CVE-2024-50623

Pending

27 Oct 2024
Published
10 Dec 2024
Updated

CVSS
Pending
EPSS
0.04%

  • 5 Posts
  • 31 Interactions

CVE Info

In Cleo Harmony before 5.8.0.21, VLTrader before 5.8.0.21, and LexiCom before 5.8.0.21, there is an unrestricted file upload and download that could lead to remote code execution.

Fediverse

Profile picture

❗ Huntress Labs has shared new research regarding CVE-2024-50623, a vulnerability disclosed by Cleo Software on October 27th. The provided patch does not fully resolve the issue affecting versions of Cleo Harmony, LexiCom, and VLTrader prior to 5.8.0.21. There is evidence that this vulnerability is being exploited in the wild.

⚠️ Of note, successful exploitation of this vulnerability potentially allows remote code execution and requires access to the Cleo web server.

👏 Thanks for @rk for this Rapid Response post!

👉 Use runZero to find potentially vulnerable systems in minutes without rescanning: runzero.com/blog/cleo-software

  • 4
  • 3
  • 9 hours ago
Profile picture

I'd imagine this is gonna change about three times an hour at the rate new info (and intel) is being shared, but Rapid7 is also investigating a bunch of incidents related to this. Our MDR folk have confirmed successful exploitation in customer environments and observed enumeration and post-exploitation behavior similar to what @huntress has already shared. rapid7.com/blog/post/2024/12/1

  • 6
  • 5
  • 16 hours ago
Profile picture

Rapid7 say "As of December 10, Rapid7 MDR has confirmed successful exploitation of this issue in customer environments; similar to Huntress, our team has observed enumeration and post-exploitation activity and is investigating multiple incidents." rapid7.com/blog/post/2024/12/1

#cleo #threatintel

  • 4
  • 9
  • 16 hours ago
Profile picture

In Cleo Harmony before 5.8.0.21, VLTrader before 5.8.0.21, and LexiCom before 5.8.0.21, there is an unrestricted file upload and download that could lead to remote code execution.

Threat Advisory: Oh No Cleo! Cleo Software Actively Being Exploited in the Wild

cve.circl.lu/vuln/CVE-2024-506

#cve #vulnerability

  • 0
  • 0
  • 22 hours ago
Profile picture

⚠️Vulnérabilité critique exploitée dans les logiciels de transfert de fichiers Cleo

Des attaquants exploitent activement des failles dans les logiciels de Cleo (Harmony, VLTrader, LexiCom) pour infiltrer les systèmes des entreprises.

Ces vulnérabilités incluent :

CVE-2024-50623 : Téléchargement et exécution de fichiers sans restriction, permettant l'installation de backdoors.
+
Exploit Autorun (Exécution de commandes arbitraires via des paramètres par défaut non sécurisés.

🔴 Impact :

Les chercheurs de Huntress ont identifié des compromissions dès le 3 décembre, avec une intensification des attaques le 8 décembre.
👇
huntress.com/blog/threat-advis

(Selon Onyphe et Shodan des instances publiques des logiciels Cleo sont aussi exposées en Europe)

[Advisory]
👇
support.cleo.com/hc/en-us/arti

"Widespread exploitation of Cleo file transfer software (CVE-2024-50623)"
👇
rapid7.com/blog/post/2024/12/1

Dans les news infosec
⬇️
Attackers actively exploiting flaw(s) in Cleo file transfer software (CVE-2024-50623)
👇
helpnetsecurity.com/2024/12/10

  • 0
  • 0
  • 15 hours ago

CVE-2024-54143

openwrt asu

06 Dec 2024
Published
06 Dec 2024
Updated

CVSS v4.0
CRITICAL (9.3)
EPSS
0.04%

  • 4 Posts
  • 31 Interactions

CVE Info

openwrt/asu is an image on demand server for OpenWrt based distributions. The request hashing mechanism truncates SHA-256 hashes to only 12 characters. This significantly reduces entropy, making it feasible for an attacker to generate collisions. By exploiting this, a previously built malicious image can be served in place of a legitimate one, allowing the attacker to "poison" the artifact cache and deliver compromised images to unsuspecting users. This can be combined with other attacks, such as a command injection in Imagebuilder that allows malicious users to inject arbitrary commands into the build process, resulting in the production of malicious firmware images signed with the legitimate build key. This has been patched with 920c8a1.

Fediverse

Profile picture

Open source router firmware project fixes dusty old code.

The #OpenWrt project had to scramble to fix a critical vulnerability last week: The built-in firmware updater could be persuaded to install malicious code. But now it’s all fixed, the team can talk about it.

A Japanese researcher discovered OpenWrt used an incredibly weak hash; it also failed to sanitize inputs. In #SBBlogwatch, we make code not war. At @TechstrongGroup⁠’s @SecurityBlvd: securityboulevard.com/2024/12/

  • 9
  • 9
  • 13 hours ago
Profile picture

"OpenWrt developers were only able to verify the build logs for the past seven days. … Users [should do] in-place upgrades to the same version to eliminate any possibility of being affected": Critical OpenWrt Bug: Update Your Gear! securityboulevard.com/2024/12/

  • 3
  • 3
  • 13 hours ago
Profile picture

Sysupgrade flaw let push malicious firmware images

This was discovered by security researcher "RyotaK," tracked as CVE-2024-54143, was fixed within hours by OpenWRT developers. A vulnerability in how the input handling mechanism could allow arbitrary command injection.

No evidence of exploitation by threat actors according to OpenWRT (though, this scope is only limited to builds no older than 7 days), but users are encouraged to perform checks to ensure their firmware isn't malicious.

bleepingcomputer.com/news/secu

  • 2
  • 5
  • 13 hours ago
Profile picture

Exemple de réactivité communautaire exemplaire ! GG à l'équipe OpenWrt ! 💪
⬇️
Le 4 décembre 2024, suite au signalement confidentiel de RyotaK (Flatt Security), l'équipe OpenWrt a réagi en 3h pour :
⚙️ Désactiver le service vulnérable sysupgrade.openwrt.org
🔧 Appliquer un correctif
🛠️ Réinitialiser les serveurs affectés

( Aucune preuve d'exploitation de la CVE-2024-54143 sur les images officielles de downloads.openwrt.org ni d'impact sur les customs à partir de la v24.10.0-rc2. )

Si vous utilisez une instance ASU ( github.com/openwrt/asu ) publique/auto-hébergée, mettez là à jour pour éliminer tout risque résiduel! 🔄

Détails :
📜 Annonce OpenWrt
⬇️
Attended Sysupgrade Server CVE-2024-54143
👇
lists.openwrt.org/pipermail/op

🔍 Analyse complète Flatt Security (loved-it: comment bien faire chauffer une RTX 4090 avec hashcat :) )
⬇️
"Compromising OpenWrt Supply Chain via Truncated SHA-256 Collision and Command Injection"
👇
flatt.tech/research/posts/comp

📰 Dans les news infosec
👇
bleepingcomputer.com/news/secu

  • 0
  • 0
  • 19 hours ago

CVE-2024-11633

Ivanti Connect Secure

10 Dec 2024
Published
10 Dec 2024
Updated

CVSS v3.1
CRITICAL (9.1)
EPSS
Pending

  • 2 Posts
  • 57 Interactions

CVE Info

Argument injection in Ivanti Connect Secure before version 22.7R2.4 allows a remote authenticated attacker with admin privileges to achieve remote code execution

Fediverse

Profile picture

Re CVE-2024-11633 ("Argument injection in Ivanti Connect Secure before version 22.7R2.4") ...

it "allows a remote authenticated attacker with admin privileges to achieve remote code execution"

(emphasis mine)

... should this warrant a 9.1 (Critical) ?

I mean, I guess if someone steals the creds for your admin user and then uses it to implant something under the hood, that would be bad, so ... maybe so.

  • 0
  • 3
  • 11 hours ago

CVE-2020-12271

KEV
Pending

27 Apr 2020
Published
04 Aug 2024
Updated

CVSS v3.0
CRITICAL (10.0)
EPSS
1.67%

  • 4 Posts
  • 20 Interactions

CVE Info

A SQL injection issue was found in SFOS 17.0, 17.1, 17.5, and 18.0 before 2020-04-25 on Sophos XG Firewall devices, as exploited in the wild in April 2020. This affected devices configured with either the administration (HTTPS) service or the User Portal exposed on the WAN zone. A successful attack may have caused remote code execution that exfiltrated usernames and hashed passwords for the local device admin(s), portal admins, and user accounts used for remote access (but not external Active Directory or LDAP passwords)

Fediverse

Profile picture

U.S. Treasury: Treasury Sanctions Cybersecurity Company Involved in Compromise of Firewall Products and Attempted Ransomware Attacks
Related to DOJ toot above. The Department of the Treasury's Office of Foreign Assets Control (OFAC) is sanctioning cybersecurity company Sichuan Silence Information Technology Company, Limited (Sichuan Silence), and one of its employees, Guan Tianfeng, both based in People's Republic of China (PRC), for their roles in the April 2020 compromise of tens of thousands of firewalls worldwide. Many of the victims were U.S. critical infrastructure companies.

Between April 22 and 25, 2020, Guan Tianfeng used this zero-day exploit to deploy malware to approximately 81,000 firewalls owned by thousands of businesses worldwide. The purpose of the exploit was to use the compromised firewalls to steal data, including usernames and passwords. However, Guan also attempted to infect the victims' systems with the Ragnarok ransomware variant. This ransomware disables anti-virus software and encrypts the computers on a victim's network if they attempt to remedy the compromise.

Sichuan Silence is a Chengdu-based cybersecurity government contractor whose core clients are PRC intelligence services.

h/t: @metacurity ; cc: @nattothoughts

  • 4
  • 5
  • 8 hours ago
Profile picture

U.S. Department of Justice: China-Based Hacker Charged for Conspiring to Develop and Deploy Malware That Exploited Tens of Thousands of Firewalls Worldwide
Chinese national Guan Tianfeng was charged in connection with the mass exploitation of Sophos firewalls in 2020. Guan and his co-conspirators worked at the offices of Sichuan Silence Information Technology Co. Ltd., developing and subsequently exploiting a then-zero-day vulnerability CVE-2020-12271 (CVSSv3.0: perfect 10.0 🥳 @cR0w) Sophos SFOS SQL Injection Vulnerability.

According to court documents, Guan worked for Sichuan Silence, a PRC-based private company that has provided services to the PRC Ministry of Public Security, among other PRC organizations.

Sophos discovered the intrusion and remediated its customers' firewalls in approximately two days, which caused the co-conspirators to modify their malware. As modified, the malware was designed to deploy encryption software from a ransomware variant in the event the victims attempted to remove the malware.

See related Sophos "Pacific Rim" investigation: Pacific Rim: Inside the Counter-Offensive—The TTPs Used to Neutralize China-Based Threats. Also view the @nattothoughts blog post Sichuan Silence Information Technology: Great Sounds are Often Inaudible.

  • 3
  • 3
  • 8 hours ago
Profile picture

U.S. Department of State Rewards for Justice: Sichuan Silence Information Technology
People's Republic of China (PRC)-based Sichuan Silence Information Technology Co. Ltd. (Sichuan Silence) has provided services to China's Ministry of Public Security, among other Chinese government agencies. In 2020, Chinese national Guan Tianfeng and other employees of Sichuan Silence developed and tested intrusion techniques prior to deploying malicious software that allowed them to exploit a zero-day vulnerability in certain Sophos firewalls CVE-2020-12271 (CVSSv3.0: 10.0 critical). Sichuan Silence used the exploit to infiltrate approximately 81,000 firewall devices, infecting them with malware designed to not only retrieve and exfiltrate data from firewalls and computers behind them, but also encrypt files on infected computers if a victim attempted to remediate the infection.

  • 1
  • 1
  • 7 hours ago
Profile picture

U.S. Department of State: U.S. Takes Action in Response to Compromise of Firewall Products
The United States is imposing sanctions today on the Chengdu-based cybersecurity company Sichuan Silence Information Technology Company, Limited (Sichuan Silence), and one of its employees, Guan Tianfeng, for their roles in the compromise of tens of thousands of firewalls worldwide, including firewalls at U.S. critical infrastructure companies. Concurrently, the U.S. Department of State announced a Rewards for Justice reward offer of up to $10 million for information about Sichuan Silence or Guan. The Department of Justice also unsealed an indictment of Guan.

  • 0
  • 3
  • 7 hours ago

CVE-2024-53247

Splunk Enterprise

10 Dec 2024
Published
10 Dec 2024
Updated

CVSS v3.1
HIGH (8.8)
EPSS
Pending

  • 2 Posts
  • 9 Interactions

CVE Info

In Splunk Enterprise versions below 9.3.2, 9.2.4, and 9.1.7, and versions below 3.2.461 and 3.7.13 of the Splunk Secure Gateway app on Splunk Cloud Platform, a low-privileged user that does not hold the “admin“ or “power“ Splunk roles could perform a Remote Code Execution (RCE).

Fediverse

Profile picture

@screaminggoat CVE-2024-53247 is because of an insecure usage of the jsonpickle library. Someone needs to create an exploit and name it PickleMilker.

  • 1
  • 3
  • 11 hours ago
Profile picture

Happy from Splunk:

  • SVD-2024-1201 Information Disclosure in Mobile Alert Responses in Splunk Secure Gateway (CVE-2024-53243, 4.3 medium)
  • SVD-2024-1202 Risky command safeguards bypass in "/en-US/app/search/report" endpoint through "s" parameter (CVE-2024-53244, 5.7 medium)
  • SVD-2024-1203 Information Disclosure due to Username Collision with a Role that has the same Name as the User (CVE-2024-53245, 3.1 low)
  • SVD-2024-1204 Sensitive Information Disclosure through SPL commands (CVE-2024-53246, 5.3 medium)
  • SVD-2024-1205 Remote Code Execution through Deserialization of Untrusted Data in Splunk Secure Gateway app (CVE-2024-53247, 8.8 high)
  • SVD-2024-1206 Third-Party Package Updates in Splunk Enterprise - December 2024 (multiple CVEs)
  • SVD-2024-1207 Third-Party Package Updates in Splunk Universal Forwarder - December 2024 (CVE-2024-5535, 9.1 critical)

No verbiage of exploitation.

  • 2
  • 3
  • 12 hours ago

CVE-2024-26923

Linux

24 Apr 2024
Published
05 Nov 2024
Updated

CVSS
Pending
EPSS
0.04%

  • 1 Post
  • 5 Interactions

CVE Info

In the Linux kernel, the following vulnerability has been resolved: af_unix: Fix garbage collector racing against connect() Garbage collector does not take into account the risk of embryo getting enqueued during the garbage collection. If such embryo has a peer that carries SCM_RIGHTS, two consecutive passes of scan_children() may see a different set of children. Leading to an incorrectly elevated inflight count, and then a dangling pointer within the gc_inflight_list. sockets are AF_UNIX/SOCK_STREAM S is an unconnected socket L is a listening in-flight socket bound to addr, not in fdtable V's fd will be passed via sendmsg(), gets inflight count bumped connect(S, addr) sendmsg(S, [V]); close(V) __unix_gc() ---------------- ------------------------- ----------- NS = unix_create1() skb1 = sock_wmalloc(NS) L = unix_find_other(addr) unix_state_lock(L) unix_peer(S) = NS // V count=1 inflight=0 NS = unix_peer(S) skb2 = sock_alloc() skb_queue_tail(NS, skb2[V]) // V became in-flight // V count=2 inflight=1 close(V) // V count=1 inflight=1 // GC candidate condition met for u in gc_inflight_list: if (total_refs == inflight_refs) add u to gc_candidates // gc_candidates={L, V} for u in gc_candidates: scan_children(u, dec_inflight) // embryo (skb1) was not // reachable from L yet, so V's // inflight remains unchanged __skb_queue_tail(L, skb1) unix_state_unlock(L) for u in gc_candidates: if (u.inflight) scan_children(u, inc_inflight_move_tail) // V count=1 inflight=2 (!) If there is a GC-candidate listening socket, lock/unlock its state. This makes GC wait until the end of any ongoing connect() to that socket. After flipping the lock, a possibly SCM-laden embryo is already enqueued. And if there is another embryo coming, it can not possibly carry SCM_RIGHTS. At this point, unix_inflight() can not happen because unix_gc_lock is already taken. Inflight graph remains unaffected.

Fediverse

Profile picture

Happy from F5: K000148931: Linux kernel vulnerability CVE-2024-26923
CVE-2024-26923 (7.0 high) af_unix: Fix garbage collector racing against connect() An authenticated local attacker may be able to exploit this vulnerability to escalate privileges on the system. Impacted product is Traffix SDC 5.2.0 and fixes are introduced in ...none. It's not marked as End of Life, so I guess F5 just don't care? 🤷‍

  • 2
  • 3
  • 10 hours ago

CVE-2024-49138

KEV
Microsoft Windows 10 Version 1809

10 Dec 2024
Published
10 Dec 2024
Updated

CVSS v3.1
HIGH (7.8)
EPSS
Pending

  • 2 Posts
  • 19 Interactions

CVE Info

Windows Common Log File System Driver Elevation of Privilege Vulnerability

Fediverse

Profile picture

CISA: CISA Adds One Known Exploited Vulnerability to Catalog
CVE-2024-49138 (7.8 high) Microsoft Windows Common Log File System (CLFS) Driver Heap-Based Buffer Overflow Vulnerability

This additional information was not disclosed in Microsoft's security advisory (see parent toot above).

  • 1
  • 4
  • 11 hours ago
Profile picture

Happy from Microsoft: 71 new vulnerabilities, ONE ZERO-DAY:

  • CVE-2024-49138 (7.8 high) Windows Common Log File System Driver Elevation of Privilege Vulnerability (PUBLICLY DISCLOSED, EXPLOITED)

Update for CVE-2024-38033 (7.3 high, from 09 July 2024) PowerShell Elevation of Privilege Vulnerability was reissued a patch for all affected versions of Windows Server 2012 and Windows Server 2012 R2.

The Microsoft data arrived almost 10 minutes early.

  • 7
  • 7
  • 12 hours ago

CVE-2024-21944

Pending

Pending
Published
Pending
Updated

CVSS
Pending
EPSS
Pending

  • 1 Post
  • 3 Interactions

CVE Info

This candidate has been reserved by a CVE Numbering Authority (CNA). This record will be updated by the assigning CNA once details are available.

Fediverse

Profile picture

/ seems quite far fetched to me. If your trust model includes you hopefully also have assurances of physical security.
arstechnica.com/information-te

  • 1
  • 2
  • 7 hours ago

CVE-2024-21542

luigi

10 Dec 2024
Published
10 Dec 2024
Updated

CVSS v4.0
HIGH (7.7)
EPSS
0.04%

  • 1 Post
  • 2 Interactions

CVE Info

Versions of the package luigi before 3.6.0 are vulnerable to Arbitrary File Write via Archive Extraction (Zip Slip) due to improper destination file path validation in the _extract_packages_archive function.

Fediverse

CVE-2023-41990

KEV
Apple iOS and iPadOS

11 Sept 2023
Published
02 Aug 2024
Updated

CVSS
Pending
EPSS
0.09%

  • 1 Post

CVE Info

The issue was addressed with improved handling of caches. This issue is fixed in tvOS 16.3, iOS 16.3 and iPadOS 16.3, macOS Monterey 12.6.8, macOS Big Sur 11.7.9, iOS 15.7.8 and iPadOS 15.7.8, macOS Ventura 13.2, watchOS 9.3. Processing a font file may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited against versions of iOS released before iOS 15.7.1.

Fediverse

Profile picture

"Triangulating TrueType Fonts On macOS: Reconstructing CVE-2023-41990" (Aleksandar Nikolic )

Fonts are so much more complicated than I thought. To handle low-resolution displays, fonts could specify how they should be displayed when they scaled up and down. This complicated code allowed for an out-of-bounds memory write.

objectivebythesea.org/v7/talks

  • 0
  • 0
  • 1 hours ago

CVE-2024-47578

SAP_SE SAP NetWeaver AS for JAVA (Adobe Document Services)

10 Dec 2024
Published
10 Dec 2024
Updated

CVSS v3.1
CRITICAL (9.1)
EPSS
0.04%

  • 1 Post

CVE Info

Adobe Document Service allows an attacker with administrator privileges to send a crafted request from a vulnerable web application. It is usually used to target internal systems behind firewalls that are normally inaccessible to an attacker from the external network, resulting in a Server-Side Request Forgery vulnerability. On successful exploitation, the attacker can read or modify any file and/or make the entire system unavailable.

Fediverse

Profile picture

SAP released security patches for 16 vulnerabilities, including a critical SSRF bug in NetWeaver (Adobe Document Services). The bug, CVE-2024-47578, could lead to full system compromise if exploited. Users are advised to apply the security notes as soon as possible.
securityweek.com/sap-patches-c

  • 0
  • 0
  • 5 hours ago

CVE-2024-38033

Microsoft Windows 10 Version 1809

09 Jul 2024
Published
10 Dec 2024
Updated

CVSS v3.1
HIGH (7.3)
EPSS
0.05%

  • 1 Post
  • 14 Interactions

CVE Info

PowerShell Elevation of Privilege Vulnerability

Fediverse

Profile picture

Happy from Microsoft: 71 new vulnerabilities, ONE ZERO-DAY:

  • CVE-2024-49138 (7.8 high) Windows Common Log File System Driver Elevation of Privilege Vulnerability (PUBLICLY DISCLOSED, EXPLOITED)

Update for CVE-2024-38033 (7.3 high, from 09 July 2024) PowerShell Elevation of Privilege Vulnerability was reissued a patch for all affected versions of Windows Server 2012 and Windows Server 2012 R2.

The Microsoft data arrived almost 10 minutes early.

  • 7
  • 7
  • 12 hours ago

CVE-2024-8190

KEV
Ivanti CSA (Cloud Services Appliance)

10 Sept 2024
Published
16 Sept 2024
Updated

CVSS v3.1
HIGH (7.2)
EPSS
12.57%

  • 1 Post
  • 54 Interactions

CVE Info

An OS command injection vulnerability in Ivanti Cloud Services Appliance versions 4.6 Patch 518 and before allows a remote authenticated attacker to obtain remote code execution. The attacker must have admin level privileges to exploit this vulnerability.

Fediverse

CVE-2024-8963

KEV
Ivanti CSA (Cloud Services Appliance)

19 Sept 2024
Published
21 Sept 2024
Updated

CVSS v3.1
CRITICAL (9.4)
EPSS
96.73%

  • 1 Post
  • 54 Interactions

CVE Info

Path Traversal in the Ivanti CSA before 4.6 Patch 519 allows a remote unauthenticated attacker to access restricted functionality.

Fediverse

CVE-2024-9380

KEV
Ivanti CSA (Cloud Services Appliance)

08 Oct 2024
Published
10 Oct 2024
Updated

CVSS v3.1
HIGH (7.2)
EPSS
4.27%

  • 1 Post
  • 54 Interactions

CVE Info

An OS command injection vulnerability in the admin web console of Ivanti CSA before version 5.0.2 allows a remote authenticated attacker with admin privileges to obtain remote code execution.

Fediverse

CVE-2024-9381

Ivanti CSA (Cloud Services Appliance)

08 Oct 2024
Published
08 Oct 2024
Updated

CVSS v3.1
HIGH (7.2)
EPSS
0.05%

  • 1 Post
  • 54 Interactions

CVE Info

Path traversal in Ivanti CSA before version 5.0.2 allows a remote authenticated attacker with admin privileges to bypass restrictions.

Fediverse

CVE-2024-9379

KEV
Ivanti CSA (Cloud Services Appliance)

08 Oct 2024
Published
10 Oct 2024
Updated

CVSS v3.1
MEDIUM (6.5)
EPSS
0.61%

  • 1 Post
  • 54 Interactions

CVE Info

SQL injection in the admin web console of Ivanti CSA before version 5.0.2 allows a remote authenticated attacker with admin privileges to run arbitrary SQL statements.

Fediverse

CVE-2024-23113

KEV
Fortinet FortiSwitchManager

15 Feb 2024
Published
10 Oct 2024
Updated

CVSS v3.1
CRITICAL (9.8)
EPSS
1.84%

  • 1 Post
  • 3 Interactions

CVE Info

A use of externally-controlled format string in Fortinet FortiOS versions 7.4.0 through 7.4.2, 7.2.0 through 7.2.6, 7.0.0 through 7.0.13, FortiProxy versions 7.4.0 through 7.4.2, 7.2.0 through 7.2.8, 7.0.0 through 7.0.14, FortiPAM versions 1.2.0, 1.1.0 through 1.1.2, 1.0.0 through 1.0.3, FortiSwitchManager versions 7.2.0 through 7.2.3, 7.0.0 through 7.0.3 allows attacker to execute unauthorized code or commands via specially crafted packets.

Fediverse

Profile picture

Heads up: If you've used the github.com/puckiestyle/CVE-202 for testing Fortinet systems vulnerable to : The code is broken and does not reliably check for the .

  • 2
  • 1
  • 23 hours ago

CVE-2024-11205

smub WPForms – Easy Form Builder for WordPress – Contact Forms, Payment Forms, Surveys, & More

10 Dec 2024
Published
10 Dec 2024
Updated

CVSS v3.1
HIGH (8.5)
EPSS
0.04%

  • 1 Post
  • 1 Interaction

CVE Info

The WPForms plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the 'wpforms_is_admin_page' function in versions starting from 1.8.4 up to, and including, 1.9.2.1. This makes it possible for authenticated attackers, with Subscriber-level access and above, to refund payments and cancel subscriptions.

Fediverse

Profile picture

CVE-2024-11205: WPForms Plugin Vulnerability Exposes 6 Million WordPress Sites to Financial Risk
thecyberexpress.com/cve-2024-1

Posted into Cybersecurity Today @cybersecurity-today-rhudaur

  • 1
  • 0
  • 14 hours ago

CVE-2024-21893

KEV
Ivanti ICS

31 Jan 2024
Published
01 Aug 2024
Updated

CVSS v3.0
HIGH (8.2)
EPSS
95.99%

  • 2 Posts

CVE Info

A server-side request forgery vulnerability in the SAML component of Ivanti Connect Secure (9.x, 22.x) and Ivanti Policy Secure (9.x, 22.x) and Ivanti Neurons for ZTA allows an attacker to access certain restricted resources without authentication.

Fediverse

Profile picture

Operation Digital Eye: il primo attacco cinese che sfrutta Visual Studio Code come C2

Sintesi


  • Da fine giugno a metà luglio 2024, un presunto autore di minacce con legami con la Cina ha preso di mira grandi fornitori di servizi IT B2B nell’Europa meridionale, un cluster di attività che abbiamo soprannominato “Operation Digital Eye”.
  • Le intrusioni avrebbero potuto consentire agli avversari di stabilire punti di appoggio strategici e compromettere le entità a valle. SentinelLabs e Tinexta Cyber ​​hanno rilevato e interrotto le attività nelle loro fasi iniziali.
  • Gli autori della minaccia hanno utilizzato una capacità di movimento laterale indicativa della presenza di un fornitore condiviso o di un quartiermastro digitale che si occupa della manutenzione e del provisioning degli strumenti all’interno dell’ecosistema APT cinese.
  • Gli autori della minaccia hanno sfruttato in modo improprio Visual Studio Code e l’infrastruttura Microsoft Azure per scopi C2, tentando di eludere il rilevamento facendo apparire legittime le attività dannose.
  • La nostra visibilità suggerisce che l’abuso di Visual Studio Code per scopi C2 era stato relativamente raro in natura prima di questa campagna. Operation Digital Eye segna il primo caso di un presunto gruppo APT cinese che utilizza questa tecnica che abbiamo osservato direttamente.


Panoramica


Tinexta Cyber ​​e SentinelLabs hanno monitorato le attività di minaccia che hanno preso di mira i provider di servizi IT business-to-business nell’Europa meridionale. Sulla base del malware, dell’infrastruttura, delle tecniche utilizzate, della vittimologia e della tempistica delle attività, è altamente probabile che questi attacchi siano stati condotti da un attore di minacce China-nexus con motivazioni di cyberspionaggio.

Le relazioni tra i paesi europei e la Cina sono complesse, caratterizzate da cooperazione, competizione e tensioni sottostanti in settori quali commercio, investimenti e tecnologia. I gruppi di cyberspionaggio sospetti legati alla Cina prendono spesso di mira organizzazioni pubbliche e private in tutta Europa per raccogliere informazioni strategiche, ottenere vantaggi competitivi e promuovere interessi geopolitici, economici e tecnologici.

La campagna di attacco, che è stata soprannominata Operation Digital Eye, si è svolta da fine giugno a metà luglio 2024, per una durata di circa tre settimane. Le organizzazioni prese di mira forniscono soluzioni per la gestione di dati, infrastrutture e sicurezza informatica per clienti di vari settori, il che le rende obiettivi primari per gli attori del cyberspionaggio.

Una presenza sostenuta all’interno di queste organizzazioni fornirebbe agli attori di Operation Digital Eye un punto d’appoggio strategico, creando opportunità di intrusioni nella supply chain digitale e consentendo loro di esercitare il controllo sui processi IT critici all’interno delle entità compromesse a valle. Gli attacchi sono stati rilevati e interrotti durante le loro fasi iniziali.

Il gruppo esatto dietro Operation Digital Eye rimane poco chiaro a causa dell’ampia condivisione di malware, manuali operativi e processi di gestione delle infrastrutture all’interno del panorama delle minacce cinesi. Gli autori delle minacce hanno utilizzato una capacità pass-the-hash, probabilmente proveniente dalla stessa fonte delle modifiche Mimikatz personalizzate closed-source osservate esclusivamente in presunte attività di cyberspionaggio cinese, come Operation Soft Cell e Operation Tainted Love. Il malware e gli strumenti utilizzati in queste campagne sono stati collegati a diversi gruppi APT cinesi distinti. Ci riferiamo collettivamente a queste modifiche Mimikatz personalizzate come mimCN.

L’evoluzione a lungo termine e il versioning dei campioni mimCN, insieme a caratteristiche notevoli come le istruzioni rilevate per un team separato di operatori, suggeriscono il coinvolgimento di un fornitore condiviso o di un quartier generale digitale responsabile della manutenzione attiva e della fornitura di strumenti. Questa funzione all’interno dell’ecosistema APT cinese, corroborata dalla fuga di notizie I-Soon, probabilmente svolge un ruolo chiave nel facilitare le operazioni di cyberspionaggio China-nexus.

L’abuso di Visual Studio Code Remote Tunnels per scopi C2 è centrale in questa campagna. Originariamente progettata per abilitare lo sviluppo remoto, questa tecnologia fornisce un accesso completo agli endpoint, inclusa l’esecuzione dei comandi e la manipolazione del file system. Inoltre, il tunneling di Visual Studio Code coinvolge eseguibili firmati da Microsoft e dall’infrastruttura di rete di Microsoft Azure, entrambi spesso non monitorati attentamente e in genere consentiti dai controlli delle applicazioni e dalle regole del firewall. Di conseguenza, questa tecnica potrebbe essere difficile da rilevare e potrebbe eludere le difese di sicurezza. In combinazione con l’accesso completo agli endpoint che fornisce, ciò rende il tunneling di Visual Studio Code una capacità attraente e potente da sfruttare per gli attori delle minacce.

Tinexta Cyber ​​e SentinelLabs hanno informato Microsoft dell’abuso di Visual Studio Code e dell’infrastruttura di Azure in relazione all’operazione Digital Eye.

Vettore di infezione e progressione dell’attacco


Gli aggressori hanno utilizzato l’iniezione di SQL (Structured Query Language) come vettore di accesso iniziale per infiltrarsi nei server Web e nei database connessi a Internet. Le intestazioni User-Agent delle richieste nei registri del traffico Web recuperate indicano che gli aggressori hanno utilizzato lo strumento sqlmap per automatizzare il rilevamento e lo sfruttamento delle vulnerabilità di iniezione di SQL.

Per stabilire un punto d’appoggio iniziale e mantenere un accesso persistente, gli autori della minaccia hanno distribuito una webshell basata su PHP. Relativamente semplice nella progettazione e nell’implementazione, la webshell utilizza la funzione assert per eseguire il codice PHP fornito dall’aggressore. La sua implementazione non assomiglia ad altre webshell con cui si ha familiarità. A questa webshell è stato dato il di PHPsert.

Per mascherare i file che implementano PHPsert e tentare di eludere il rilevamento in base all’attività del file system, gli aggressori hanno utilizzato nomi personalizzati su misura per gli ambienti infiltrati, facendo apparire legittimi i nomi dei file. Ciò includeva l’utilizzo della lingua locale e di termini allineati al contesto tecnologico delle organizzazioni prese di mira.

Dopo aver stabilito un punto d’appoggio iniziale, gli autori della minaccia hanno condotto una ricognizione utilizzando una varietà di strumenti di terze parti e utilità Windows integrate, come GetUserInfo e ping. Hanno anche distribuito lo strumento local.exe, che fa parte del Microsoft Windows NT Resource Kit e consente di visualizzare le appartenenze ai gruppi di utenti.

Per rubare le credenziali, gli aggressori hanno utilizzato lo strumento CreateDump per estrarre la memoria allocata al processo Local Security Authority Subsystem Service (LSASS) ed esfiltrare le credenziali. CreateDump fa parte della distribuzione di Microsoft .NET Framework. Gli autori della minaccia hanno anche recuperato le credenziali dal database Security Account Manager (SAM), che hanno estratto dal Registro di sistema di Windows utilizzando il comando reg save.

Gli attori della minaccia spesso nominano i file che distribuiscono utilizzando il pattern do.*. Esempi includono do.log (output dai comandi ping), do.exe (lo strumento CreateDump) e do.bat(uno script che esegue ed elimina l’eseguibile CreateDump).

Dagli endpoint inizialmente compromessi, gli aggressori si sono spostati lateralmente attraverso la rete interna, utilizzando principalmente connessioni RDP (Remote Desktop Protocol) e tecniche pass-the-hash. Per gli attacchi pass-the-hash, hanno utilizzato una versione modificata personalizzata di Mimikatz, implementata in un eseguibile denominato bK2o.exe.

Oltre alla webshell PHPsert, gli autori della minaccia hanno utilizzato due metodi per l’esecuzione di comandi remoti: l’accesso SSH, abilitato authorized_keys distribuendo file contenenti chiavi pubbliche per l’autenticazione, e Visual Studio Code Remote Tunnels.

Visual Studio Code Remote Tunnels, basato sulla tecnologia dev tunnel di Microsoft, consente agli sviluppatori di accedere e lavorare su sistemi remoti. Questo accesso include il terminale di comando e il file system, consentendo attività come l’esecuzione di comandi e la modifica di file. Gli attori di Operation Digital Eye hanno abusato di questa funzionalità per mantenere un accesso backdoor persistente ai sistemi compromessi.

Nel tentativo di eludere il rilevamento basato sull’attività del file system, gli autori della minaccia hanno utilizzato %System[url=https://www.redhotcyber.com/post/la-storia-della-superuser-la-storia-di-root]Root[/url]%\Temp e %ProgramData%\Visual Studio Code come directory di lavoro principali per l’archiviazione di strumenti e dati. %SystemRoot%\Temp è una directory in cui Windows archivia i file temporanei e spesso viene monitorata con minore attenzione. %ProgramData%\Visual Studio Code doveva apparire come una directory legittima associata a Visual Studio Code.

Le intrusioni sono state rilevate e interrotte prima che gli aggressori potessero procedere con fasi successive, come l’esfiltrazione dei dati.

Abuso di Visual Studio Code


Gli autori della minaccia hanno distribuito un eseguibile portatile di Visual Studio Code denominato code.exe, che è firmato digitalmente da Microsoft, e hanno utilizzato lo strumento winsw per eseguirlo come servizio Windows. Il file di configurazione winsw che è stato recuperato indica che gli aggressori hanno creato un servizio denominato Visual Studio Code Service, che viene eseguito code.exe con il parametro tunnel della riga di comando a ogni avvio del sistema.

Il file di configurazione rivela un approccio pragmatico da parte degli attori della minaccia, che hanno probabilmente modificato una configurazione disponibile al pubblico winsw. Ciò è suggerito dall’uso dell’identificativo myapp del servizio e della directory %BASE%\logs per l’archiviazione dei file winsw di registro, entrambi presenti nel file di configurazione pubblico e in quello recuperato.
file di configurazione winsw
Il parametro tunnel ordina a Visual Studio Code di creare un tunnel di sviluppo e di agire come server a cui gli utenti remoti possono connettersi. Dopo l’autenticazione al tunnel con un account Microsoft o GitHub, gli utenti remoti possono accedere all’endpoint che esegue il server di Visual Studio Code, tramite l’applicazione desktop di Visual Studio Code o la versione basata su browser, vscode.dev.

Dopo aver creato i tunnel di sviluppo, gli autori della minaccia si sono autenticati tramite account GitHub e hanno avuto accesso agli endpoint compromessi tramite la versione basata su browser di Visual Studio Code. Non si sa ancora se gli autori della minaccia abbiano utilizzato l’account GitHub auto registrato o compromesso per autenticarsi nei tunnel.

Infrastruttura di rete


Gli autori dell’Operazione Digital Eye hanno utilizzato infrastrutture situate esclusivamente in Europa, provenienti dal provider M247 e dalla piattaforma Cloud Microsoft Azure. Ciò faceva probabilmente parte di una strategia deliberata. Poiché le organizzazioni prese di mira hanno sede e operano in Europa, gli aggressori potrebbero aver cercato di ridurre al minimo i sospetti allineando la posizione della loro infrastruttura a quella dei loro obiettivi. Inoltre, l’infrastruttura Cloud comunemente utilizzata nei flussi di lavoro IT legittimi, come Microsoft Azure, spesso non è monitorata attentamente ed è frequentemente consentita tramite restrizioni firewall. Sfruttando l’infrastruttura Cloud pubblica per scopi dannosi, gli aggressori hanno fatto apparire legittimo il traffico, il che può essere difficile da rilevare e potrebbe eludere le difese di sicurezza.

Nelle fasi iniziali degli attacchi, gli autori della minaccia hanno utilizzato il server con indirizzo IP 146.70.161[.]78 per stabilire l’accesso iniziale rilevando e sfruttando le vulnerabilità di SQL injection, e il server con indirizzo IP 185.76.78[.]117 per gestire la webshell PHPsert. Entrambi gli indirizzi IP sono assegnati al provider di infrastrutture M247 e si trovano rispettivamente in Polonia e Italia.

Nelle fasi successive degli attacchi, gli autori della minaccia hanno utilizzato il server con indirizzo IP 4.232.170[.]137 per scopi C2 quando accedevano da remoto agli endpoint compromessi tramite il protocollo SSH. Questo server fa parte dell’infrastruttura Azure di Microsoft nella region del data center ( intervallo IP Azure :, tag di servizio 🙂 . Al momento non si hanno informazioni sul fatto che gli autori della minaccia abbiano utilizzato credenziali Azure auto-registrate o compromesse per accedere e gestire le risorse e 4.232.128[.]0/18 i servizi Azure learn.microsoft.com/en-us/azur…AzureCloud.italynorth.

L’abuso del tunneling di Visual Studio Code per scopi C2 si basa anche sull’infrastruttura di Microsoft Azure. La creazione e l’hosting di un tunnel di sviluppo richiedono la connessione a un server Microsoft Azure con un dominio di *.[clusterID].devtunnels.ms, dove [clusterID]corrisponde alla regione di Azure dell’endpoint che esegue il server di Visual Studio Code, come euw per West Europe. In Operation Digital Eye, la creazione di tunnel di sviluppo ha comportato l’instaurazione di connessioni al server con il dominio [REDACTED].euw.devtunnels[.]ms, che si è risolto nell’indirizzo IP 20.103.221[.]187. Questo server fa parte dell’infrastruttura di Microsoft Azure nella regione West Europe del data center (intervallo IP di Azure: 20.103.0[.]0/16, tag di servizio: AzureCloud.westeurope).

La Webshell PHPsert


PHPsert esegue il codice PHP fornito dall’attaccante utilizzando la funzione assert, che, nelle versioni PHP precedenti alla 8.0.0, interpreta ed esegue stringhe di parametri come codice PHP. Per ostacolare l’analisi statica ed eludere il rilevamento, la webshell utilizza varie tecniche di offuscamento del codice, tra cui la codifica XOR, la rappresentazione dei caratteri esadecimali, la concatenazione di stringhe e nomi di variabili randomizzati.
Implementazione PHPsert
La webshell PHPsert funziona come segue:

  • PHPsert istanzia una classe con un singolo metodo regolare, che decodifica tramite XOR e concatena i caratteri esadecimali per generare la stringa assert. Il distruttore della classe (il metodo magico __destruct) usa questa stringa per invocare la funzione assert, passando il codice PHP fornito dall’attaccante come parametro.
  • La webshell recupera il codice PHP fornito dall’attaccante da un parametro di richiesta HTTP POST, ad esempio, momomomo. Se il parametro id è presente nell’URL della richiesta, PHPsert decodifica il valore codificato in Base64 del parametro POST. Se il parametro id è assente, la webshell utilizza il valore raw del parametro.
  • Infine, quando PHPsert termina l’esecuzione, viene richiamato il distruttore della classe, che a sua volta richiama la funzione assert per eseguire il codice PHP fornito dall’aggressore.

Abbiamo identificato diverse varianti di PHPsert, che sono state inviate a piattaforme di condivisione di malware da maggio 2023, da varie località tra cui Giappone, Singapore, Perù, Taiwan, Iran, Corea e Filippine. Queste varianti mostrano solo piccole differenze nella loro implementazione, come nomi di variabili e parametri di richiesta POST come mr6, brute, e qq. L’analisi suggerisce che PHPsert è distribuito non solo come file PHP autonomo, ma è anche integrato in vari tipi di contenuti Web, tra cui editor di testo Web e sistemi di gestione dei contenuti.

Una delle varianti di PHPsert contiene frammenti di codice commentati in cinese semplificato che descrivono il codice vicino. Questi commenti e frammenti non sono presenti nelle versioni di PHPsert osservate in Operation Digital Eye, né in nessuna delle altre varianti della webshell. Di seguito sono riportati i commenti del codice, tutti tradotti automaticamente dal cinese semplificato:

  • 结果是"assert", che si traduce in The result is "assert".
  • 验证 $this->rg 是否安全, che si traduce in Verify that $this->rg is safe.
  • 验证和清理用户输入, che si traduce in Validating and sanitizing user input.


Frammenti di codice PHPsert con commenti in cinese
La presenza di questi commenti, insieme agli indicatori di codice rimosso nelle varianti di PHPsert, suggerisce il potenziale coinvolgimento di sviluppatori di lingua cinese che potrebbero aver semplificato la logica di esecuzione della webshell.

Capacità di Pass-the-Hash


L’eseguibile bK2o.exe (una versione modificata personalizzata di Mimikatz utilizzata in Operation Digital Eye per gli attacchi pass-the-hash) consente l’esecuzione di processi all’interno del contesto di sicurezza di un utente sfruttando un hash di password NTLM compromesso, bypassando la necessità della password effettiva dell’utente. Per ottenere ciò, bK2o.exe sovrascrive la memoria del processo LSASS. Lo strumento supporta i seguenti parametri della riga di comando:

  • /c: Processo da eseguire; cmd.exe se non specificato, il valore predefinito è .
  • /u: Nome utente dell’utente.
  • /d: Il dominio dell’utente.
  • /h: Hash della password NTLM.

bK2o.exe implementa una tecnica pass-the-hash sovrascrivendo la memoria LSASS in modo simile a Mimikatz, con la sua implementazione parzialmente sovrapposta alle funzioni Mimikatz come kuhl_m_sekurlsa_pth_luide kuhl_m_sekurlsa_msv_enum_cred_callback_pth. In sintesi, bK2o.exe esegue quanto segue:

  • Crea un processo sospeso in una nuova sessione di accesso, specificando il processo fornito dall’aggressore, il nome utente, il dominio e una password vuota.
  • In base all’identificatore univoco locale (LUID) della sessione, individua ed estrae dalla memoria del processo LSASS un blob di dati di credenziali crittografati contenente l’hash NTLM dell’utente e le chiavi di crittografia necessarie per decrittografare il blob.
  • Decrittografa il blob di dati, sovrascrive l’hash NTLM dell’utente con l’hash fornito dall’aggressore e crittografa nuovamente il blob di dati.
  • Riprende il processo sospeso.


bK2o.exe crea un nuovo processo e recupera il LUID della sessione di accesso
Per navigare nella memoria LSASS, bK2o.exe usa le firme di codice, rappresentate come sequenze di byte in formato esadecimale. Queste sequenze corrispondono a istruzioni LSASS note, che servono come punti di navigazione all’interno della memoria.

Per ostacolare l’analisi statica ed eludere il rilevamento, bK2o.exe offusca le firme del codice e le stringhe costruendole dinamicamente sullo stack in fase di esecuzione, anziché memorizzarle come dati statici.
bK2o.exe costruisce la firma del codice 33 ff 41 89 37 4c 8b f3 […] sullo stack

Dall’operazione Digital Eye a Tainted Love e Soft Cell


Sono stati quindi identificati altri due campioni e caricati su piattaforme di condivisione malware che costruiscono firme di codice sullo stack, che si chiamano wsx1.exe e wsx1.exe. Come bK2o.exe, entrambi wsx.exe e wsx1.exe sono versioni personalizzate modificate di Mimikatz e implementano la funzionalità pass-the-hash.

Segmenti di codice sostanziali in wsx.exe e wsx1.exe, che implementano la costruzione di firme di codice sullo stack, si sovrappongono a quelli in bK2o.exe, includendo dimensioni mov e valori di operandi di istruzione identici. Ciò suggerisce che wsx.exe, wsx1.exe, e bK2o.exe sono molto probabilmente derivati ​​dalla stessa fonte.
Segmento di codice in bK2o.exe Segmento di codice in wsx1.exe
A loro volta, si è osservato sovrapposizioni tra i componenti wsx.exe, wsx1.exe e mim221. mim221 è uno strumento che esegue un “antifurto” di credenziali ben gestito e con più versioni, nonché una versione modificata personalizzata di Mimikatz, che SentinelLabs ha osservato nell’operazione Tainted Love, una campagna che ha preso di mira i fornitori di servizi di telecomunicazioni in Medio Oriente nel 2023.

Si è quindi attribuito Operation Tainted Love a un presunto gruppo cinese di cyberspionaggio all’interno del nesso tra Granite Typhoon (precedentemente noto come Gallium) e APT41, pur riconoscendo la possibilità di condivisione di strumenti tra attori di minacce sponsorizzati dallo stato cinese e il potenziale coinvolgimento di un fornitore condiviso o di un quartiermastro digitale. Si sta valutando che mim221 rappresenti un’evoluzione degli strumenti associati a Operation Soft Cell, come simplify_32.exe . Operation Soft Cell, che ha preso di mira i provider di telecomunicazioni nel 2017 e nel 2018, è stata collegata a Granite Typhoon e sono state suggerite anche possibili connessioni tra gli attori di Soft Cell e APT41.

mim221 ha un’architettura multi-componente, con un singolo eseguibile che organizza tre componenti — pc.dll, AddSecurityPackage64.dll, e getHashFlsa64.dll— usando tecniche come la decrittazione, l’iniezione e il caricamento di immagini riflettenti. Questi componenti condividono diverse sovrapposizioni con bK2o.exe, wsx.exe, e wsx1.exe.

Per ostacolare l’analisi statica, alcuni componenti mim221 offuscano anche le stringhe costruendole sullo stack in fase di esecuzione. Inoltre, i componenti mim221 AddSecurityPackage64.dlle getHashFlsa64.dll implementano la registrazione degli errori simile a quella di wsx.exe e wsx1.exe, inclusi messaggi di errore personalizzati identici, un formato di output coerente e gli stessi errori in lingua inglese.
Messaggi di errore in wsx.exe e wsx1.exe
Inoltre, le informazioni RTTI (Run-Time Type Information) memorizzate in wsx.exe, wsx1.exe, e nel componente mim221 getHashFlsa64.dll rivelano che classi con gli stessi nomi sono dichiarate in questi eseguibili. Non abbiamo osservato questi nomi di classe in strumenti open source o disponibili al pubblico.

L'articolo Operation Digital Eye: il primo attacco cinese che sfrutta Visual Studio Code come C2 proviene da il blog della sicurezza informatica.

  • 0
  • 0
  • 16 hours ago
Profile picture

Socks5Systemz : 250.000 dispositivi nella botnet che fornisce proxy anonimi ai criminali

Negli ultimi anni, le botnet hanno rappresentato una delle minacce più insidiose e difficili da contrastare nel panorama della cybersicurezza. Tra queste, una delle più persistenti e sofisticate è senza dubbio Socks5Systemz, una botnet attiva sin dal 2013. Questa rete malevola alimenta un servizio proxy illegale noto come PROXY.AM, utilizzando dispositivi compromessi per fornire a criminali informatici una rete anonima con cui occultare le loro attività illecite.

Indagini attraverso la threat Intelligence permettono di comprendere meglio l’ampiezza di questa minaccia e i meccanismi alla base del suo funzionamento. Vediamo come questa botnet è strutturata, quali sono le sue implicazioni sulla sicurezza globale e perché rappresenta un rischio concreto e costante.

Cos’è una Botnet e Come Funziona Socks5Systemz


Una botnet è una rete di dispositivi infettati da malware e controllati da remoto da un attaccante, noto come botmaster. I dispositivi compromessi, spesso chiamati bot o zombie, possono includere computer, smartphone, router e persino dispositivi IoT. L’attaccante utilizza questa rete per svolgere attività malevole come inviare spam, lanciare attacchi DDoS o, come nel caso di Socks5Systemz, fornire servizi di proxy anonimi.

La botnet Socks5Systemz ha una caratteristica distintiva: trasforma i dispositivi infetti in nodi di uscita proxy. Ciò significa che il traffico internet dei cybercriminali può essere instradato attraverso questi dispositivi, rendendo estremamente difficile risalire alla vera origine degli attacchi. Questo tipo di infrastruttura è fondamentale per garantire l’anonimato degli attaccanti e rendere le loro attività quasi impossibili da tracciare.

Il Servizio Proxy Illegale PROXY.AM


La botnet Socks5Systemz supporta il funzionamento di un servizio proxy illegale noto come PROXY.AM. Secondo il rapporto di The Hacker News, questo servizio offre ai cybercriminali l’accesso a proxy privati e anonimi dietro pagamento di una quota mensile che varia tra 126 e 700 dollari. PROXY.AM pubblicizza i suoi servizi come:

  • “Elite” proxy server, garantendo elevate prestazioni e anonimato.
  • “Privati” e “anonimi”, assicurando che le connessioni siano sicure e non tracciabili.

I clienti di PROXY.AM possono utilizzare questi proxy per nascondere le proprie attività malevole, come campagne di phishing, furti di dati, frodi online e diffusione di malware.

Declino e Rinascita della Botnet


Dal 2013, la botnet ha subito diverse trasformazioni. Inizialmente, contava circa 250.000 dispositivi compromessi. Tuttavia, grazie alle azioni delle autorità e alla perdita parziale di controllo da parte dei suoi gestori, la rete si è ridotta. Attualmente, si stima che la botnet sia composta da circa 85.000 dispositivi infetti, che continuano a essere utilizzati come nodi di uscita per il servizio PROXY.AM. Questo declino è stato seguito da una fase di ricostruzione, dimostrando la resilienza e la capacità di adattamento dei botmaster.

Analisi della Struttura della Botnet


L’immagine allegata fornisce una chiara rappresentazione visiva delle interconnessioni tra i vari elementi della botnet. Vediamo alcuni punti salienti:

Nodo Centrale: Socks5Systemz


  • Socks5Systemz è il fulcro della rete, il nodo principale da cui si diramano numerose connessioni.
  • Questo nodo controlla e gestisce il traffico che viene instradato attraverso i dispositivi infetti.


Servizi Collegati


  • PROXY.AM e proxyam.one sono servizi direttamente collegati a Socks5Systemz. Essi rappresentano l’infrastruttura utilizzata per vendere accessi proxy ai criminali informatici.
  • Questi servizi sono indicati come fonti di traffico malevolo, offrendo connessioni anonime e private per attività illegali.


Paesi Colpiti


Dalla mappa della rete, è evidente che la botnet colpisce dispositivi in diverse parti del mondo. I paesi più colpiti includono:

  • India
  • Indonesia
  • Ucraina
  • Brasile
  • Bangladesh
  • Federazione Russa
  • Messico
  • Stati Uniti
  • Nigeria

Questi paesi fungono da base per i dispositivi compromessi che vengono utilizzati come nodi proxy, permettendo al traffico malevolo di apparire come proveniente da queste aree.

Implicazioni per la Sicurezza Informatica


L’esistenza di una botnet come Socks5Systemz evidenzia diverse criticità e implicazioni per la sicurezza globale:

  1. Difficoltà nel Tracciamento degli Attaccanti:
    Poiché gli attaccanti utilizzano dispositivi compromessi come nodi di uscita proxy, risalire alla loro identità diventa estremamente difficile. Questo complica le indagini e favorisce l’impunità dei cybercriminali.
  2. Frode e Criminalità Organizzata:
    Servizi come PROXY.AM facilitano attività criminali su larga scala, inclusi attacchi di phishing, frodi finanziarie e campagne di spam. Il costo relativamente basso per l’accesso a questi servizi rende la criminalità informatica accessibile anche a individui con risorse limitate.
  3. Rischi per le Vittime Inconsapevoli:
    I dispositivi compromessi spesso appartengono a utenti ignari. Questi dispositivi possono essere utilizzati per scopi malevoli senza che i proprietari se ne accorgano, esponendoli a potenziali conseguenze legali e compromettendo la loro privacy.
  4. Minacce per le Aziende:
    Le aziende possono subire attacchi originati da queste reti proxy, mettendo a rischio dati sensibili, reputazione e stabilità operativa.


Come Proteggersi dalle Botnet


Per contrastare minacce come Socks5Systemz, è fondamentale adottare buone pratiche di sicurezza informatica:

  • Mantenere sempre aggiornati i sistemi operativi e il software per ridurre le vulnerabilità sfruttabili dai malware.
  • Utilizzare antivirus e soluzioni di sicurezza avanzate per rilevare e bloccare attività sospette.
  • Monitorare il traffico di rete per individuare comportamenti anomali, come connessioni non autorizzate a server esterni.
  • Eseguire backup regolari dei dati per mitigare i danni in caso di compromissione.
  • Educare gli utenti sui rischi delle email di phishing e dei download non sicuri.

La botnet Socks5Systemz e il servizio proxy illegale PROXY.AM rappresentano una minaccia persistente e sofisticata per la sicurezza informatica globale. La capacità di questa rete di adattarsi e sopravvivere nel tempo dimostra quanto sia difficile contrastare efficacemente queste infrastrutture malevole. La collaborazione internazionale e l’adozione di misure preventive sono essenziali per mitigare l’impatto di queste minacce e proteggere utenti e aziende dagli attacchi dei cybercriminali.

L'articolo Socks5Systemz : 250.000 dispositivi nella botnet che fornisce proxy anonimi ai criminali proviene da il blog della sicurezza informatica.

  • 0
  • 0
  • 16 hours ago

CVE-2024-50393

QNAP Systems Inc. QTS

06 Dec 2024
Published
10 Dec 2024
Updated

CVSS v4.0
HIGH (8.7)
EPSS
0.04%

  • 1 Post

CVE Info

A command injection vulnerability has been reported to affect several QNAP operating system versions. If exploited, the vulnerability could allow remote attackers to execute arbitrary commands. We have already fixed the vulnerability in the following versions: QTS 5.1.9.2954 build 20241120 and later QTS 5.2.2.2950 build 20241114 and later QuTS hero h5.1.9.2954 build 20241120 and later QuTS hero h5.2.2.2952 build 20241116 and later

Fediverse

Profile picture

"A command injection vulnerability has been reported to affect several QNAP operating system versions. If exploited, the vulnerability could allow remote attackers to execute arbitrary commands."

#qnap #vulnerability #cve

🔗 cve.circl.lu/vuln/cve-2024-503

  • 0
  • 0
  • 23 hours ago

CVE-2024-5535

OpenSSL

27 Jun 2024
Published
14 Nov 2024
Updated

CVSS
Pending
EPSS
0.04%

  • 1 Post
  • 5 Interactions

CVE Info

Issue summary: Calling the OpenSSL API function SSL_select_next_proto with an empty supported client protocols buffer may cause a crash or memory contents to be sent to the peer. Impact summary: A buffer overread can have a range of potential consequences such as unexpected application beahviour or a crash. In particular this issue could result in up to 255 bytes of arbitrary private data from memory being sent to the peer leading to a loss of confidentiality. However, only applications that directly call the SSL_select_next_proto function with a 0 length list of supported client protocols are affected by this issue. This would normally never be a valid scenario and is typically not under attacker control but may occur by accident in the case of a configuration or programming error in the calling application. The OpenSSL API function SSL_select_next_proto is typically used by TLS applications that support ALPN (Application Layer Protocol Negotiation) or NPN (Next Protocol Negotiation). NPN is older, was never standardised and is deprecated in favour of ALPN. We believe that ALPN is significantly more widely deployed than NPN. The SSL_select_next_proto function accepts a list of protocols from the server and a list of protocols from the client and returns the first protocol that appears in the server list that also appears in the client list. In the case of no overlap between the two lists it returns the first item in the client list. In either case it will signal whether an overlap between the two lists was found. In the case where SSL_select_next_proto is called with a zero length client list it fails to notice this condition and returns the memory immediately following the client list pointer (and reports that there was no overlap in the lists). This function is typically called from a server side application callback for ALPN or a client side application callback for NPN. In the case of ALPN the list of protocols supplied by the client is guaranteed by libssl to never be zero in length. The list of server protocols comes from the application and should never normally be expected to be of zero length. In this case if the SSL_select_next_proto function has been called as expected (with the list supplied by the client passed in the client/client_len parameters), then the application will not be vulnerable to this issue. If the application has accidentally been configured with a zero length server list, and has accidentally passed that zero length server list in the client/client_len parameters, and has additionally failed to correctly handle a "no overlap" response (which would normally result in a handshake failure in ALPN) then it will be vulnerable to this problem. In the case of NPN, the protocol permits the client to opportunistically select a protocol when there is no overlap. OpenSSL returns the first client protocol in the no overlap case in support of this. The list of client protocols comes from the application and should never normally be expected to be of zero length. However if the SSL_select_next_proto function is accidentally called with a client_len of 0 then an invalid memory pointer will be returned instead. If the application uses this output as the opportunistic protocol then the loss of confidentiality will occur. This issue has been assessed as Low severity because applications are most likely to be vulnerable if they are using NPN instead of ALPN - but NPN is not widely used. It also requires an application configuration or programming error. Finally, this issue would not typically be under attacker control making active exploitation unlikely. The FIPS modules in 3.3, 3.2, 3.1 and 3.0 are not affected by this issue. Due to the low severity of this issue we are not issuing new releases of OpenSSL at this time. The fix will be included in the next releases when they become available.

Fediverse

Profile picture

Happy from Splunk:

  • SVD-2024-1201 Information Disclosure in Mobile Alert Responses in Splunk Secure Gateway (CVE-2024-53243, 4.3 medium)
  • SVD-2024-1202 Risky command safeguards bypass in "/en-US/app/search/report" endpoint through "s" parameter (CVE-2024-53244, 5.7 medium)
  • SVD-2024-1203 Information Disclosure due to Username Collision with a Role that has the same Name as the User (CVE-2024-53245, 3.1 low)
  • SVD-2024-1204 Sensitive Information Disclosure through SPL commands (CVE-2024-53246, 5.3 medium)
  • SVD-2024-1205 Remote Code Execution through Deserialization of Untrusted Data in Splunk Secure Gateway app (CVE-2024-53247, 8.8 high)
  • SVD-2024-1206 Third-Party Package Updates in Splunk Enterprise - December 2024 (multiple CVEs)
  • SVD-2024-1207 Third-Party Package Updates in Splunk Universal Forwarder - December 2024 (CVE-2024-5535, 9.1 critical)

No verbiage of exploitation.

  • 2
  • 3
  • 12 hours ago