SACK Panic: grave problema nei dispositivi basati su linux degli ultimi 10 anni

SACK panic sicurezza reti informatiche
SACK panic sicurezza reti informatiche

I ricercatori di Netflix hanno scoperto alcune nuove vulnerabilità denial-of-service (DoS) nei kernel Linux e FreeBSD, inclusa una grave vulnerabilità (CVSS: 8.2) chiamata SACK Panic che potrebbe consentire agli attori malintenzionati di bloccare da remoto i server ed interrompere le comunicazioni, secondo un advisory pubblicato nel repository Github: “Le vulnerabilità riguardano in particolare le capacità MSS (Maximum Segment Size) e SACK (Selective Acknowledgement) TCP. Il più serio, soprannominato “SACK Panic“, consente un blocco del kernel attivato da remoto sui kernel Linux”.

I ricercatori di Netflix hanno aggiunto che ci sono patch per la maggior parte di queste vulnerabilità e strategie di mitigazione aggiuntive da considerare se la patch non è possibile.

“I problemi sono stati assegnati codici CVE: CVE-2019-11477 è considerato un livello di gravità importante, mentre CVE-2019-11478 e CVE-2019-11479 sono considerati di gravità moderata”, ha dichiarato un advisory di Red Hat.

Questi difetti possono avere un impatto su qualsiasi organizzazione che esegue grandi flotte di computer Linux di produzione e, se lasciati privi di patch, consentono agli aggressori remoti di assumere il controllo e bloccare le macchine.
Una volta che la maggior parte di delle infrastrutture avra’ ricevuto la patch appropriata, molte organizzazioni dovranno affrontare la lunga coda del ciclo di aggiornamento. Alla fine di questa coda ci sono i dispositivi che non ricevono aggiornamenti automatici e che potrebbero non ricevere alcun aggiornamento – la IOT (Internet of things) e i dispositivi non gestiti che in molti casi sono costruiti su Linux (router, firewall, VPN, etc.). Questa vulnerabilità risale a molto tempo indietro (dal momento che Linux v2.6.29, che è stato rilasciato 10 anni fa), quindi la quantità di dispositivi legacy che usano il codice vulnerabile sarà molto significativa in questo caso, e questi tipi di dispositivi probabilmente non riceveranno aggiornamenti e rimarranno vulnerabili.

RIFERIMENTI

  • SACK Panic (CVE-2019-11477)
  • SACK Slowness or Excess Resource Usage (CVE-2019-11478)
  • SACK Slowness the RACK TCP Stack (CVE-2019-5599)
  • Excess Resource Consumption Due to Low MSS Values (CVE-2019-11479)

Falla di Exim mette a rischio milioni di server

Una grave vulnerabilità (CVE-2019-10149), che ha un punteggio di gravità critico di 9,8 su 10 sulla scala CVSS v3, è stata scoperta il 5 giugno nelle versioni dalla 4.87 alla 4.91 di Exim. La versione 4.92 di Exim non è vulnerabile.
La maggiore gravita’ della falla consiste nel fatto che, in determinate condizioni (non rare) la falla puo’ essere sfruttata da remoto per eseguire comandi di livello amministrativo.

Grave falla in server mail Exim
Grave falla in server mail Exim

Il server di posta Exim e’ un MTA open-source, che riceve, instrada e consegna messaggi e-mail da utenti locali e host remoti.
Exim è l’MTA predefinito incluso in alcuni sistemi Linux tra cui il diffusissimo sistema di Web-Hosting WHM/Cpanel.

Gli aggressori stanno sfruttando un difetto critico di Linux Exim per eseguire comandi remoti, scaricare i ministri crittografici e annusare altri server vulnerabili.

Nello specifico, sotto attacco è un difetto nei server di posta basati su Exim, che gestiscono un enorme numero di server di posta elettronica di Internet.

Exim è infatti ampiamente distribuito. Al momento della pubblicazione, i risultati di ricerca di una ricerca condotta da Shodan mostrano oltre 4,1 milioni di sistemi che eseguono versioni di Exim considerate vulnerabili (4.87-4.91), mentre 475.591 utilizzano l’ultima versione con patch (4.92). In altre parole, quasi il 90% dei sistemi con Exim è vulnerabile allo sfruttamento locale e potenzialmente allo sfruttamento remoto basato sulla configurazione.I risultati mostrano oltre 4,1 milioni di sistemi che eseguono versioni di Exim considerate vulnerabili (4.87-4.91)

Risultati totali per numero di versione
Exim 4.87: 206.024
Exim 4.88: 24.608
Exim 4.89: 206.571
Exim 4.90: 5.480
Exim 4.91: 3.738.863
Exim 4.92: 475.591

Gli aggressori stanno sfruttando il difetto, scoperto la scorsa settimana, per prendere il controllo delle macchine della vittima, cercare su Internet altre macchine da infettare e avviare un’infezione da cryptominer.

Una campagna diffusa sta sfruttando una vulnerabilità nell’agente di trasporto della posta Exim (MTA) per ottenere l’esecuzione da remoto dei comandi sui sistemi Linux delle vittime. I ricercatori dicono che attualmente più di 3,5 milioni di server sono a rischio dagli attacchi, che utilizzano un exploit wormable.

“Questi tipi di attacchi hanno grandi implicazioni per le organizzazioni”, hanno detto i ricercatori di Cybereason in un post di giovedì. ” Il processo di recupero da questo tipo di attacco è costoso e richiede molto tempo.”

Il difetto
Il difetto deriva dalla convalida impropria dell’indirizzo del destinatario nella funzione deliver_message () nel server.

“Una patch esiste già, è in fase di test e backported a tutte le versioni rilasciate da (e incluso) 4.87”, secondo un recente avviso di sicurezza. ” La gravità dipende anche dalla configurazione. Dipende da quanto vicino alla configurazione standard è la tua configurazione di runtime Exim.

Una prima ondata di attacchi a questa vulnerabilità – che ha coinvolto utenti malintenzionati che lanciavano exploit da un malintenzionato server command-and-control (C2) – è stata scoperta il 9 giugno dal ricercatore Freddie Leeman.

Si consigli di provvedere subito all’aggiornamento dei server che presentano tale grave falla al fine di proteggere i propri utenti e quelli esterni che possono veder violati i propri dati riservati. A tal fine si consiglia di lasciar operare sistemisti linux esperti (suggeriamo i servizi erogati da SicurezzaRete.com)

Denial of service web server linux, danni economici e soluzioni

Segue un caso reale di Denial of service di web server linux risolto da SicurezzaRete.

Scenario: Contatto di azienda che eroga contenuti multimediali a pagamento. Richiesta assistenza per server bloccato poiche’ sotto attacco di tipo Denial of service da 10 giorni.

Richiesta ricevuta da SicurezzaRete: “Da alcuni giorni il nostro server subisce degli attacchi ddos. Nonostante il sito sia protetto da cloudflare e dal firewall CSF questo hacker riesce a tenerlo giù per ore, fino a che il provider N….cheap blocca l’ip per troppi accessi… Abbiamo assolutamente necessità che in giornata il sito sia messo in sicurezza…”

Tipo: messa in sicurezza e ripristino servizio.

Priorita’: urgente

Danni stimati: 35.000-45.000 Euro di mancato fatturato in 10 giorni.

Giorno 0
Analisi: Il problema e’ causato da un attacco Denial of service distribuito (DDOS) presumibilmente generato con strumenti tipo memcrashed (sfruttano circa 80.000 host compromessi per generare un effetto moltiplicatore di traffico UDP) usati per saturare la banda disponibile per l’host.

Alla ripetuta sollecitazione al provider (N…cheap) la risposta e’ deludente e mostra la loro impossibilita’ tecnica di bloccare il Denial of service:
We are afraid that the DDoS attack is still in place (UDP pkts/s > 8000; 622.60Mb/s). This time on on 198.x.y.z again. The next network block will expire within half an hour. Reboot won’t help here.
We are deeply sorry.

Giorno 1
Azione 1: apertura canale sul server bloccato
Azione 2: attivazione nuovo server presso un provider con dispositivi adeguati di protezione anti-DDOS
Azione 3: messa in sicurezza totale dei servizi sul nuovo server. Configurazione DNS corretta.
Azione 4: migrazione verso nuovo server di tutta la piattaforma. Ottimizzazione server.
Azione 5: configurazione per accessibilita’ della macchina solo da front-end (Cloudflare).
Azione 6: ripristino del servizio, avvenuto entro 36 ore dalla prima chiamata.

Nuovo attacco di tipo diverso verso Cloudflare. Rallentamento del server.
Azione 7: creazione script per interazione attraverso API Cloudflare per protezione dinamica della macchina. Servizi completamente operativi ed efficienti. Il Denial of service del web server linux non e’ piu’ efficace.

Conclusioni:
a) si consiglia di affidarsi a provider di buon livello in particolare se si tratta di business on-line dove i disservizi possono generare danni economici significativi.
b) affidarsi a sistemisti esperti (SicurezzaRete) per la soluzione di problemi tecnici di rete e/o sistemistici complessi.

Denial of service web server linux

Richiedi assistenza per Denial of service web server linux

Linux mail server Vs servizi email in cloud

Per i nostri clienti abbiamo messo a confrontato i servizi email in cloud di due tra i maggiori provider.
A tale confronto (aggiornato al Marzo 2019) abbiamo aggiunto una soluzione proprietaria realizzata con un mail server privato operante su server virtuale linux (VPS) su cui avviene una installazione di servizio di posta elettronica basato su Linux.
Il risultato evidenzia che solo in pochi casi il Cloud è economicamente conveniente rispetto ad un mail server privato.
Confrontando i servizi Google Apps for Works, Microsoft con Office 365 e un VPS con installazione dedicata di mail server linux (comprensivi di assistenza) e considerando 1 anno di utilizzo si ottengono i costi mensili per ciascuna mailbox rappresentati nel grafico (dimensione di ciascuna mailbox: 50 GB per MS Office 365 e 30 GB per Google Apps e Mailserver privato VPS).
Oltre le 7 mailbox risulta conveniente la soluzione proprietaria con una soluzione linux mail server. Numerose aziende italiane potrebbero trarre benefici economici adottando tale soluzione.

Linux mail server Vs email in cloud
Mail server dedicato linux Vs email in cloud

Maggiori informazioni sull’installazione di Server privato di posta

Email aziendale, posta elettronica servizi a confronto

email aziendale confronto
email aziendale confronto

Comunque vengano chiamati, Email Aziendale, Posta Elettronica Aziendale, Piani Email Aziendali, si tratta sempre dei servizi più usati dalle aziende per lo scambio dei messaggi con i propri clienti e fornitori: posta elettronica.

Qui segnaliamo un caso reale di una azienda con diverse sedi in Italia che ha in uso 700 mailbox aziendali sul proprio dominio.
Il reparto IT ha deciso di rinnovare il proprio servizio e il fornitore e per questo ci ha chiesto di mettere a confronto quanto disponibile sul mercato. Ecco cosa e’ emerso.

Stime eseguite su 700 Email account *:

Gmail: 3.416,00 Euro/mese IVA COMPRESA (Caselle MAX 30 GB)

OVH: 845,46 Euro/mese IVA COMPRESA (Caselle MAX 10 GB)

Aruba: 641,81 Euro/mese IVA COMPRESA (Caselle MAX 5 GB)

Sicurezzarete: 470,00 Euro/mese IVA COMPRESA (Caselle MAX 30 GB)
Mail Server dedicato, antivirus, antispam, firewall, pannello amministrativo, certificato ssl per tutti i protocolli (web, imap, smtp),
accesso tramite pop3, imap e webmail, mailbox fino a 30 GB. Server managed ovvero gestito da Sicurezzarete (non occorre conteggiare ulteriore assistenza). Durata minima contratto 6 mesi.
Stesso costo fino a 1000 Account.

In sostanza l’adozione di un server mail gestito (managed) per la gestione della email aziendale permette di avere un risparmio del 28% e di avere a disposizione servizi migliori (30 GB contro 5 GB spazio mailbox).
* I calcoli sono stati eseguiti alla data del 27 ottobre 2018 e sono stati considerati i costi dei servizi piu’ possibili simili tra loro visto che alcuni fornitori scorporano in varie componenti i servizi acquistabili (estensione spazio di archiviazione, servizio imap, antispam, antivirus). Di ciascun fornitore viene riportato il link al listino usato sul relativo nome.

INFORMAZIONI

Foreshadow / L1TF nuova falla di sicurezza nei processori Intel

Nei giorni scorsi Intel ha reso noto la scoperta di un nuovo vettore del tipo “esecuzione speculativa side-channel”, denominato L1TF / Foreshadow e basato sullo stesso concetto dei difetti Spectre e Meltdown scoperti ad inizio 2018.

Sicurezzarete

Cos’è L1TF?
Chiamato “L1 Terminal Fault” (L1TF) – o “Foreshadow” – questa vulnerabilità riguarda le CPU con tecnologia SMT (nota anche come “hyper-threading” per i processori Intel). Può consentire l’esecuzione di codice dannoso su un thread per accedere ai dati dalla cache L1 di un altro thread all’interno dello stesso core.

La vulnerabilità Foreshadow è difficile da sfruttare e solo una dimostrazione sviluppata in condizioni di laboratorio ha convalidato la sua esistenza. Sebbene non ci siano prove che suggeriscano che questa vulnerabilità sia stata ancora usata, sono stati creati tre identificatori CVE con qualifica di livello “alto”:

L1 Terminal Fault – SGX (CVE-2018-3615) 7.9 High
L1 Terminal Fault – OS, SMM (CVE-2018-3620) 7.1 High
L1 Terminal Fault – VMM (CVE-2018-3646) 7.1 High

Il manutentore di Linux Greg Kroah-Hartman ha rilasciato nuovi aggiornamenti sui canali del kernel di Linux 4.18, 4.17, 4.14, 4.9 e 4.4 per risolvere la vulnerabilità di L1 Terminal Fault “L1TF” / Foreshadow tipo Meltdown che colpisce i processori Intel.

Le versioni del kernel Linux 4.4.148, 4.9.120, 4.14.63, 4.17.15 e 4.18.1 sono le prime a presentare le patch con la mitigazione a L1TF / Foreshadow.

Qui gli script per testare la vulnerabilita’ delle proprie macchine:

DOWNLOAD dello script per verificare lo stato di protezione per i sistemi Linux:
https://github.com/speed47/spectre-meltdown-checker/raw/master/spectre-meltdown-checker.sh

Ottimizzazione siti web ed ecommerce, il rapporto velocità/profitto

Studi recenti hanno dimostrato che esiste una chiara relazione tra la velocità di caricamento delle pagine di un sito e la loro capacità di condurre a contatti o produrre profitto nell’ambito ecommerce.
In un tempo in cui la maggior parte di siti web e’ costruita con il diffuso CMS WordPress e Woocommerce, spesso si assiste a tempi di caricamento di una singola pagina di oltre 8 secondi.

Gli studi eseguiti (kissmetrics) mostrano che il 47% dei consumatori si aspetta che una pagina web venga caricata in 2 secondi o meno.
Il 40% delle persone abbandona un sito web che impiega più di 3 secondi per caricarsi.
Un ritardo di 1 secondo nella risposta della pagina può comportare una riduzione del 7% delle conversioni.
Se un sito di e-commerce guadagna € 1.000 al giorno, un ritardo di un secondo a pagina pagina potrebbe potenzialmente costare € 25.000 di vendite perse ogni anno.
Alcune delle possibili soluzioni per l’ottimizzazione dei siti web sono: la riduzione delle immagini e degli script, sistemi di caching lato client e server, la compressione, l’uso di protocolli evoluti come http/2 e l’ottimizzazione del server (database, webserver, linguaggio di scripting, sistema operativo).

ottimizzazione siti apache, wordpress, woocommerce
ottimizzazione siti apache, wordpress, woocommerce

Verifica stato di protezione da Meltdown e Spectre

Le ultime enormi falle rivelate nel 2018, Meltdown e Spectre, mettono a rischio moltissimi sistemi.

Controlla Meltdown_Spectre

Come si fa per verificare se i nostri sistemi sono vulnerabili?

Ecco due riferimenti:

Non stupitevi se, ad oggi (19 Gennaio 2018) i vostri sistemi sono vulnerabili, lo sono la maggior parte di quelli esistenti sul pianeta.
Per assistenza professionale potete contattare SicurezzaRete

Meltdown, Spectre: la bufera informatica del 2018, a rischio la maggior parte dei computer.

Il 4 gennaio scorso sono state scoperte (da gruppi indipendenti) e rivelate 3 gravi vulnerabilità informatiche legate ai microprocessori moderni.
Le vulnerabilita’ affliggono Personal Computer, server, dispositivi mobili (tablet e telefoni) e servizi Cloud.
I bug chiamati Spectre, in due varianti, e Meltdown, possono essere usate per sferrare un attacco (side-channel) e sottrarre informazioni dai sistemi informatici su cui sono presenti. Tra queste password, file, documenti, immagini.
Il bug puo’ essere sfruttato sia su sistemi Windows, Linux e su Mac OSX.

Vulnerabilita Meltdown Spectre

L’allarme lanciato e’ grave e i grandi vendor e provider (Google, Amazon, Microsoft, etc.) sono tutti in fermento per individuare ed applicare soluzioni. In particolare la fonte autorevole Graz University of Technology, che e’ tra gli scopritori del problema, indica alcune allarmanti domande e risposte (FAQ), tra queste:

Sono interessato dalla vulnerabilità?
Sicuramente, sì.

Cosa può essere trapelato?
Se il tuo sistema è interessato, il nostro exploit proof-of-concept può leggere il contenuto della memoria del tuo computer. Questo può includere password e dati sensibili memorizzati nel sistema.

Alle aziende che gestiscono server e intendono mettere in sicurezza i loro sistemi informatici consigliamo di affidarsi ad esperti si sicurezza informatica (vedi SicurezzaRete).

 

VIDEO DIMOSTRATIVI


Riferimenti
https://meltdownattack.com/

CVE-2017-5715 (branch target injection – Spectre)
CVE-2017-5753 (bounds check bypass – Spectre)
CVE-2017-5754 (rogue data cache load – Meltdown)

Voucher per la digitalizzazione delle Pmi

Dal 15 gennaio 2018 il via ai Voucher per la digitalizzazione delle Pmi

Sono un contributo per le micro, piccole e medie imprese erogato tramite concessione di un “voucher” di importo non superiore a 10 mila euro, finalizzato all’adozione di interventi di digitalizzazione dei processi aziendali e di ammodernamento tecnologico.
La disciplina attuativa della misura è stata adottata con il decreto interministeriale 23 settembre 2014.
Il voucher è utilizzabile per l’acquisto di software, hardware e/o servizi specialistici che consentano di:
– migliorare l’efficienza aziendale;
– modernizzare l’organizzazione del lavoro, mediante l’utilizzo di strumenti tecnologici e forme di flessibilità del lavoro, tra cui il telelavoro;
– sviluppare soluzioni di e-commerce;
– fruire della connettività a banda larga e ultralarga o del collegamento alla rete internet mediante la tecnologia satellitare;
– realizzare interventi di formazione qualificata del personale nel campo ICT.

Anche gli interventi di assistenza e consulenza sistemistica rientrano nel campo delle azioni previste dal finanziamento.

Riferimento WEB

Gli acquisti devono essere effettuati successivamente alla pubblicazione sul sito web del Ministero del provvedimento cumulativo di prenotazione del Voucher adottato su base regionale.