale per proteggere i sistemi e prepararsi al futuro di un panorama di minacce in continua evoluzione.

Nel 2025, la parola d’ordine sarà prevenzione: applicare tempestivamente le patch oggi rappresenta l’investimento più efficace per evitare interruzioni critiche e vulnerabilità costose in futuro.

L'articolo Il gran finale di Microsoft per il 2024: 1 Zero-Day, 71 CVE e una corsa contro il tempo proviene da il blog della sicurezza informatica.

0
0
16 hours ago

CVE-2024-54492

Apple visionOS

11 Dec 2024

Published

11 Dec 2024

Updated

CVSS

Pending

EPSS

Pending

1 Post
13 Interactions

CVE Info

This issue was addressed by using HTTPS when sending information over the network. This issue is fixed in macOS Sequoia 15.2, iOS 18.2 and iPadOS 18.2, iPadOS 17.7.3, visionOS 2.2. An attacker in a privileged network position may be able to alter network traffic.

MITRE

NVD

Fediverse

Mysk🇨🇦🇩🇪@mysk

Since iOS 18 launched, the new Passwords app has been using unencrypted HTTP to download icons for password entries—a serious #security risk. We reported this bug to #Apple in September, and it’s finally fixed in #iOS 18.2 (CVE-2024-54492).
The bug also impacts iPadOS and #macOS
Why does this matter? Watch 🎬 :
#cybersecurity #privacy #infosec

https://youtu.be/1vr2e6YeNuc

7
6
last hour

CVE-2024-45337

golang.org/x/crypto golang.org/x/crypto/ssh

11 Dec 2024

Published

11 Dec 2024

Updated

CVSS

Pending

EPSS

Pending

1 Post
2 Interactions

CVE Info

Applications and libraries which misuse the ServerConfig.PublicKeyCallback callback may be susceptible to an authorization bypass.

MITRE

NVD

Fediverse

ISC.org @iscdotorg

Rounding out our trifecta of releases today: Stork 2.1.0, the first release of a new development branch, is now available!

ISC does not recommend running development versions in production.

We are aware of golang CVE-2024-45337 published today. Stork does not use the affected package and our current assessment is that this issue does not impact Stork.

Download the software from our website at https://www.isc.org/download/#Stork or get deb/Alpine/RPM packages at https://cloudsmith.io/~isc/repos/stork/groups/.

2
0
2 hours ago

CVE-2024-37071

IBM Db2 for Linux, UNIX and Windows

07 Dec 2024

Published

09 Dec 2024

Updated

CVSS v3.1

MEDIUM (5.3)

EPSS

0.04%

1 Post
1 Interaction

CVE Info

IBM Db2 for Linux, UNIX and Windows (includes Db2 Connect Server) 10.5, 11.1, and 11.5 could allow an authenticated user to cause a denial of service with a specially crafted query due to improper memory allocation.

MITRE

NVD

Fediverse

Christine Hall @BrideOfLinux

Forewarned is forearmed: Critical Vulnerability (CVE-2024-37071) in IBM Db2 Affects Linux and UNIX Platforms https://lxer.com/module/newswire/view/348580/index.html

0
1
5 hours ago

CVE-2024-21893

KEV

Ivanti ICS

31 Jan 2024

Published

01 Aug 2024

Updated

CVSS v3.0

HIGH (8.2)

EPSS

95.99%

4 Posts

CVE Info

A server-side request forgery vulnerability in the SAML component of Ivanti Connect Secure (9.x, 22.x) and Ivanti Policy Secure (9.x, 22.x) and Ivanti Neurons for ZTA allows an attacker to access certain restricted resources without authentication.

MITRE

NVD

Fediverse

Cybersecurity & cyberwarfare @cybersecurity

ELITETEAM: Il Service Provider che i Criminal Hacker Recensiscono con 5 Stelle!

Il team Knownsec 404 ha identificato una vasta rete del provider di hosting ELITETEAM, che fornisce infrastrutture ai criminali informatici. Questi servizi consentono agli aggressori di eludere i controlli legali e supportano il funzionamento di malware, siti fraudolenti, e-mail di spam e altre attività illegali. Gli esperti sottolineano che questo genere di hosting rappresentano una seria minaccia per la sicurezza informatica globale, poiché operano in condizioni di debole regolamentazione legislativa e sono altamente resistenti alle misure legali.

Secondo il rapporto, ELITETEAM è stata registrata alle Seychelles nel novembre 2020 con il nome “1337TEAM LIMITED”. Il provider possiede il sistema autonomo AS51381 e fornisce servizi relativi all’hosting di siti di phishing, malware, server di comando e controllo botnet e infrastrutture per frodi in criptovaluta. La particolarità di tali fornitori è la selezione deliberata di giurisdizioni con una regolamentazione legislativa debole.

Secondo il Phishing Network Study 2021 di Interisle, solo un segmento della rete ELITETEAM con 256 indirizzi IP si è classificato all’ottavo posto nel mondo per attività dannose. Sulla piattaforma VirusTotal tutti i 256 indirizzi IP della rete ELITETEAM sono stati contrassegnati come dannosi, il che conferma il loro utilizzo attivo negli attacchi informatici. Sulla piattaforma ThreatFox, diversi indirizzi IP nel 2024 sono stati contrassegnati con indicatori di compromissione (IOC) per malware come Amadey e RedLine, indicandone l’utilizzo in attacchi di phishing e distribuzione di malware.

Gli specialisti di Cloudflare hanno scoperto che gli indirizzi IP di ELITETEAM vengono utilizzati attivamente per hackerare i siti WordPress. Gli attacchi prendono di mira le pagine di login e le interfacce XML-RPC, dove gli aggressori tentano di sfruttare le vulnerabilità per ottenere l’accesso ai sistemi.

Trend Micro ha collegato l’infrastruttura ELITETEAM alla distribuzione dei ransomware Quakbot ed Emotet. Solo nel primo trimestre del 2023 sono stati registrati 200mila casi di traffico malevolo associato all’infrastruttura ELITETEAM; 140mila di loro sono registrati alle Seychelles. Questi programmi venivano utilizzati per crittografare i dati sulle reti aziendali a scopo di estorsione.

L’infrastruttura di ELITETEAM è stata utilizzata anche per supportare le truffe di criptovaluta sul mercato ombra di Hydra, consentendo transazioni illegali e riciclaggio di denaro. Queste azioni hanno attirato l’attenzione dell’Interpol, che ha inviato diverse richieste per indagare sulle attività dell’azienda.

L’analisi dei dati sul segmento di rete 185.215.113.0/24 attraverso la piattaforma ZoomEye ne ha rivelato le caratteristiche principali: porte aperte per l’accesso remoto (22/3389), servizi web (80/443), spam (25/465/587) e Server C2 (7766). Dieci indirizzi IP di questo segmento hanno porte di posta aperte, il che potrebbe indicare che vengono utilizzati per inviare spam.

La ricerca ha permesso di collegare la sottorete 185.208.158.0/24 al segmento principale di ELITETEAM. Dei 256 indirizzi presenti su questa sottorete, 95 sono contrassegnati come dannosi. Entrambe le reti sono registrate alle Seychelles e sono tecnicamente connesse tramite certificati SSL comuni. Otto indirizzi IP di entrambe le reti hanno utilizzato identiche impronte SSL tra settembre e novembre 2024, indicando il controllo da parte di un singolo gruppo di hacker.

Un’analisi dettagliata ha rivelato cinque indirizzi IP sospetti: 185.208.158.114, 185.208.158.115, 77.91.68.21, 147.45.47.102 e 109.107.182.45. Questi indirizzi vengono assegnati a causa delle caratteristiche uniche dei certificati SSL e del contenuto HTTP. Ad esempio, l’impronta digitale del certificato SSL C416E381FAF98A7E6D5B5EC34F1774B728924BD8 è stata trovata sia sulla sottorete 185.208.158.0/24 che sulla rete principale ELITETEAM.

Gli esperti osservano che le attività di tali hosting provider creano condizioni favorevoli per i criminali informatici. Dal 2015 il gruppo APT28 ha effettuato più di 80 attacchi utilizzando hosting bulletproof per phishing, furto di dati e spionaggio. L’ubicazione delle infrastrutture in paesi con una regolamentazione permissiva consente agli aggressori di eludere i procedimenti giudiziari e continuare le operazioni a lungo termine.

L'articolo ELITETEAM: Il Service Provider che i Criminal Hacker Recensiscono con 5 Stelle! proviene da il blog della sicurezza informatica.

0
0
7 hours ago

Cybersecurity & cyberwarfare @cybersecurity

10 Milioni di Dollari per Chi Trova Guan! Il Ricercatore Cinese che Colpì 81.000 Firewall

l’Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro degli Stati Uniti D’America sta sanzionando la società di sicurezza informatica Sichuan Silence Information Technology Company, Limited (Sichuan Silence) e uno dei suoi dipendenti, Guan Tianfeng (Guan), entrambi con sede nella Repubblica Popolare Cinese (RPC), per il loro ruolo nella compromissione di decine di migliaia di firewall Sophos in tutto il mondo nell’aprile 2020. Molte delle vittime erano società di infrastrutture critiche statunitensi.

Gli autori di attacchi informatici malintenzionati, compresi quelli che operano in Cina, continuano a rappresentare una delle minacce più grandi e persistenti per la sicurezza nazionale degli Stati Uniti, come evidenziato nella Valutazione annuale delle minacce del 2024 pubblicata dall’Office of the Director of National Intelligence.

“L’azione di oggi sottolinea il nostro impegno a denunciare queste attività informatiche dannose, molte delle quali rappresentano un rischio significativo per le nostre comunità e i nostri cittadini, e a ritenere responsabili gli autori dei loro piani”, ha affermato il sottosegretario facente funzione del Tesoro per il terrorismo e l’intelligence finanziaria Bradley T. Smith. “Il Tesoro, come parte dell’approccio coordinato del governo degli Stati Uniti per affrontare le minacce informatiche, continuerà a sfruttare i nostri strumenti per interrompere i tentativi degli autori di attacchi informatici dannosi di minare la nostra infrastruttura critica”.

Oggi, il Dipartimento di Giustizia (DOJ) ha desecretato un atto di accusa contro Guan per la stessa attività. Inoltre, il Dipartimento di Stato degli Stati Uniti ha annunciato un’offerta di ricompensa Rewards for Justice fino a10 milioni di dollari per informazioni su Sichuan Silence o Guan.

Compromissione del firewall di aprile 2020

Guan Tianfeng ha scoperto un exploit zero-day in un prodotto firewall. Tra il 22 e il 25 aprile 2020, Guan Tianfeng ha utilizzato questo exploit zero-day per distribuire malware a circa 81.000 firewall di proprietà di migliaia di aziende in tutto il mondo. Lo scopo dell’exploit era quello di utilizzare i firewall compromessi per rubare dati, inclusi nomi utente e password. Tuttavia, Guan ha anche tentato di infettare i sistemi delle vittime con la variante del ransomware Ragnarok. Questo ransomware disabilita il software antivirus e crittografa i computer sulla rete di una vittima se tenta di porre rimedio alla compromissione.

Oltre 23.000 dei firewall compromessi si trovavano negli Stati Uniti. Di questi firewall, 36 proteggevano i sistemi delle aziende di infrastrutture critiche statunitensi. Se una di queste vittime non avesse patchato i propri sistemi per mitigare l’exploit, o le misure di sicurezza informatica non avessero identificato e rimediato rapidamente all’intrusione, il potenziale impatto dell’attacco ransomware Ragnarok avrebbe potuto causare gravi lesioni o la perdita di vite umane.

Una vittima era una società energetica statunitense che era attivamente coinvolta in operazioni di perforazione al momento della compromissione. Se questa compromissione non fosse stata rilevata e l’attacco ransomware non fosse stato sventato, avrebbe potuto causare il malfunzionamento delle piattaforme petrolifere, causando potenzialmente una significativa perdita di vite umane.

Guan Tianfeng e il silenzio del Sichuan

Guan è un cittadino cinese ed era un ricercatore di sicurezza presso Sichuan Silence al momento della compromissione. Guan ha gareggiato per conto di Sichuan Silence in tornei di sicurezza informatica e ha pubblicato exploit zero-day scoperti di recente su forum di vulnerabilità ed exploit, anche sotto il suo soprannome GbigMao. Guan è stato responsabile della compromissione del firewall di aprile 2020.

Sichuan Silence è un appaltatore governativo per la sicurezza informatica con sede a Chengdu, i cui clienti principali sono i servizi di intelligence della RPC. Sichuan Silence fornisce a questi clienti prodotti e servizi di sfruttamento della rete informatica, monitoraggio delle e-mail, cracking delle password con forza bruta e operazioni di manipolazione del pubblico. Inoltre, Sichuan Silence fornisce a questi clienti apparecchiature progettate per sondare e sfruttare i router di rete target. Un dispositivo di pre-posizionamento utilizzato da Guan nella compromissione del firewall di aprile 2020 era in realtà di proprietà del suo datore di lavoro, Sichuan Silence.

L’OFAC ha designato Sichuan Silence e Guan ai sensi dell’Ordine esecutivo (EO) 13694, modificato dall’EO 13757, per essere responsabili o complici, o per aver preso parte, direttamente o indirettamente, ad attività informatiche provenienti da, o dirette da, persone situate, in tutto o in parte sostanziale, al di fuori degli Stati Uniti, che hanno ragionevolmente probabilità di causare, o di aver contribuito materialmente a, una minaccia significativa alla sicurezza nazionale, alla politica estera, alla salute economica o alla stabilità finanziaria degli Stati Uniti e che hanno lo scopo o l’effetto di danneggiare, o altrimenti compromettere significativamente la fornitura di servizi da parte di, un computer o una rete di computer che supportano una o più entità in un settore di infrastrutture critiche.

L'articolo 10 Milioni di Dollari per Chi Trova Guan! Il Ricercatore Cinese che Colpì 81.000 Firewall proviene da il blog della sicurezza informatica.

0
0
4 hours ago