Connect with us

News

Sistemi di accesso biometrici vulnerabili

Kaspersky ha scoperto numerose falle nel terminale biometrico ibrido di ZKTeco, permettendo ai criminali di aggirare la verifica e rubare e divulgare dati biometrici, manipolare i dispositivi da remoto e installare backdoor

Avatar

Pubblicato

il

Le falle nei dispositivi biometrici di ZKTeco sono state scoperte durante le analisi di Security Assessment condotte dagli esperti di Kaspersky. I risultati sono stati condivisi con il produttore prima di essere resi pubblici. Questi lettori biometrici, utilizzati in settori come impianti nucleari, uffici e ospedali, supportano il riconoscimento facciale e l’autenticazione tramite codice QR. Tuttavia, le vulnerabilità scoperte li espongono a vari attacchi. Kaspersky ha classificato le falle in base alle patch necessarie e le ha registrate sotto specifiche CVE (Common Vulnerabilities and Exposures).

 

Bypass fisico attraverso un falso codice QR

La vulnerabilità CVE-2023-3938 permette ai cybercriminali di eseguire attacchi di SQL injection inserendo codice dannoso nelle stringhe inviate al database di un terminale. Gli aggressori possono usare dati specifici nel codice QR per ottenere accesso non autorizzato alle aree riservate. Quando il terminale elabora una richiesta con un codice QR dannoso, il database lo riconosce erroneamente come proveniente da un utente legittimo. Se il codice QR contiene troppi dati malevoli, il dispositivo si riavvia invece di concedere l’accesso.

“Oltre alla sostituzione del codice QR, esiste un altro interessante vettore di attacco fisico. Se un malintenzionato riesce ad accedere al database del terminale, può sfruttare altre vulnerabilità per scaricare la foto di un utente legittimo, stamparla e usarla per ingannare la fotocamera e accedere a un’area protetta. Questo metodo, ovviamente, presenta alcune limitazioni. Richiede una foto stampata e il rilevamento del calore deve essere disattivato ma rappresenta comunque una potenziale minaccia significativa”, ha affermato Georgy Kiguradze, Senior Application Security Specialist di Kaspersky.

 

Furto di dati biometrici, implementazione di backdoor e altri pericoli

Le CVE-2023-3940 sono vulnerabilità in un componente software che permettono la lettura arbitraria di file, consentendo a un aggressore di accedere ed esfiltrare qualsiasi file del sistema, inclusi dati biometrici sensibili e hash delle password.
La CVE-2023-3942 consente il recupero di informazioni sensibili dell’utente e del sistema dai database dei dispositivi biometrici tramite attacchi SQL injection. Gli attori delle minacce possono non solo accedere e rubare, ma anche alterare da remoto il database di un lettore biometrico sfruttando la CVE-2023-3941. Questo insieme di vulnerabilità ha origine da una verifica impropria dell’input dell’utente in più componenti di sistema. Lo sfruttamento di questa vulnerabilità consente agli aggressori di caricare i propri dati, come le foto, aggiungendo così persone non autorizzate al database. Ciò potrebbe consentire loro di bypassare furtivamente i tornelli o le porte. Un’altra caratteristica critica di questa vulnerabilità permette di sostituire i file eseguibili, creando così una potenziale backdoor.
Lo sfruttamento riuscito di altri due gruppi di nuove falle – CVE-2023-3939 e CVE-2023-3943 – consente l’esecuzione di comandi o codici arbitrari sul dispositivo, garantendo all’aggressore il pieno controllo con il massimo livello di privilegi. Ciò consente al cybercriminale di modificare il funzionamento del dispositivo, sfruttandolo per lanciare attacchi ad altri nodi di rete ed espandere l’attacco a un’infrastruttura aziendale più ampia.

“L’impatto delle vulnerabilità scoperte è allarmante. Per cominciare, gli aggressori possono vendere i dati biometrici rubati sul dark web, esponendo le vittime all’ulteriore rischio di deepfake e di sofisticati attacchi di social engineering. Inoltre, la possibilità di modificare il database vanifica lo scopo originario dei dispositivi di controllo degli accessi, consentendo potenzialmente l’accesso ad aree riservate ad attori malintenzionati. Infine, alcune vulnerabilità permettono di creare una backdoor per infiltrarsi di nascosto in altre reti aziendali, favorendo lo sviluppo di attacchi sofisticati, tra cui cyberspionaggio o sabotaggio. Tutti questi fattori sottolineano l’urgenza di correggere queste vulnerabilità e di verificare accuratamente le impostazioni di sicurezza dei dispositivi per chi li utilizza in aree aziendali”, ha aggiunto Georgy Kiguradze.

Al momento in cui sono state pubblicate le informazioni sulle vulnerabilità, Kaspersky non dispone di indicazioni relative al rilascio delle patch.

Per contrastare eventuali cyberattacchi correlati, oltre a installare le patch, Kaspersky consiglia di adottare le seguenti misure:

  • Isolare l’uso del lettore biometrico in un segmento di rete separato.
  • Utilizzare password di amministratore robuste, cambiando quelle predefinite.
  • Verificare e rafforzare le impostazioni di sicurezza del dispositivo, modificando le impostazioni predefinite meno efficaci. Considerare l’attivazione o l’aggiunta del rilevamento della temperatura per evitare che l’autorizzazione sia data con una foto casuale.
  • Ridurre al minimo l’uso della funzionalità QR-code, se possibile.
  • Aggiornare regolarmente il firmware.

 

 

Leggi anche:”Kaspersky protegge la posta elettronica

*illustrazione articolo progettata da  Freepik

 

[wpdevart_facebook_comment curent_url="http://developers.facebook.com/docs/plugins/comments/" order_type="social" title_text="Facebook Comment" title_text_color="#000000" title_text_font_size="22" title_text_font_famely="monospace" title_text_position="left" width="100%" bg_color="#d4d4d4" animation_effect="random" count_of_comments="7" ]

News

Fan dei Giochi Olimpici truffati

In vista delle prossime Olimpiadi Estive, che inizieranno il 26 luglio, si sono registrate una impennata delle attività di scamming legate all’evento, con truffatori che mirano a denaro e dati degli utenti. Kaspersky ha analizzato i siti Web di phishing legati alle Olimpiadi identificando i principali schemi attualmente in uso

Avatar

Pubblicato

il

Gli esperti di Kaspersky hanno rilevato un aumento delle attività di scamming legate alle Olimpiadi di Parigi 2024. Dopo l’allarme del Comitato Olimpico sulle offerte di biglietti falsi e la truffa subita dalla famiglia di un nuotatore britannico, sono emersi numerosi siti Web di phishing. Questi siti offrono biglietti per eventi olimpici a prezzi vantaggiosi o per gare sold-out, ingannando gli utenti a fornire dati personali e denaro. Spesso le vittime non ricevono nulla o biglietti falsi, e i loro dati vengono venduti nel Dark Web. Inoltre, sono stati scoperti falsi premi aziendali che inducono i dipendenti a fornire credenziali di login, e store online fraudolenti che vendono articoli di merchandising senza mai consegnarli. Un’altra truffa comune è quella dei pacchetti dati gratuiti per telefoni mobili, che richiedono informazioni personali e dettagli di pagamento, utilizzati poi per scopi malevoli.

Un esempio di pagina di phishing che offre biglietti per le Olimpiadi  

 

“Durante eventi importanti come le Olimpiadi, la quantità di offerte può essere enorme e molto rischiosa”, ha affermato Anton Yatsenko, Cybersecurity Expert di Kaspersky. “I truffatori sfruttano l’entusiasmo delle persone, per cui è fondamentale considerare ogni offerta con una sana dose di scetticismo. Bisogna ricordare che se una cosa sembra troppo bella per essere vera, probabilmente lo è. Prendetevi il tempo necessario per verificare l’autenticità delle offerte e proteggere i vostri dati personali. La vostra attenzione può fare la differenza tra godersi l’evento ed essere vittima di una truffa”.

Un esempio di pagina di phishing che propone biglietti per le Olimpiadi

 

Per evitare le truffe durante le Olimpiadi, gli esperti di Kaspersky hanno condiviso alcuni consigli:

  • Verificare l’autenticità: acquistare biglietti, prodotti o servizi solo da fonti autorizzate e affidabili. Controllare il sito web ufficiale dell’evento per individuare i venditori abilitati.
  • Essere scettici sulle offerte: se un’offerta sembra troppo bella per essere vera, è probabile che lo sia. Bisogna essere cauti nei confronti di sconti elevati e offerte esclusive, soprattutto se provengono da fonti sconosciute.
  • Proteggere i propri dati: evitare di condividere informazioni personali e finanziarie su siti web sconosciuti. Assicurarsi che il sito sia sicuro verificando che sia presente “https” nell’URL e il simbolo del lucchetto nella barra del browser.
  • Utilizzare software di sicurezza: aggiornare il software antivirus e di sicurezza per evitare malware e attacchi di phishing.
  • Essere aggiornati: rimanere informati sulle tattiche di truffa più comuni e su come riconoscerle. Seguire gli ultimi aggiornamenti forniti da esperti di cybersecurity e da fonti ufficiali.

 

*illustrazione articolo progettata da  Freepik

 

 


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

News

Vulnerabilità critica in OpenSSH

Scoperta dai ricercatori Akamai, questa falla potrebbe consentire l’esecuzione di codice remoto non autenticato.

Avatar

Pubblicato

il

I ricercatori di Akamai hanno esaminato la vulnerabilità critica in OpenSSH (CVE-2024-6387), nota come regreSSHion, scoperta dal Qualys Threat Research Unit. Questa vulnerabilità potrebbe consentire l’esecuzione di codice remoto non autenticato ed è derivata da una regressione della vecchia vulnerabilità CVE-2006-5051. La vulnerabilità è stata resa pubblica il 1° luglio 2024.

La causa è una race condition legata alla gestione non sicura dei segnali durante un timeout nell’autenticazione dell’utente, che può portare all’esecuzione di codice arbitrario. Le versioni di OpenSSH colpite sono quelle precedenti alla 4.4/4.4p1 (se non patchate), introdotte di nuovo in OpenSSH 8.5/8.5p1, e risolte nella versione 9.8/9.8p1.

L’impatto è significativo, colpendo molte distribuzioni Linux, ma diversi fattori riducono il rischio immediato, tra cui limitazioni della PoC, complessità dello sfruttamento su architetture amd64 e necessità di connessioni multiple per un attacco riuscito. Per mitigare la vulnerabilità, è consigliato aggiornare OpenSSH a una versione non vulnerabile, utilizzare query Osquery per rilevare asset vulnerabili, e segmentare le interfacce SSH esposte a internet. Se le patch tardano, aumentare la sensibilità degli allarmi sui workload vulnerabili e monitorare i tentativi di brute-force.

Il blog di Akamai fornisce una panoramica della vulnerabilità, con dettagli tecnici, versioni affette, impatto e strategie di mitigazione, oltre a una query Osquery per rilevare le versioni vulnerabili. Akamai continuerà a monitorare queste e altre minacce e fornirà ulteriori informazioni non appena si presenteranno. Aggiornamenti in tempo reale su ulteriori ricerche sono disponibili sul canale Twitter di Akamai.

 

 

 

Continua a Leggere

News

Tiny Core: la distro delle tre sorelle

Tre versioni per un sistema operativo che fa delle dimensioni ridottissime, della velocità e della personalizzabilità i suoi punti di forza

Avatar

Pubblicato

il

TinyCore Linux è una distribuzione estremamente leggera e minimalista. È progettata per essere il più efficiente possibile in termini di utilizzo di risorse, richiedendo molto poco spazio su disco e memoria, il che la rende particolarmente adatta per l’uso su hardware con specifiche limitate o per utenti che desiderano un sistema molto veloce e reattivo. Le dimensioni dell’immagine ISO di TinyCore sono incredibilmente piccole rispetto alla maggior parte delle distribuzioni Linux, anche leggere: sono infatti nell’ordine dei MB anziché dei GB.

Durante l’installazione potete scegliere i componenti aggiuntivi da integrare nella distribuzione

 

Tre distribuzioni e tante estensioni

TinyCore fa parte del progetto Core che offre tre diverse distribuzioni. Core ha l’installazione più piccola (17 MB) e include solo l’interfaccia a riga di comando e il minimo indispensabile per avviare il sistema. TinyCore (23 MB) ha integrato invece un ambiente desktop grafico minimale basato su FLTK/FLWM, oltre a una serie di applicazioni di base. C’è poi CorePlus (248 MB), pensata per facilitare l’installazione su vari hardware, che include driver aggiuntivi e strumenti di configurazione, nonché un’opzione per scegliere tra diversi ambienti desktop leggeri. Oltre al sistema di base ci sono poi le estensioni che vi permettono di ampliare la vostra versione. In aggiunta alle versioni x86 di cui parliamo qui, ci sono anche port per dispositivi ARM, inclusa la Raspberry Pi.

 

Le novità di Tiny Core Linux 15

La versione 15 apporta aggiornamenti significativi pur mantenendo la sua essenza minimalista. Aggiorna il nucleo al kernel 6.6.8, migliorando la compatibilità con l’hardware recente. Incorpora inoltre glibc 2.38, permettendo agli sviluppatori di lavorare con le più recenti librerie C. La distribuzione è anche passata alla versione 13.2 di GCC (GNU Compiler Collection), una suite di compilatori Open Source che supporta vari linguaggi di programmazione, tra cui C, C++, Objective-C, Fortran, Ada, e Go. Questa release ha anche risolto diversi bug e introdotto miglioramenti alle applicazioni principali e alle utilità di sistema.

Tiny Core è un esempio perfetto di ciò che il progetto Core può produrre: un desktop FLTK/FLWM da 23 MB basato su un nucleo e una serie di estensioni costruite dalla comunità

 

 

 

Leggi anche: “La distro leggere basata su slackware


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

News

Attacchi Trojan in aumento

In forte crescita le violazioni informatiche alle PMI a causa della ricomparsa di attacchi basati su Microsoft Excel

Avatar

Pubblicato

il

In occasione della Giornata Internazionale delle PMI che si è svolta lo scorso 27 giugno, un report di Kaspersky ha rivelato un aumento del 5% nelle infezioni informatiche nel settore delle PMI nel primo trimestre del 2024 rispetto allo stesso periodo del 2023. In particolare, 2.402 utenti hanno incontrato malware e software indesiderati che imitano prodotti software, con 4.110 file unici distribuiti sotto forma di software per PMI, segnando un incremento dell’8% rispetto all’anno precedente. Il report sottolinea che le PMI sono sempre più spesso bersagliate dai criminali informatici, con i Trojan come forma di attacco più diffusa. I Trojan sono particolarmente pericolosi poiché imitano software legittimi e riescono a eludere le misure di sicurezza tradizionali. Da gennaio ad aprile 2024, Kaspersky ha registrato 100.465 attacchi Trojan, un aumento del 7% rispetto allo stesso periodo del 2023.

Microsoft Excel è diventato il principale canale di attacco, seguito da Microsoft Word, mentre Microsoft PowerPoint e Salesforce sono state le terze applicazioni più colpite.


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

News

Difendersi dai bot di web scraping

I bot costituiscono il 42% del traffico web complessivo e quasi i due terzi sono dannosi, in particolare per l’e-commerce

Avatar

Pubblicato

il

Akamai Technologies ha pubblicato un nuovo State of Internet Report (SOTI) che analizza le minacce derivanti dalla proliferazione dei bot di web scraping. Il report, intitolato “Gestire i profitti: l’impatto dei Web Scrapers sull’ecommerce”, rivela che il 42% del traffico web è generato da bot, e il 65% di questi è dannoso. Il settore e-commerce è il più colpito da questi bot, utilizzati per attività come spionaggio della concorrenza, creazione di siti falsi e attacchi che danneggiano il fatturato e l’esperienza dei clienti.

Nonostante l’assenza di leggi che vietino l’uso dei bot scraper e la difficoltà di rilevarli, le aziende possono adottare strategie di mitigazione. Patrick Sullivan di Akamai sottolinea che i bot rappresentano una sfida significativa, in grado di sottrarre dati e replicare siti web. Il report evidenzia l’uso di botnet basate su AI per il furto di dati, la creazione di campagne di phishing sofisticate e la facilità di creare nuovi account fraudolenti, che costituiscono fino al 50% delle perdite per frode.

I bot scraper peggiorano le performance dei siti web, manipolano le metriche, e aumentano i costi di elaborazione. Il report offre strategie di difesa e un caso di studio su come migliorare l’efficacia dei siti web attraverso la mitigazione dei bot scraper. Questo report celebra il 10° anniversario della serie SOTI di Akamai, fornendo approfondimenti sulla cybersicurezza e le prestazioni web basati sui dati dell’Akamai Connected Cloud.

 

 

*illustrazione articolo progettata da  Freepik

 

Continua a Leggere

News

L’IA al servizio degli hacker

Akamai analizza la campagna di cryptomining che sfrutta la vulnerabilità di PAN-OS

Avatar

Pubblicato

il

Recentemente, con la divulgazione di un exploit pubblico per una vulnerabilità zero-day (CVE) nei sistemi PAN-OS di Palo Alto, Akamai ha osservato un aumento dell’attività da parte di attori malevoli specializzati nel cryptomining. La vulnerabilità, scoperta dalla società di sicurezza Volexity e pubblicata lo scorso mese di aprile, permette a un utente malintenzionato di creare file arbitrari e potenzialmente eseguire comandi con privilegi di root tramite la manipolazione del cookie SESSID e una tecnica di path traversal.

Inizialmente, dopo la divulgazione della CVE, la maggior parte delle attività riguardava sonde di vulnerabilità da parte di ricercatori e difensori. Tuttavia, recentemente Akamai ha rilevato un preoccupante aumento di tentativi di esecuzione di comandi per scaricare e avviare script bash da indirizzi IP diversi. Questo indica un intento malevolo di sfruttare la vulnerabilità per installare software di cryptomining su sistemi vulnerabili, degradando le prestazioni dei sistemi colpiti e generando criptovaluta utilizzando le risorse del sistema infettato.
È cruciale per le aziende adottare misure proattive, come l’implementazione tempestiva di patch di sicurezza e il monitoraggio costante dell’attività di rete, per proteggere i propri sistemi da queste vulnerabilità critiche.
Akamai continuerà a monitorare queste e altre minacce e fornirà ulteriori informazioni non appena si presenteranno. Aggiornamenti in tempo reale su ulteriori ricerche sono disponibili sul canale Twitter di Akamai.

 

 

Leggi anche: “Vulnerabilità nello standard Wi-Fi”

 

*illustrazione articolo progettata da  Freepik

 

 

Continua a Leggere

News

Pirati all’attacco di Euro 2024

Kaspersky scopre fake ticket, streaming a basso costo e criptovalute di Harry Kane

Avatar

Pubblicato

il

Con l’inizio degli Europei di calcio 2024, milioni di tifosi seguono le partite dai propri schermi o dagli stadi, e i criminali informatici ne approfittano per sfruttare questo evento atteso. Gli esperti di Kaspersky hanno scoperto numerose truffe mascherate da offerte legate a UEFA 2024, mirate a rubare dati e denaro degli utenti.

Una delle truffe più comuni durante gli Europei di calcio è quella dei biglietti, e anche quest’anno non ha fatto eccezione. Gli esperti di Kaspersky hanno individuato una pagina fraudolenta che si presentava come una nota compagnia energetica tedesca, offrendo biglietti gratuiti per EURO 2024. Dopo l’acquisto, gli utenti sono invitati a fornire nome, numero di telefono e indirizzo. Questa truffa mirata si rivolge a dipendenti e partner dell’azienda, con l’obiettivo di infiltrarsi nella sua infrastruttura.

Esempio di pagina di phishing che offre l’acquisto di biglietti per la partita

 

Frode di criptovalute

I truffatori stanno approfittando della popolarità degli EURO 2024 per vendere criptovalute personalizzate con i nomi dei giocatori famosi, promettendo alti rendimenti. Un esempio scoperto da Kaspersky coinvolge criptovalute intitolate a Harry Kane, promosse attraverso e-mail e social media come Twitter, Facebook e Telegram. I trader, desiderosi di non perdere l’occasione, acquistano in fretta, facendo aumentare il prezzo. I truffatori, quindi, vendono le loro partecipazioni quando il prezzo è alto, causando un crollo del valore in pochi minuti.

Esempio di cryptoscam che sfrutta EURO 2024

 

Fake streaming

Gli spettatori online devono prestare attenzione, poiché gli esperti di Kaspersky hanno scoperto false piattaforme di streaming che offrono una copertura esclusiva dell’evento a prezzi bassi. Oltre alla violazione di dati personali e finanziari, questi siti possono contenere vulnerabilità XSS che consentono agli aggressori di controllare il browser.

 

Fake merchandising

Gli esperti hanno anche trovato store online fraudolenti che vendevano merchandising per i tifosi: divise, sciarpe, cappelli e molto altro con uno sconto del 40%. Inutile dire che chi è stato ingannato non ha mai ricevuto l’articolo scelto.

Per proteggersi da questo tipo di truffe, gli esperti di Kaspersky consigliano di:

  • Verificare l’autenticità: acquistare biglietti, merchandising o servizi sono da fornitori ufficiali e affidabili. Controllare il sito web ufficiale dell’evento per conoscere i venditori autorizzati.
  • Diffidare dalle offerte: se un’offerta sembra troppo bella per essere vera, è probabile che lo sia. È importante prestare attenzione agli sconti elevati e alle offerte esclusive, soprattutto se provengono da fonti sconosciute.
  • Proteggere i propri dati: evitare di condividere informazioni personali e finanziarie su siti web sconosciuti. È importante assicurarsi che il sito sia sicuro cercando “https” nell’URL e il simbolo del lucchetto nella barra del browser.
  • Aggiornare sempre il proprio security software e antivirus per proteggersi da malware e attacchi di phishing.
  • Restare sempre aggiornati sulle tattiche di truffa più comuni e su come riconoscerle. Seguire gli aggiornamenti degli esperti di cybersecurity e delle fonti ufficiali.

 

Leggi anche: “Calcio da cyber-professionisti

Continua a Leggere

Trending