Servizi e server Trenitalia off-line

Il servizio di biglietteria Trenitalia down per molti minuti

Giovedì 20 Ottobre 2022, i server dei sistemi di biglietteria di Trenitalia.it non funzionano dando disservizio a numerosi utenti.

Servizi e server Trenitalia off-line

Internal Server Error – Read

The server encountered an internal error or misconfiguration and was unable to complete your request.

Il servizio ha reso indisponibile il servizio di biglietteria a partire dalle 18.20 circa per oltre mezzora.

Proteggere WordPress da attacchi brute force

Come proteggere WordPress da continui tentativi di accesso non autorizzato?

State usando un server web per ospitare una o più installazioni del famoso e diffuso CMS WordPress? Allora quasi di sicuro riceverete migliaia di tentativi di accesso al pannello amministrativo dei siti realizzati con tale CMS.
Si tratta appunto di attacchi “brute-force”, per tentativi.
Se le password utilizzate sono robuste probabilmente gli accessi saranno bloccati. Purtroppo pero’, a volte, tali attacchi vanno a buon fine e, in genere gli accessi illegali sono usati per rubare dati sensibili, per installare malware nel sito compromesso o per inviare spam sfruttando le funzionalità del server. Per questo è necessario proteggere WordPress da questi tentativi.

Proteggere WordPress da attacchi brute force

Come sappiamo di essere vittime di questi attacchi brute-force rivolti a WordPress?

Possiamo controllare nei log e noteremo la ripetizione di righe di questo tipo:

46.161.27.153 – – [26/Sep/2022:06:28:41 +0200] “POST /wp-login.php HTTP/1.1″ 200 4522 “-” “Mozilla/5.0 (Windows NT 6.3; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0”
46.161.27.153 – – [26/Sep/2022:06:33:27 +0200] “POST /wp-login.php HTTP/1.1″ 200 4515 “-” “Mozilla/5.0 (Windows NT 6.3; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0”
46.161.27.153 – – [26/Sep/2022:06:33:30 +0200] “POST /wp-login.php HTTP/1.1″ 200 4522 “-” “Mozilla/5.0 (Windows NT 6.3; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0”
46.161.27.153 – – [26/Sep/2022:06:37:43 +0200] “POST /wp-login.php HTTP/1.1″ 200 4515 “-” “Mozilla/5.0 (Windows NT 6.3; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0”
46.161.27.153 – – [26/Sep/2022:06:40:16 +0200] “POST /wp-login.php HTTP/1.1″ 200 4522 “-” “Mozilla/5.0 (Windows NT 6.3; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0”

Come si può notare, gli IP da cui viene eseguito il tentativo di accesso sono ripetuti. Questo è un chiaro segno che l’accesso non è avvenuto e che si sta verificando una serie di tentativi al fine di individuare una password corretta. Normalmente vengono utilizzati vocabolari contenti migliaia di password tra le più diffuse oppure vocabolari costruiti analizzando dati relativi alla vittima (sito web, pagine social, informazioni personali, etc.)

Quasi certamente sul server avrete gia’ installato un firewall ma questo non previene i tentativi e non può bloccare l’attacco.

Come bloccare l’attacco brute-force e proteggere WordPress?

Se utilizzate come firewall il diffuso CSF (ConfigServer Security & Firewall), spesso si trova installato nelle installazioni cPanel. Questo firewall dispone di un componente, LFD, che verifica i tentativi di login al diversi servizi.
Può inoltre essere customizzato per integrare nuove regole di riconoscimento.
Possiamo pertanto personalizzare il file regex.custom.pm che si trova nella cartella di installazione del firewall ed aggiungere le seguenti righe.

# WP-LOGINS
if (($globlogs{CUSTOM1_LOG}{$lgfile}) and ($line =~ /(\S+).] “\w(?:GET|POST) \/wp-login.php.*” /)) {
return (“WP LOGIN BRUTE FORCE”,$1,”WPLOGIN_FAILURE”,”6″,”80,443,21,22,25,23″,”900″);
}

Dovremo inoltre indicare che tra i log da analizzare ci sono anche quelli del web server (apache), modificando il parametro CUSTOM1_LOG=….

A questo punto, dopo aver riavviato firewall e demone LFD, se la pagina di login sarà richiamata più di 6 volte in un breve lasso di tempo, il firewall bloccherà per 900 secondi gli accessi alle porte usate dal web server ed anche ad altri servizi (ssh, smtp, ftp, etc).

Come verifico se sta funzionando la protezione di WordPress dagli attacchi?

Nel log del sistema di controllo degli accessi, LFD, troveremo traccia dei tentativi di accesso bloccati etichettati con il testo “WP LOGIN BRUTE FORCE”. Le linee si presenteranno nel seguente modo:

Sep 26 07:40:32 host100 lfd[29428]: (WPLOGIN_FAILURE) WP LOGIN BRUTE FORCE 198.98.60.32 (US/United States/ns1.boltflare.com): 6 in the last 3600 secs – Blocked in csf for 900 secs [LF_CUSTOMTRIGGER]
Sep 26 07:41:18 host100 lfd[29689]: (WPLOGIN_FAILURE) WP LOGIN BRUTE FORCE 188.166.236.35 (SG/Singapore/-): 6 in the last 3600 secs – Blocked in csf for 900 secs [LF_CUSTOMTRIGGER]
Sep 26 07:49:41 host100 lfd[32366]: (WPLOGIN_FAILURE) WP LOGIN BRUTE FORCE 188.166.183.39 (SG/Singapore/agvn.net-alpine): 6 in the last 3600 secs – Blocked in csf for 900 secs [LF_CUSTOMTRIGGER]

Questo è uno dei vari modi che abbiamo per proteggere WordPress da attacchi brute-force, in particolare è efficace se non possiamo adottare altre soluzioni più restrittive.

Vuoi attivare la protezione di WordPress ma preferisci che questo venga fatto da sistemisti esperti? Puoi richiedere il supporto di Sicurezzarete.

Vulnerabilità di Exchange mail server

Sono gravi le quattro vulnerabilità di Exchange comunicate da Microsoft, molte sono infatti le aziende che sono state attaccate e al quale sono stati rubati i dati contenuti nelle caselle di posta elettronica. Dati preziosi di aziende ma anche di università, centri di ricerca ed enti non governativi.
Le installazioni coinvolte sono molte: Exchange Server 2010, 2013, 2016 ed Exchange Server 2019, molto diffuse anche in Italia.

Exchange vulnerabilita mail server
Vulnerabilita’ mail server

Aggiornamento e patch di Exchange

Microsoft ha promesso che ci sara’ un aggiornamento, ma seguendo il ciclo tradizionale di patch (non vi saranno update, quindi, ancora almeno per qualche giorno). Riportiamo le descrizioni ali delle quattro vulnerabilità:

UPDATE: CVE-2022-2327 Microsoft Exchange Server Remote Code Execution Vulnerability (Ulteriore vulnerabilita’ di grado CVSS SCORE 8.8 !)

Attraverso un attacco da remoto gli hacker sono grado di prendere il controllo del server e di sottrarre i dati contenuti nel server della posta elettronica e i messaggi archiviati.

Secondo alcuni centri di ricerca l’attacco non si limita alle sole azienda negli stati uniti ma sta avvenedo a scala globale, pertanto è altamente probabile che aziende ed utenti in Italia possano essere state vittime di questo attacco e furto di informazioni.

Soluzioni

Purtroppo finchè il server non viene patchato o sostituito con altra installazione il problema sussiste e il servizio puo’ essere attaccato.

Chi volesse non avere piu’ costi e rischi di una installazione Exchange per la gestione della posta elettronica puo’ sostituire l’installazione con il nostro sistema integrato SRmail, un sistema basato su Linux, performante e sicuro.

Assistenza server Linux

SicurezzaRete: gestione server Linux in outsourcing

Massimizzare l’efficienza delle infrastrutture informatiche aziendali e abbatterne i costi

gestione server linux

Linux è alla base di gran parte delle infrastrutture informatiche odierne. E’ usato sia nelle piccole imprese sia da Amazon, Facebook, Google e dal London Stock Exchange.
I server Linux offrono tutta la flessibilità e la potenza di cui avete bisogno.
Attraverso i sistemi Linux si possono ottenere elevate prestazioni, alti livelli di sicurezza, riduzione dei costi di licenze, di hardware e di gestione.
Con l’assistenza sistemistica in outsourcing si ottimizzano le risorse dedicate al reparto ICT.

Sicurezzarete è specializzata nell’assistenza sistemistica e nei servizi di supporto Linux in outsourcing.

Sicurezzarete, con la sua assistenza sistemistica, consente di eliminare un’ampia gamma di problemi tecnici che la tua azienda potrebbe incontrare.
Siamo in grado di fornire modifiche all’infrastruttura e risolvere problemi senza richiedere una visita in loco. Rispetto alle società di supporto tradizionali, il nostro approccio moderno al supporto IT per i servizi Linux è una soluzione molto più veloce ed economica per la tua organizzazione.
Dal 2000
SicurezzaRete gestisce server Linux per conto di numerose aziende e ne garantisce la continuità di funzionamento, la sicurezza e le elevate prestazioni.
Per questo SicurezzaRete fornisce i seguenti servizi di consulenza Linux:

Gestione server, assistenza Linux, manutenzione 

Tra le nostre attività principali ci sono gli interventi su molteplici situazioni riguardanti i server Linux.

Gestione server Linux da remoto ed on-site di server in housing e in hosting

Server Linux managed in outsourcing

Risoluzione di problemi sistemistici

Amministrazione, manutenzione, supporto sistemistico e gestione dei server remoti presso i maggiori hosting provider

Setup e configurazione server Linux

Le nuove installazioni di server permettono il massimo grado di personalizzazione e di controllo.

Installazione, aggiornamento, manutenzione server Linux in sede e da remoto

Consulenza Linux, riduzione costi, ottimizzazioni

Spesso i nostri migliori intervento ricade nella collaborazione ed interazione con il cliente che può operare scelte ottimali dopo aver descritto esattamente le proprie richieste ed aver da noi ricevuto precise indicazioni su come ottenere quel che occorre con miglior tecnologia disponibile al miglior costo.

assistenza nella scelta delle soluzioni di hardware fisico o virtuale e nel tipo di setup

consulenza nella scelta del provider, del piano hosting, dei sistemi Linux

ottimizzazione dei server senza upgrade hardware o del piano hosting

migrazione server in remoto (server fisici, VPS, cloud)

migrazione dei sistemi operativo da proprietari ad open source

consolidamento macchine e servizi con la virtualizzazione

Sicurezza informatica

Un fattore centrale, da sempre nella nostra attività, è stato quello della sicurezza informatica. Condizione oggi più che mai necessaria per avere la continuità dei servizi.

verifica e ottimizzazione dello stato di sicurezza di reti e apparati

consulenza informatica sulle protezione dei dati

sistemi di automazione di backup per prevenire il danneggiamento dei dati aziendali e task ripetitivi

Supporto e gestione reti

Imprescindibile ormai per qualsiasi azienda grande, media o piccola, è un sistema informatico efficiente.

installazione, configurazione e manutenzione della rete aziendale (router, firewall, apparati di rete, LAN). Per permettere alla tua azienda di essere sempre operativa

Sviluppo applicazioni web

L’ambito operativo dove SicurezzaRete è nata e ha maggiore esperienza. Conosciamo pertanto le problematiche che presenta ma anche le grandi opportunità che offre.

Sviluppo “chiavi in mano” di applicativi web aziendali e sistemi di automazione e di interfacciamento

Cyber security, sicurezza informatica, sicurezza rete

Servizi di sicurezza informatica, cyber security, network security

SicurezzaRete fornisce servizi per la verifica dello stato di sicurezza informatica aziendale e per la protezione dei dati aziendali.

Con 25 anni di esperienza nel supporto alle aziende per l’uso della rete Internet e la riduzione al minimo dei potenziali rischi ad esso legati, Sicurezzarete continua ad essere un riferimento per le aziende in un ambiente sempre piu’ connesso, complesso ed ostile.

Su richiesta ed autorizzazione del cliente, SicurezzaRete e’ in grado di fornire consulenza attraverso il monitoring e la verifica delle vulnerabilità di rete (penetration testing), dei servizi attivi, dei software installati e delle configurazioni utilizzate.
L’analisi dello stato di sicurezza viene completata con la consulenza di esperti sistemisti che analizzano gli eventuali problemi relativi al livello di protezione delle reti e la sicurezza dei dati aziendali.
A completamento della consulenza vengono proposte soluzioni per innalzare il livello di sicurezza fino a quello richiesto dalle politiche aziendali.

Cyber security, network security, penetration testing

I servizi di cyber security e network security permettono il controllo del livello di protezione della sicurezza rete informatica e della protezione dei dati aziendali. La verifica dello stato di messa in sicurezza dei server e delle reti si compongono di numerosi aspetti e operazioni:
– sicurezza passiva (sicurezza fisica)
– sicurezza attiva (sicurezza logica)
– analisi della network security
– verifica stato sicurezza server
– penetration test
– Security Assessment (SA)
– analisi post intrusione
– fix e messa in sicurezza dei server
– attuazione contromisure
– verifica delle configurazioni
– monitoraggio e controllo reti

Rischi e danni 

cyber security, sicurezza informatica e sicurezza rete
Cyber security, sicurezza informatica e sicurezza rete

Il 98% dei sistemi informatici connessi ad Internet ha almeno un problema di sicurezza della rete informatica e può esporre i dati privati e aziendali a soggetti indesiderati.
Numerosi danni conseguenti alle violazioni informatiche possono verificarsi, a titolo di esempio:
– furti di dati e/o di identita’
– danneggiamenti di dati
– violazione di diritti d’autore o brevetti aziendali
– interruzione o limitazione dei servizi (DDos)
– inaccessibilita’ dei dati e blocco dell’operativita’ (Ransomware)
– uso abusivo degli apparati e dei server aziendali (spam, phishing, crimini informatici, hacking)
– violazione delle normative sulla privacy

I problemi di sicurezza informatica hanno come conseguenze danni economici e d’immagine oltre a permettere la violazione della privacy dei dati personali e aziendali.

Messa in sicurezza sistemi informatici e reti

Le tecnologie e strategie adottate per la messa in sicurezza della rete aziendale e dei sistemi si basano su:
– Firewall 
– Application firewall
– Web Applicarion Firewall (WAF)
– Intrusion Detection and Prevention Systems
– Network Access Control
– DDoS Protection
– Programmazione cyber security aziendale
– Aggiornamento sistemi operativi e appliance
– Politiche di backup e disaster recovery

Vulnerabilità VMWare grave 9.8 su 10

Una grave vulnerabilità ai sistemi di virtualizzazione VMware, versioni 6.5, 6.7 e 7.0 è stata di recente scoperta e pubblicata del produttore (il 25 maggio 2021).
La falla al sistema affligge la componente VMWare vCenter, e permette di eseguire comandi con pieni privilegi amministrativi da remoto senza nessuna autenticazione.
La vulnerabilità VMware e’ cosi’ grave e facilmente sfruttabile che e’ stata classificata (CRITICAL) con punteggio 9.8 su 10 da sistema CVSS 3.x.
Se il servizio e’ in ascolto accessibile dalla porta TCP 443 (configurazione tipica e molto diffusa) si puo’ avere pieno controllo del sistema operativo ed eseguite qualsiasi operazione.
Stanno da giorni circolando script che permettono di sfruttare facilmente la falla indicata e sono gia’ stati rilevati numerosissimi attacchi ai sistemi accessibili dalla rete.

vulnerabilità VMware
vulnerabilità VMware

Riferimenti
Data: 2021-05-25
CVE(s): CVE-2021-21985, CVE-2021-21986
Prodotto affetto: VMware vCenter Server updates address remote code execution and authentication vulnerabilities
URL: VMSA-2021-0010 (vmware.com)

Vulnerabilità WordPress, milioni di siti a rischio.

La vulnerabilita’ di WordPress
WPBakery, un diffuso plug-in per WordPress che svolge la funzionalita’ di editor html, ha una grave vulnerabilità che consente agli utenti con livello di autore e collaboratore di iniettare JavaScript e HTML dannosi in post e pagine. Il difetto interessa tutti i siti WPBakery che utilizzano la versione 6.4 e precedenti e coinvolge oltre 4 milioni di siti web.

Vulnerabilità WordPress WPbakery

I dettagli del problema
Wordfence ha scoperto una vulnerabilità nel famoso page builder di WPBakery (vedi articolo Wordfence del 7 ottobre 2020). La falla consentiva ad attaccanti autenticati con livello di contributore e autore di iniettare codice JavaScript dannoso in post e pagine. Inoltre, la vulnerabilità consente a questi utenti di modificare i post di altri utenti.

Ciò accade perché WPBakery ha disabilitato i controlli di filtraggio post-HTML predefiniti nella funzione saveAjaxFe. Pertanto, qualsiasi utente con accesso al generatore di pagine potrebbe potenzialmente iniettare HTML e JavaScript. Inoltre, la funzionalità onclick di WPBakery per i pulsanti consente agli hacker di aggiungere codice javascript dannoso in un pulsante che viene eseguito quando gli utenti fanno clic su di esso.
Le vulnerabilità wordpress nei plug-in e nei temi non sono nuove. Quindi, è una buona idea seguire alcune best practice di sicurezza per mantenere il tuo sito al sicuro. Infine, per prevenire attacchi DDOS e tenere a bada gli hacker.

Soluzione
La buona notizia è che c’è una soluzione rapida: aggiorna WPBakery all’ultima versione 6.4.1. Quindi ti consigliamo di aggiornare il generatore di pagine il prima possibile. Inoltre, tieni d’occhio tutti gli account a livello di contributore e autore per assicurarti che siano affidabili.

Utilizzi il page builder di WPBakery? Hai aggiornato all’ultima versione? Quale e’ lo stato degli altri plug-in? Se non sai come fare per aggiornare o hai poco tempo affidati a professionisti attraverso un contratto di assistenza.

Falla su OpenVPN

Scoperta una falla di sicurezza sul pacchetto opensource piu’ usato per costruire connessioni sicure attraverso VPN. Il pacchetto e’ alla base di moltissime infrastrutture basate su Linux e in appliance che offrono la possibilita’ di creare con facilita’ tunnel criptati per la creazione di reti private virtuali.
Il bug di sicurezza OpenVPN e’ stato scoperto da Lev Stipakov e segnalata sulla lista degli sviluppatori il 15 Aprile 2020. E’ gia’ stata creata una patch al codice che corregge il problema.

VEDI sito web OpenVPN
Al bug e’ stato assegnato un codice CVE (Common Vulnerability Exposure), il CVE-2020-11810
Vedi sito web MITRE
Non e’ ancora chiara la gravita’ della falla cosi’ come la possibilità’ di sfruttarla per compiere operazioni non autorizzate. Non si sa neppure se esistono exploit 0day che hanno utilizzato tale falla. Non ancora classificato il bug di sicurezza nel’archivio NVD (National Vulnerability Database).
A breve i diversi vendor procederanno all’aggiornamento dei pacchetti, alcuni di essi lo hanno gia’ fatto (Slackware in primis)
Vedi sito web Slackware

Denial of service web server linux, danni economici e soluzioni

Segue un caso reale di Denial Of Service Distribuito di web server linux risolto da SicurezzaRete.

Scenario: Contatto di azienda che eroga contenuti multimediali a pagamento. Richiesta assistenza per server bloccato poiche’ sotto attacco di tipo Denial Of Service da 10 giorni.

Richiesta ricevuta da SicurezzaRete: “Da alcuni giorni il nostro server subisce degli attacchi ddos. Nonostante il sito sia protetto da cloudflare e dal firewall CSF questo hacker riesce a tenerlo giù per ore, fino a che il provider N….cheap blocca l’ip per troppi accessi… Abbiamo assolutamente necessità che in giornata il sito sia messo in sicurezza…”

Tipo: messa in sicurezza e ripristino servizio.

Priorita’: urgente

Danni stimati: 35.000-45.000 Euro di mancato fatturato in 10 giorni.

Giorno 0
Analisi: Il problema e’ causato da un attacco Denial of service distribuito (DDOS) presumibilmente generato con strumenti tipo memcrashed (sfruttano circa 80.000 host compromessi per generare un effetto moltiplicatore di traffico UDP) usati per saturare la banda disponibile per l’host.

Alla ripetuta sollecitazione al provider (N…cheap) la risposta e’ deludente e mostra la loro impossibilita’ tecnica di bloccare il Denial of service:
We are afraid that the DDoS attack is still in place (UDP pkts/s > 8000; 622.60Mb/s). This time on on 198.x.y.z again. The next network block will expire within half an hour. Reboot won’t help here.
We are deeply sorry.

Giorno 1
Azione 1: apertura canale sul server bloccato
Azione 2: attivazione nuovo server presso un provider con dispositivi adeguati di protezione anti-DDOS
Azione 3: messa in sicurezza totale dei servizi sul nuovo server. Configurazione DNS corretta.
Azione 4: migrazione verso nuovo server di tutta la piattaforma. Ottimizzazione server.
Azione 5: configurazione per accessibilita’ della macchina solo da front-end (Cloudflare).
Azione 6: ripristino del servizio, avvenuto entro 36 ore dalla prima chiamata.

Nuovo attacco di tipo diverso verso Cloudflare. Rallentamento del server.
Azione 7: creazione script per interazione attraverso API Cloudflare per protezione dinamica della macchina. Servizi completamente operativi ed efficienti. Il Denial of service del web server linux non e’ piu’ efficace.

Conclusioni:
a) si consiglia di affidarsi a provider di buon livello in particolare se si tratta di business on-line dove i disservizi possono generare danni economici significativi.
b) affidarsi a sistemisti esperti (SicurezzaRete) per la soluzione di problemi tecnici di rete e/o sistemistici complessi.

Denial of service web server linux

Richiedi assistenza per Denial of service web server linux

Meltdown, Spectre: la bufera informatica del 2018, a rischio la maggior parte dei computer.

Il 4 gennaio scorso sono state scoperte (da gruppi indipendenti) e rivelate 3 gravi vulnerabilità informatiche legate ai microprocessori moderni.
Le vulnerabilita’ affliggono Personal Computer, server, dispositivi mobili (tablet e telefoni) e servizi Cloud.
I bug chiamati Spectre, in due varianti, e Meltdown, possono essere usate per sferrare un attacco (side-channel) e sottrarre informazioni dai sistemi informatici su cui sono presenti. Tra queste password, file, documenti, immagini.
Il bug puo’ essere sfruttato sia su sistemi Windows, Linux e su Mac OSX.

Vulnerabilita Meltdown Spectre

L’allarme lanciato e’ grave e i grandi vendor e provider (Google, Amazon, Microsoft, etc.) sono tutti in fermento per individuare ed applicare soluzioni. In particolare la fonte autorevole Graz University of Technology, che e’ tra gli scopritori del problema, indica alcune allarmanti domande e risposte (FAQ), tra queste:

Sono interessato dalla vulnerabilità?
Sicuramente, sì.

Cosa può essere trapelato?
Se il tuo sistema è interessato, il nostro exploit proof-of-concept può leggere il contenuto della memoria del tuo computer. Questo può includere password e dati sensibili memorizzati nel sistema.

Alle aziende che gestiscono server e intendono mettere in sicurezza i loro sistemi informatici consigliamo di affidarsi ad esperti si sicurezza informatica (vedi SicurezzaRete).

 

VIDEO DIMOSTRATIVI


Riferimenti
https://meltdownattack.com/

CVE-2017-5715 (branch target injection – Spectre)
CVE-2017-5753 (bounds check bypass – Spectre)
CVE-2017-5754 (rogue data cache load – Meltdown)