Notizie su Linux server, sicurezza informatica, reti e web

Notizie su server Linux, sicurezza informatica, reti, distribuzioni Ubuntu, Debian, Red Hat, CentOS, Almalinux, Rocky Linux, Slackware.

Le notizie linux che potete leggere riguardano aggiornamenti dei pacchetti, distribuzioni utilizzate in ambito server, problemi di configurazione e di sicurezza dei server che sopravvengono ogni giorno.

La sezione non e’ esaustiva e gli argomenti trattati non sono sufficienti a garantire un adeguato livello di sicurezza dei server. Si consiglia pertanto di approfondire e curare autonomamente lo stato di protezione dei server. In alternativa affidatevi a professionisti di servizi di Assistenza sistemistica dedicati a tale scopo.

Le notizie sulla sicurezza e gli altri argomenti trattati sono considerate di particolare interesse in ambito server Linux aziendali.
Le notizie sulla sicurezza sono scelte per il numero dei sistemi colpiti, per il meccanismo di funzionamento, la metodologia di attacco, l’originalità o per altri motivi che saranno di volta in volta descritti.
Si parlerà di Linux per server: Debian, Red Hat, CentOS, Ubuntu, Almalinux, Rocky Linux, Suse Linux, zero-days exploit, firewall, rootkit, crittografia, firme digitali, attacchi MITM, Poisoning, spoofing, SQL injection, vulnerabilities, etc…
Le notizie sulla Sicurezza informatica da noi pubblicate le puoi trovare anche nei post di Sicurezzarete su Facebook

Questo sito non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità. Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n° 62 del 7.03.2001

Fragnesia: nuovo exploit pubblico per diventare root

di
Fragnesia bug linux

A seguito della divulgazione, la scorsa settimana, della vulnerabilità Dirty Frag per il kernel Linux, che è stata corretta nella versione principale solo lunedì, Fragnesia è ora resa pubblica come una vulnerabilità di escalation dei privilegi locali (LPE) simile.

Annunciata oggi sulla mailing list di sicurezza open source da V12 Security, Fragnesia è una vulnerabilità di escalation dei privilegi locali appartenente alla stessa classe di vulnerabilità di Dirty Frag. Fragnesia si basa su un bug distinto nel codice ESP/XFRM, con un errore logico che consente la scrittura arbitraria di byte nella cache di pagine del kernel di file di sola lettura.

Il codice proof-of-concept per Fragnesia è già disponibile. Esiste una patch di due righe per risolvere il problema nel codice skbuff.c del kernel Linux. Tale patch non è ancora stata integrata nella versione principale del kernel né inclusa in alcuna release, ma presumibilmente lo sarà a breve per risolvere questo problema di escalation dei privilegi locali.

L’exploit FUNZIONANTE è in rete pubblicamente accessibile. (NON UTILIZZARE SU SISTEMI NON AUTORIZZATI o IN PRODUZIONE).
CVE assegnato: CVE-2026-46300

Versioni affette da Fragnesia

  • RHEL 10.1: 6.12.0-124.49.1.el10_1.x86_64
  • Almalinux 8,9,10
  • Cloudlinux 8,9,10
  • ….
  • tutte le versioni di kernel degli ultimi 9 anni…

Soluzioni a Fragnesia

Aggiornare urgentemente i propri sistemi appena sarà disponibile la patch e riavviare le macchine. Poichè le patch, al momento della scrittura di questo articolo ancora non sono disponibili, si consiglia di affidarsi a sistemisti esperti.

Riferimenti per Fragnesia

Un nuovo exploit pubblico per diventare root: Dirty Frag

di
Dirty Frag permette di ottenere privilegi di root sulle principali distribuzioni Linux

L’uptime dei server Linux è destinato a rimanere basso in questi ultimi tempi. Infatti, a distanza di soli pochi giorni dalla vulnerabilià“Copy-Fail” che permette di tipo LPE (Local Privilege Escalation) che consentiva di diventare root, una nuova vulnerabilità grave viene pubblicata.

Si tratta della vulnerabilità Dirty Frag, scoperta e riportata per la prima volta da Hyunwoo Kim (@v4bel), permette di ottenere privilegi di root sulle principali distribuzioni Linux concatenando due vulnerabilità: xfrm‑ESP Page‑Cache Write (CVE‑2026‑43284) e RxRPC Page‑Cache Write (CVE‑2026‑43500).

Il ricercatore Hyunwoo Kim ha divulgato questa seconda vulnerabilità del kernel Linux nella stessa area generale — IPsec ESP e rxrpc — che ha chiamato Dirty Frag. Il bug risiede nei percorsi di decrittazione in-place delle fast‑path di esp4, esp6 e rxrpc: quando un socket buffer contiene frammenti paginati che non sono di proprietà privata del kernel (ad esempio pagine di pipe collegate tramite splice(2) / sendfile(2) / MSG_SPLICE_PAGES ), il percorso di ricezione esegue la decrittazione direttamente su quelle pagine con backing esterno, esponendo o corrompendo il plaintext a cui un processo non privilegiato mantiene ancora un riferimento.

Dirty Frag estende la stessa classe di bug a cui appartengono Dirty Pipe e Copy Fail. Poiché si tratta di un bug logico deterministico che non dipende da finestre temporali, non è necessaria alcuna race condition, il kernel non va in panic quando l’exploit fallisce e il tasso di successo è molto elevato.

La vulnerabilità xfrm‑ESP Page‑Cache Write (CVE‑2026‑43284, score CVSS 3: 7.8 ) è stata corretta nel mainline con la commit f4c50a4034e6 . La vulnerabilità RxRPC Page‑Cache Write (CVE‑2026‑43500) è stata corretta nel mainline con la commit aa54b1d27fe0 .

Exploit dirty Frag eseguito su diverse distribuzioni Linux.

L’exploit FUNZIONANTE è in rete pubblicamente accessibile. (NON UTILIZZARE SU SISTEMI NON AUTORIZZATI o IN PRODUZIONE).

Versioni affette da Dirty Frag

  • Ubuntu 24.04.4: 6.17.0-23-generic
  • RHEL 10.1: 6.12.0-124.49.1.el10_1.x86_64
  • OpenSUSE Tumbleweed: 7.0.2-1-default
  • CentOS Stream 10: 6.12.0-224.el10.x86_64
  • AlmaLinux 10: versioni precedenti a kernel-6.12.0-124.55.2.el10_1
  • AlmaLinux 9: versioni precedenti a kernel-5.14.0-611.54.3.el9_7
  • AlmaLinux 8: versioni precedenti a kernel-4.18.0-553.123.2.el8_10
  • Fedora 44: 6.19.14-300.fc44.x86_64
  • tutte le versioni di kernel degli ultimi 9 anni…

Soluzioni a Dirty Frag

Aggiornare urgentemente i propri sistemi e riavviare le macchine. In caso di necessità si consiglia di affidarsi a sistemisti esperti.

Riferimenti per Dirty Frag

Copy-fail: grave baco sfruttabile per scalare i privilegi ad utente root !

di
copy-fail-CVE-2026-31431

“Lo stesso script Python da 732 byte ottiene i privilegi di root su ogni distribuzione Linux rilasciata dal 2017. Un singolo bug logico in authencesn , concatenato tramite AF_ALG e splice() in una scrittura di 4 byte nella page-cache — silenziosamente sfruttabile per quasi un decennio.”

Un difetto nel kernel di linux può essere sfruttato con estrema facilità e senza precondizioni particolari per diventare utente root.
E’ disponibile dal 30 aprile 2026 un exploit pubblico funzionante.
L’immagine mostra come, senza alcun cambiamento, sia possibile sfruttare il baco su diverse distribuzioni Linux recenti per la scalata dei privilegi ad amministratore.

sicurezza linux, copy-fail exploit su diverse distribuzioni

Crediti e riferimenti

https://copy.fail/
https://security-tracker.debian.org/tracker/CVE-2026-31431
Exploit (NON USARE SE NON AUTORIZZATI e NON USARE SU SISTEMI IN PRODUZIONE):
https://github.com/theori-io/copy-fail-CVE-2026-31431/blob/main/copy_fail_exp.py

Versioni affette dal bug copy-fail, CVE-2026-31431

1. Versioni del Kernel affette

In linea generale, tutti i kernel rilasciati dal 2017 (a partire dalla versione 4.14 circa) fino alle patch di aprile/maggio 2026 sono vulnerabili.

Ramo KernelPrima versione corretta
6.12 LTS6.12.85
6.6 LTS6.6.137
6.1 LTS6.1.170
5.15 LTS5.15.204
5.10 LTS5.10.254

2. Ubuntu

Ubuntu è stata ampiamente colpita, inclusi i nodi Kubernetes e i runner CI/CD.

  • Ubuntu 24.04 LTS (Noble Numbat): Affetta (Kernel 6.8). Patch rilasciata a maggio 2026.
  • Ubuntu 22.04 LTS (Jammy Jellyfish): Affetta (Kernel 5.15).
  • Ubuntu 20.04 LTS (Focal Fossa): Affetta (Kernel 5.4/5.15 HWE).
  • Ubuntu 25.10 / 26.04: Le versioni di sviluppo più recenti che montano il kernel 7.0 o successivi sembrano essere immuni o già patchate “by design”.

3. AlmaLinux / RHEL

Essendo basata su RHEL, AlmaLinux ha seguito il ciclo di rilascio di Red Hat (RHSB-2026-02).

  • AlmaLinux 9: Affetta. Corretta a partire dalla versione kernel 5.14.0-611.49.2.el9_7 .
  • AlmaLinux 8: Affetta. Patch disponibile nei repository di test/main a inizio maggio 2026 (versioni precedenti ai kernel 4.18.0- 553.121.1)
  • AlmaLinux 10: Affetta. Corretta dalla versione 6.12.0-124.52.2.el10_1 .

4. Debian

Debian 11 (Bullseye): Affetta. Utilizza il kernel 5.10 LTS, anch’esso patchato tramite i canali di sicurezza.
Debian 12 (Bookworm): Affetta. Utilizza il kernel 6.1 LTS, che è stato patchato con gli aggiornamenti di sicurezza di maggio 2026.

Soluzione

Si consiglia di aggiornare i propri sistemi con la massima urgenza. Affidarsi a sistemisti esperti in caso di necessità.

Vulnerabilità grave su OpenSSL

di

E’ emersa una vulnerabilità su un software di base, OpenSSL , usata i modo pervasivo su numerosissimi sistemi. Potenzialmente è una vulnerabilità critica anche se richiede alcune condizioni specifiche per essere sfruttata. Il base score CVSS v.3 e’ 9.8 su 10 !

Oltre alla vulnerabilità grave, il team di OpenSSL ha corretto 12 vulnerabilità il 27 gennaio 2026, tra cui una di gravità elevata che potrebbe causare l’esecuzione di codice remoto. La maggior parte dei problemi causa attacchi denial-of-service, ma evidenzia rischi nell’analisi di dati non attendibili.

Vulnerabilità OpenSSL

Il problema più grave, CVE-2025-15467, colpisce l’analisi di AuthEnvelopedData di CMS con cifrari AEAD come AES-GCM. Gli aggressori creano IV sovradimensionati nei parametri ASN.1, causando overflow dello stack prima dei controlli di autenticazione. Ciò porta a crash o potenziali esecuzioni di codice remoto su app che gestiscono dati CMS o PKCS#7 non attendibili, come S/MIME.

Le app che analizzano contenuti CMS remoti corrono un rischio elevato poiché non è necessaria alcuna chiave per attivare l’overflow. La sfruttabilità dipende da difese della piattaforma come ASLR, ma la primitiva di scrittura dello stack rappresenta un grave pericolo. OpenSSL l’ha classificata come di gravità elevata.

CVE-2025-11187 riguarda una convalida PBMAC1 non corretta nei file PKCS#12, che causa overflow dello stack o dereferenziazioni nulle nelle versioni da 3.6 a 3.4. I file dannosi innescano overflow del buffer durante la derivazione della chiave se la lunghezza della chiave supera i 64 byte.

Costo email: Email provider italiani Vs server mail dedicato

di

Quanto è il costo email che spende l’azienda per la posta elettronica?
Quanto è il costo per ogni mailbox e quello complessivo mensile ed annuale dedicato al servizio email aziendali?

Ecco una panoramica comparativa (Ottobre, 2025) dei costi per mailbox / utente al crescere del numero di mailbox, per alcuni dei principali provider di posta elettronica aziendale. I prezzi sono riferiti a piani tipici, ed espressi per utente/mese tranne dove diversamente indicato. Possono variare per valuta, tasse, sconti annuali, tipo di contratto, regione.

Prezzi di riferimento in Italia / Europa / internazionali (2025)

Tabelle stimate: costo totale mensile per scenario

Usando i prezzi sopra come base si possono calcolare i costi totali per 10, 50, 200, 1000 caselle.

Provider / PianoPrezzo stimato per casella * (€ / mese)10 mailbox (€ / mese)50 mailbox (€ / mese)200 mailbox (€ / mese)1.000 mailbox (€ / mese)Note principali
Zoho Workplace (piano completo)€ 3,00€ 30€ 150€ 600€ 3.000Include alcune app di produttività.
Microsoft Exchange Online Plan 1€ 3,70€ 37€ 185€ 740€ 3.70050 GB mailbox, Outlook Web Access, calendario condiviso.
Microsoft Exchange Online Plan 2€ 7,50€ 75€ 375€ 1.500€ 7.500100 GB + archivio illimitato + funzioni aggiuntive.
Google Workspace (Business Starter)€ 6,50€ 65€ 325€ 1.300€ 6.50030 GB per utente, Gmail professionale, Drive, Meet inclusi.
Proton Mail Essentials€ 6,99€ 70€ 350€ 1.400€ 7.000Alta sicurezza e privacy, crittografia end-to-end, 15 GB.
Mailbox.org (Standard)€ 3,00€ 30€ 150€ 600€ 3.000Soluzione europea privacy-oriented, 10 GB per mailbox.
Aruba Business Mail€ 8,00€ 80€ 400€ 1.600€ 8.000Spazio esteso, webmail avanzata, supporto professionale.
Register.it – Email Pro (2–10 GB)€ 2,50€ 25€ 125€ 500€ 2.500Caselle singole o pacchetti, SMTP incluso, buona assistenza.
Server dedicato SRmail€ 1,20-0,06€ 12€ 20€ 30€ 60Dominio personalizzato, webmail, antivirus, antispam, crittografia, spazio fino a 900 GB, server in Europa

* Il “costo per utente stimato” è il prezzo base senza considerare sconti di volume, IVA, costi di supporto aggiuntivi, ecc

Risulta evidente, sia dalla tabella che dal grafico, che al crescere dell’azienda e dei servizi IT legati alle caselle email, i costi, con i provider di servizi email aumentano considerevolmente. Al contrario, un server dedicato di email mantiene il costo del servizio email quasi invariato al crescere delle necessità e del numero di mailbox.

Conviene notare che il numero di mailbox utilizzate in azienda NON corrisponde al numero di dipendenti dell’azienda poiché sono sempre necessarie mailbox di servizio e condivise, come ad esempio info@example.org, amministrazione@example.org, alert@example.com.
Il rapporto tra numero di mailbox e numero di lavoratori varia a seconda del settore, della dimensione aziendale e della struttura organizzativa, ma possiamo delineare delle medie affidabili:

Rapporto medio mailbox / lavoratori

Tipo di aziendaRapporto medio stimatoEsempio pratico
Micro-impresa (1-10 dip.)1:1Ogni dipendente ha una mailbox, più una o due “funzionali” (info@, amministrazione@).
Piccola impresa (10-50 dip.)1,1 – 1,3 mailbox per dipendenteOltre alle caselle personali, ci sono caselle di reparto (es. vendite@, supporto@) o di servizio.
Media impresa (50-250 dip.)1,3 – 1,6 mailbox per dipendenteCrescono le mailbox condivise, di progetto e quelle tecniche (es. hr@, contabilità@, supplier@).
Grande impresa (>250 dip.)1,5 – 2,0 mailbox per dipendenteOltre alle personali, molte mailbox funzionali, team mailbox, caselle tecniche e automatizzate.
Settore pubblico / enti / PA1,2 – 1,4 mailbox per dipendenteStruttura gerarchica con caselle personali e istituzionali (protocollo@, segreteria@).
Settore IT / servizi digitali1,5 – 2,5 mailbox per dipendenteMolti alias e mailbox di sistema (monitoraggio, ticketing, devops@, ecc.).

Secondo alcune stime

Numero lavoratoriRapporto medioMailbox totali stimate
20 dipendenti1,2~24 mailbox
100 dipendenti1,4~140 mailbox
500 dipendenti1,6~800 mailbox
1.000 dipendenti1,8~1.800 mailbox

Fattori che influenzano il rapporto

  1. Automazione e ticketing → aziende con processi digitali creano molte mailbox tecniche.
  2. Livello di privacy e sicurezza → se si usano alias personali (es. nome.cognome@), serve una casella per ogni ruolo.
  3. Uso di alias o gruppi invece di caselle reali → riduce il numero effettivo di mailbox (alias = niente costo aggiuntivo).
  4. Struttura organizzativa → reparti con molte comunicazioni esterne (vendite, supporto) hanno più caselle funzionali.

In sintesi:

  • Per stime generali: 1,3 – 1,5 mailbox per lavoratore è un valore medio realistico.

Ransomware in Italia

di

Le statistiche sul ransomware in Italia per i primi mesi del 2025 indicano un aumento del 64% negli attacchi ransomware, con l’Italia che si posiziona come il quarto paese al mondo più colpito. Le aziende italiane pagano riscatti medi più alti della media globale e il settore manifatturiero è il più colpito, seguito dall’IT e altri settori professionali. La Pubblica Amministrazione sta aumentando gli investimenti per rafforzare le proprie difese contro queste minacce. 

Dati e Tendenze Recenti

  • Aumento degli attacchi: i primi mesi del 2025 hanno visto un aumento del 64% negli attacchi ransomware rispetto ai mesi precedenti, secondo un report dell’Agenzia per la Cybersicurezza Nazionale (ACN).
  • Posizione globale: l’Italia è diventata il quarto paese al mondo più colpito dai ransomware, un dato preoccupante evidenziato dal Y-Report 2025 di Yarix.
  • Riscatti più alti: le aziende italiane pagano riscatti medi più elevati rispetto alla media globale, con una mediana di 2,06 milioni, secondo Agenda Digitale.
Ransom, pagamenti statistiche mondiali – fonte Veeam

Settori e Tipi di Attacco

  • Settori più colpiti: il settore manifatturiero è il più colpito dai ransomware, seguito da vicino dal settore IT. Altri settori vulnerabili includono sanità, turismo/ristorazione e servizi professionali.
  • Vettori di attacco: i vettori d’attacco più comuni includono campagne malevole via e-mail, l’uso di credenziali compromesse e lo sfruttamento di vulnerabilità note.

Impatto e Risposta

  • Recupero dati:Nonostante il problema, il 99% delle aziende italiane sotto attacco ransomware è riuscito a recuperare i propri dati, un dato superiore alla media globale. 
  • Investimenti in sicurezza:La Pubblica Amministrazione sta incrementando i propri investimenti nella sicurezza informatica per migliorare la resilienza contro le minacce. 
  • Sfide:Le aziende, in particolare le PMI, sono bersagli preferiti per i cybercriminali a causa della loro minore cultura della sicurezza. 

Per ulteriori informazioni dettagliate, si possono consultare i rapporti dell’Agenzia per la Cybersicurezza Nazionale (ACN) e del Rapporto CLUSIT. 

Vulnerabilità plugin WordPress: Really Simple Security

di

Milioni di siti WordPress che utilizzano le versioni gratuite e Pro di Really Simple Security sono interessati da una vulnerabilità critica di bypass dell’autenticazione.

Questa è una delle vulnerabilità più gravi relative alla sicurezza per WordPress. Questa vulnerabilità riguarda Really Simple Security, precedentemente noto come Really Simple SSL , installato su oltre 4 milioni di siti Web e consente a un aggressore di ottenere da remoto l’accesso amministrativo completo a un sito che esegue il plugin.

La vulnerabilità è programmabile, il che significa che può essere trasformata in un attacco automatizzato su larga scala, che prende di mira i siti web WordPress. Il fornitore ha collaborato con il team dei plugin WordPress per forzare l’aggiornamento di tutti i siti che eseguono questo plugin prima che pubblicassimo questo post.

Puoi aiutare creando quanta più consapevolezza possibile su questo problema nella comunità, assicurandoti che tutti i siti ritardatari e non mantenuti vengano aggiornati alla versione con patch. Incoraggiamo i provider di hosting ad aggiornare forzatamente i propri clienti ed eseguire scansioni sui loro file system di hosting per assicurarti che nessun cliente stia eseguendo una versione senza patch di questo plugin.

È importante notare che anche le versioni Pro di questo plugin sono interessate da questa vulnerabilità e i siti che eseguono le versioni premium dovrebbero verificare che siano state aggiornate automaticamente, quindi aiutateci a far circolare la notizia. Sembra che i siti senza una licenza valida potrebbero non avere aggiornamenti automatici funzionanti.

I dettagli
Il 6 novembre 2024, il nostro team Wordfence Threat Intelligence ha identificato e avviato il processo di divulgazione responsabile per una vulnerabilità Authentication Bypass nel plugin Really Simple Security e nei plugin Really Simple Security Pro e Pro Multisite , che sono installati attivamente su oltre 4.000.000 di siti web WordPress. La vulnerabilità consente a un aggressore di ottenere in remoto l’accesso a qualsiasi account sul sito, incluso l’account amministratore, quando è abilitata la funzionalità di autenticazione a due fattori.

Gli utenti di Wordfence Premium , Wordfence Care e Wordfence Response hanno ricevuto una regola firewall per proteggersi da eventuali exploit che prendono di mira questa vulnerabilità il 6 novembre 2024. I siti che utilizzano la versione gratuita di Wordfence riceveranno la stessa protezione 30 giorni dopo, il 6 dicembre 2024.

Abbiamo contattato il team di Really Simple Plugins il 6 novembre 2024 e abbiamo ricevuto una risposta il 7 novembre 2024. Dopo aver fornito tutti i dettagli di divulgazione, lo sviluppatore ha rilasciato la patch per i plugin Pro il 12 novembre 2024 e per il plugin Free il 14 novembre 2024.

A causa della gravità critica di questa vulnerabilità (punteggio CVSS 9.8 Critico), il fornitore del plugin ha collaborato con il team dei plugin di WordPress.org per spingere un aggiornamento di sicurezza forzato alla versione patchata, 9.1.2, per chiunque utilizzi una versione vulnerabile del plugin. Ciò significa che la maggior parte dei siti dovrebbe già essere patchata o lo sarà presto, tuttavia, invitiamo gli utenti a verificare che i loro siti siano stati aggiornati all’ultima versione patchata di Really Simple Security, versione 9.1.2 al momento della stesura di questo articolo, il prima possibile se utilizzano la versione 9.0.0 o successiva. Un thread nel forum di WordPress.org per il plugin indica che gli aggiornamenti forzati sono iniziati questa mattina e potrebbero continuare nei prossimi giorni.

Riepilogo della vulnerabilità
Descrizione: Really Simple Security (Free, Pro e Pro Multisite) 9.0.0 – 9.1.1.1 – Authentication Bypass
Plugin interessati: Really Simple Security, Really Simple Security Pro, Really Simple Security Pro Multisite
Slug del plugin: really-simple-ssl , really-simple-ssl-pro , really-simple-ssl-pro-multisite
Versioni interessate: 9.0.0 – 9.1.1.1
ID CVE: CVE-2024-10924
Punteggio CVSS: 9.8 (critico)
Vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Ricercatore: István Márton (Wordfence)
Versione completamente patchata: 9.1.2

I plugin Really Simple Security (Free, Pro e Pro Multisite) per WordPress sono vulnerabili all’aggiramento dell’autenticazione nelle versioni da 9.0.0 a 9.1.1.1. Ciò è dovuto alla gestione impropria degli errori di controllo utente nelle azioni API REST a due fattori con la funzione ‘check_login_and_get_user’. Ciò consente agli aggressori non autenticati di accedere come qualsiasi utente esistente sul sito, come un amministratore, quando l’impostazione “Autenticazione a due fattori” è abilitata (disabilitata per impostazione predefinita).

Analisi tecnica
Il plugin Really Simple Security, precedentemente noto come Really Simple SSL, è stato recentemente rinominato con l’ultimo aggiornamento della versione principale ed è stato ampliato con molte funzionalità di sicurezza come protezione dell’accesso, rilevamento delle vulnerabilità e autenticazione a due fattori. Sfortunatamente, una delle funzionalità che aggiunge l’autenticazione a due fattori è stata implementata in modo non sicuro, rendendo possibile agli aggressori non autenticati di ottenere l’accesso a qualsiasi account utente, incluso un account amministratore, con una semplice richiesta quando l’autenticazione a due fattori è abilitata.

Esaminando il codice si scopre che il plugin utilizza la skip_onboarding()funzione nella Rsssl_Two_Factor_On_Board_Apiclasse per gestire l’autenticazione tramite REST API.

CODICE
public function skip_onboarding( WP_REST_Request $request ): WP_REST_Response {
$parameters = new Rsssl_Request_Parameters( $request );
// As a double we check the user_id with the login nonce.
$user = $this->check_login_and_get_user( (int)$parameters->user_id, $parameters->login_nonce );
return $this->authenticate_and_redirect( $parameters->user_id, $parameters->redirect_to );
}

La check_login_and_get_user()funzione verifica l’utente utilizzando i parametri user_ide login_nonce.

CODICE

private function check_login_and_get_user( int $user_id, string $login_nonce ) {
if ( ! Rsssl_Two_Fa_Authentication::verify_login_nonce( $user_id, $login_nonce ) ) {
return new WP_REST_Response( array( 'error' => 'Invalid login nonce' ), 403 );
}
/**
* Get the user by the user ID.
*
* @var WP_User $user
*/
$user = get_user_by( 'id', $user_id );
return $user;
}

Il problema e la vulnerabilità più significativi sono causati dal fatto che la funzione restituisce un WP_REST_Responseerrore in caso di fallimento, ma questo non viene gestito all’interno della funzione. Ciò significa che anche nel caso di un nonce non valido, l’elaborazione della funzione continua e richiama authenticate_and_redirect(), che autentica l’utente in base all’ID utente passato nella richiesta, anche quando l’identità di quell’utente non è stata verificata.

In definitiva, questo rende possibile agli attori della minaccia di bypassare l’autenticazione e ottenere l’accesso ad account arbitrari su siti che eseguono una versione vulnerabile del plugin. Come sempre, le vulnerabilità di bypass dell’autenticazione e il conseguente accesso ad account utente con privilegi elevati, rendono facile per gli attori della minaccia compromettere completamente un sito WordPress vulnerabile e infettarlo ulteriormente.

Questa vulnerabilità colpisce in modo critico solo i proprietari di siti che hanno abilitato l'”Autenticazione a due fattori” nelle impostazioni del plugin.

Effetti degli attacchi ransomware e protezione

di

L’Italia al primo posto in Europa per attacchi ransomware

Uno studio recente del 2021 di Gartner ha analizzato migliaia di aziende per valutare l’effetto degli attacchi ransomware sulle aziende.
Il ransomware colpisce le medie imprese con il 90% delle aziende attaccate che fattura meno di 1 Milione di dollari annui e l’82% con meno di 1000 dipendenti.

Il vettore principale di attacco e’ attraverso email e phishing e la compromissione di account email aziendali.
Una importante porzione del 21% degli attacchi avviene attraverso l’attacco remoto ai server e alle loro vulnerabilita’.
Il 9% degli attacchi è passato attraverso personale esterno, altrettanto è giunto attraverso istanze cloud mal configurate e il 7% attraverso programmi di controllo remoto dei desktop.

Il 76% degli attacchi è stato eseguito fuori dall’orario di lavoro dell’azienda vittima.

Il 34% delle aziende attaccate ha pagato il riscatto, 1 azienda ogni 3! Gli importi pagati sono importanti e incidono per il 1-1,5% del profitto aziendale. Il pagamento medio del riscatto infatti corrisponde a 322.000 Dollari.
Inoltre la media dei dati recuperati dopo il pagamento del riscatto e’ il 65% e la media dell’interruzione del servizio e’ di 20 giorni.

Uno studio del produttore Veeam, ha mostrato che il 96% degli attacchi mira a colpire i backup. Solo il 14% delle aziende ha recuperato i dati senza pagare un riscatto. Il 28% delle aziende che ha pagato non ha comunque recuperato i dati.

Come sta andando nel 2024 a proposito degli attacchi ransomware?

Inoltre dati recentissimi riportati nel “terzo report minaccia cyber” di ACN afferma che a luglio 2024 si rileva un aumento significativo del numero di incidenti che ha visto particolarmente impattato il settore sanitario, insieme a quello della PA centrale e delle telecomunicazioni.

Il terzo numero dell’Operational Summary del Computer Security Incident Response Team CSIRT Italia dell’ACN (*), riporta anche un aumento del 2% degli eventi cyber individuati che salgono a 171 rispetto ai 168 di giugno.

ACN Agenzia per lacybersicurezza nazionale. Operational Summary 2024

Cresce anche la minaccia ransomware. L’Italia si posizione al 3° posto tra i paesi più colpiti al mondo da ransomware a luglio 2024 mentre mantiene il 1° posto in UE. Seguono, in Europa, Germania e Spagna. Paese, quest’ultimo, che si classifica al 1° posto europeo per attacchi DDoS, seguito da Polonia e Repubblica Ceca, invece l’Italia non è stata oggetto di rivendicazioni DDoS a luglio 2024. I gruppi più attivi sono stati “NoName057” e Cyber Army of Russia Reborn (CARR).

Il numero delle nuove vulnerabilità (CVE) pubblicate è aumento del +26% rispetto al mese precedente, così come sono stati 57 gli alert di CSIRT Italia sulle vulnerabilità di software e soluzioni IT da mettere in sicurezza.

Come proteggersi dai ransomware?
Per evitare di cadere vittime dei ransomware occorre rivolgersi ad esperti di sicurezza informatica e sistemistica e adottare un approccio multilaterale. Si deve infatti agire su molteplici aspetti legati alla sicurezza, sulle infrastrutture, sui software e soprattutto sul personale e la sua preparazione.

(*) https://www.acn.gov.it/portale/w/minaccia-cyber-il-terzo-report-di-acn

Nuove vulnerabilità Linux e giorni impegnativi per i sistemisti nell’estate 2024

di

Nei giorni scorsi numerose vulnerabilità che mettono a rischio i sistemi informatici

Vulnerabilità in OpenSSH

Questa vulnerabilità è sfruttabile da remoto e garantisce l’accesso root non autenticato. Gli è stato assegnato l’identificatore CVE-2024-6387 e denominato regreSSHion.

Per ulteriori informazioni, vedere:
https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt
https://www.cve.org/CVERecord?id=CVE-2024-6387

Vulnerabilità in Apache

Inoltre tre aggiornamenti di Apache a distanza di pochi giorni.
Il primo che affligge le versioni dalla 2.4.0 fino alla 2.4.59.
Il server HTTP Apache può subire un arresto anomalo con conseguente Denial of Service in mod_proxy tramite una richiesta dannosa (CVE-2024-38477)

Poi con il rilascio della versione 2.4.60 e poi 2.4.61
Questo aggiornamento serve a correggere una regressione e a prendere nota dei problemi di sicurezza che non erano elencati nel file CHANGES incluso nel codice sorgente.
Risolto un problema di regressione in cui un file di configurazione che utilizzava AddType anziché AddHandler poteva causare il download di file PHP grezzi anziché l’elaborazione.

Per ulteriori informazioni, vedere:
https://downloads.apache.org/httpd/CHANGES_2.4.60
https://www.cve.org/CVERecord?id=CVE-2024-39573
https://www.cve.org/CVERecord?id=CVE-2024-38477
https://www.cve.org/CVERecord?id=CVE-2024-38476
https://www.cve.org/CVERecord?id=CVE-2024-38475
https://www.cve.org/CVERecord?id=CVE-2024-38474
https://www.cve.org/CVERecord?id=CVE-2024-38473
https://www.cve.org/CVERecord?id=CVE-2024-38472
https://www.cve.org/CVERecord?id=CVE-2024-36387

Prima con il rilascio della versione 2.4.61 per sistemare la regressione introdotta con il precedente rilascio
Per ulteriori informazioni, vedere:
https://downloads.apache.org/httpd/CHANGES_2.4
https://www.cve.org/CVERecord?id=CVE-2024-39884

Fine supporto CentOS 7 dal 30 giugno 2024

Se aggiungiamo che le macchine che installano CentOS 7 non ricevono più aggiornamenti di sicurezza (EOL End Of Life) dal 30 giugno scorso, sicuramente i sistemisti sono impegnati in una intensa attività di migrazione e aggiornamento dei sistemi.

Un problema con la posta elettronica: SMTP Smuggling – falsificazione del mittente

di

SMTP Smuggling

SMTP Smuggling

Alcuni giorni fa SEC Consult ha pubblicato un attacco di spoofing di posta elettronica che coinvolge una composizione di servizi di posta elettronica con differenze specifiche nel modo in cui gestiscono le terminazioni di riga diverse da . (punto)

Dettagli
L’attacco coinvolge una COMPOSIZIONE di due servizi di posta elettronica con differenze specifiche nel modo in cui gestiscono le terminazioni di riga diverse da :

Un servizio di posta elettronica A che non riconosce le terminazioni di riga con formato errato in SMTP come in . in un messaggio di posta elettronica inviato da un utente malintenzionato autenticato a un destinatario presso il servizio di posta elettronica B e che propaga testualmente tali terminazioni di riga con formato errato quando inoltra il messaggio a:

Un diverso servizio di posta elettronica B che supporta terminazioni di riga non corrette in SMTP come in .. Quando questo è seguito da comandi SMTP MAIL/RCPT/DATA “contrabbandati” e dall’intestazione del messaggio più il testo del corpo, il servizio di posta elettronica B viene indotto con l’inganno a ricevere due messaggi di posta elettronica: un messaggio con il contenuto prima di . e un messaggio con l’intestazione “di contrabbando” più il testo del corpo dopo i comandi SMTP “di contrabbando”. Tutto questo quando il servizio di posta A invia un solo messaggio.

Postfix è un esempio del servizio di posta elettronica B. Outlook.com di Microsoft è stato un esempio del servizio di posta elettronica A.

Impatto
L’aggressore autenticato può utilizzare i comandi SMTP MAIL/RCPT/DATA “contrabbandati” e l’intestazione più il testo del corpo, per falsificare un messaggio di posta elettronica da qualsiasi indirizzo MAIL FROM il cui dominio è ospitato anche sul servizio di posta elettronica A, a qualsiasi indirizzo RCPT TO il cui dominio è ospitato anche presso il servizio di posta elettronica B.

Il messaggio di posta elettronica contraffatto supererà i controlli DMARC basati su SPF presso il servizio di posta elettronica B, perché il messaggio contraffatto ha un indirizzo MAIL FROM il cui dominio è ospitato presso il servizio di posta elettronica A e perché il messaggio è stato ricevuto da un indirizzo IP per il servizio di posta elettronica A.

FONTE: https://www.postfix.org/smtp-smuggling.html