Sono stati rilasciati nuovi aggiornamenti di emergenza, confermati dalla stessa Apple, volti a correggere tre vulnerabilità zero-day nei sistemi operativi Apple iOS, iPadOS e MacOS. Il bollettino di sicurezza pubblicato dal CSIRT Italia, cataloga come grave/rosso (75,38/100) l’impatto delle vulnerabilità.

Secondo Bill Marczak del Citizen Lab della Munk School dell’Università di Toronto e Maddie Stone del Threat Analysis Group (TAG) di Google, questi nuovi 0day potrebbero essere stati utilizzati come parte di spyware, altamente mirati, destinati a scopi civili. Con queste tre nuove vulnerabilità arrivano a 16 il numero totale di bug zero-day scoperti nel software Apple dall’inizio di quest’anno.

Ecco in dettaglio l’elenco delle vulnerabilità della sicurezza:

• CVE-2023-41991: problema riscontrato nella convalida del certificato nel framework di sicurezza. Questo potrebbe permettere a un’app dannosa di ignorare la convalida della firma;
• CVE-2023-41992: si tratta di una falla di sicurezza presentenel kernel che potrebbe consentire a un utente malintenzionato di elevare i propri privilegi;
• CVE-2023-41993: un attaccante potrebbe sfruttare un difetto all’interno del WebKit per eseguire codice arbitrario durante l’elaborazione di contenuti Web appositamente predisposti.

Apple è corsa subito ai ripari fornendo gli aggiornamenti per i seguenti dispositivi e sistemi operativi:

iOS 16.7 e iPadOS 16.7: iPhone 8 e successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e successivi, iPad 5a generazione e successivi e iPad mini 5a generazione e successivi.

iOS 17.0.1 e iPadOS 17.0.1 – iPhone XS e successivi, iPad Pro 12,9 pollici 2a generazione e successivi, iPad Pro 10,5 pollici, iPad Pro 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successive, iPad mini 5a generazione e successive.

MacOS Monterey 12.7 e MacOS Ventura 13.6

WatchOS 9.6.3 e WatchOS 10.0.1 – Apple Watch Series 4 e versioni successive.

Safari 16.6.1 – macOS Big Sur e macOS Monterey

*illustrazione articolo progettata da  Freepik

Nasce HWG Sababa, una nuova azienda italiana pronta ad affrontare le continue sfide del mercato della cybersecurity come fornitore consolidato di sicurezza informatica end-to-end. Il nuovo polo d’eccellenza italiano nella cybersecurity nasce in seguito all’accordo tra HWG S.r.l., azienda specializzata nell’erogazione di servizi gestiti e consulenza in ambito cyber, e Sababa Security S.p.A., primario fornitore di cybersecurity di soluzioni di sicurezza integrate e personalizzate per la protezione dell’IT, OT e ambienti IoT dalle minacce informatiche.

L’obiettivo principale di HWG Sababa è consolidare la posizione di riferimento in Italia e nell’area mediterranea in grado di far fronte alle complesse sfide del mercato, offrendo ai clienti servizi specializzati e completi grazie al supporto di oltre 170 risorse completamente focalizzate sulla cybersecurity, e a investimenti in Ricerca e Sviluppo nella sicurezza digitale in tematiche emergenti e fondamentali per la resilienza del sistema paese, come OT, IoT e Automotive, supportati da una forte collaborazione con università e centri di eccellenza.

“Con alle spalle venti anni di esperienza verticale nel settore della cyber security, la fusione delle due aziende HWG e Sababa ci rende una realtà ancora più forte sul mercato. HWG Sababa rappresenta infatti l’inizio di un nuovo percorso volto a rafforzare ulteriormente un rapporto già consolidato negli anni. Questa fusione non farà altro che incrementare la nostra presenza a livello globale con un occhio orientato sempre al futuro per prevedere nuove minacce prima che arrivino ai clienti, aiutandoli ad implementare programmi avanzati di resilienza”, ha commentato Alessio Aceti, CEO di HWG Sababa.

“Il nostro obiettivo è quello di proteggere l’infrastruttura e analizzare il rischio aziendale per migliorare la postura di sicurezza e consentire la continuità del business. Insieme a Sababa saremo in grado di fornire ai nostri clienti un portafoglio completo di servizi di sicurezza in ambito cyber, in grado di coprire l’intero processo della catena del valore. La combinazione delle competenze di queste due aziende ha come obiettivo quello di diventare uno dei più rilevanti operatori di sicurezza informatica della regione del Mediterraneo”, ha commentato Enrico Orlandi, Presidente di HWG Sababa.

Leggi anche: ” ACN: strategia nazionale di cybersicurezza italiana 2022-2026″

Il recente rapporto Cyber Signals evidenzia un preoccupante trend di attacchi rivolti a grandi eventi sportivi e di intrattenimento. Tracciando i dati interni e la telemetria ottenuta durante la fornitura di supporto per la cybersecurity delle infrastrutture critiche durante l’organizzazione della Coppa del Mondo FIFA, Microsoft ha analizzato oltre 634,6 milioni di eventi, proteggendo infrastrutture e organizzazioni in Qatar. La ricerca ha incluso la tutela di 45 organizzazioni e 144 mila identità, e ha permesso l’analisi di 14,6 milioni di flussi di email, 634,6 milioni di autenticazioni e 4,35 miliardi di connessioni di rete. L’alto afflusso di persone e la conseguente circolazione di dati sensibili attraverso i loro dispositivi aumenta la superficie di attacco.
Questo si traduce in un’opportunità unica per i criminali informatici, specialmente coloro specializzati in attacchi ransomware, compromissione di e-mail aziendali e furto di dati finanziari.

Società leader nella sicurezza informatica, Mandiant ha da poco pubblicato una ricerca approfondita su UNC3886, un sofisticato attore di minacce cinese con una solida competenza in attività di spionaggio informatico. Questo gruppo è ora stato segnalato per l’uso di un’exploit zero-day per gli hypervisor VMware ESXi, identificato come CVE-2023-20867.
Charles Carmakal, CTO di Mandiant Consulting e Google Cloud, descrive UNC3886 come “uno degli attori legati alla Cina più abili nell’ambito dello spionaggio informatico”. La vulnerabilità scoperta consente all’attore delle minacce di eseguire comandi su una VM guest dall’hypervisor, senza necessità di una password di amministratore/root della VM guest. L’attaccante dovrà prima ottenere l’accesso a un hypervisor, per esempio tramite credenziali rubate. Dal punto di vista forense, questi processi sembrano legittimi, originati da un file eseguibile VMware autentico e firmato digitalmente, come vmtoolsd.exe su VM guest Windows. Significativamente, Mandiant ha rilevato UNC3886 che sfrutta i socket VMCI. Dopo l’implementazione di una backdoor VMCI su un hypervisor, è possibile riconnettersi alla backdoor da qualsiasi macchina guest in cui viene eseguita, indipendentemente dalla connettività di rete o dalle configurazioni VLAN.

Sono elementi comuni su quasi tutti i dispositivi mobili e servono principalmente e banalmente per segnalare diversi stati del dispositivo, come la carica della batteria o l’attività in corso. Tuttavia, alcuni esperti di sicurezza hanno recentemente  scoperto che questi innocui indicatori possono rivelare, involontariamente, molto più di quanto si pensasse inizialmente.

Mediante tecniche sofisticate di registrazione e analisi, i pirati informatici pare siano in grado di decifrare i pattern di illuminazione dei LED e derivare le chiavi di cifratura utilizzate dal dispositivo. E questo tipo di attacco, basato su ciò che è noto come “analisi delle emissioni secondarie”, consentirebbe ai malintenzionati di accedere a dati crittografati, bypassando le tradizionali misure di sicurezza. La portata di questo metodo è un ulteriore motivo di preoccupazione: sarebbero 18, infatti, i metri di distanza sufficienti a un pirata informatico per registrare i LED di un dispositivo, rendendo così l’attività sospetta estremamente difficile da rilevare. Una minaccia che pone una significativa sfida alla comunità che si occupa di sicurezza informatica.

In attesa di contromisure efficaci, il consiglio degli esperti è quello di adottare delle precauzioni pratiche, come coprire i LED del vostro dispositivo (quando possibile), e mantenere un’alta consapevolezza dell’ambiente circostante, specialmente quando si utilizzano reti non sicure o si accede a informazioni sensibili. Tutto al fine di mitigare il rischio.

Leggi anche: “Milioni di telefoni Android vulnerabili all’attacco Man In the Disk“

L’ACN ha dichiarato che sta monitorando “con la massima attenzione” le minacce alla funzionalità dei siti istituzionali e delle organizzazioni che offrono servizi essenziali alla collettività. Nonostante gli attacchi siano stati di natura “dimostrativa”, l’Acn ha rassicurato che l’integrità e la riservatezza delle informazioni e dei sistemi coinvolti non sono state compromesse.

Inizialmente, il gruppo Noname057(16) ha preso di mira una serie di aziende di trasporto pubblico locale, dall’Amat di Palermo all’Anm di Napoli. Successivamente, hanno rivolto la loro attenzione alle banche. Le vittime della frode sono state prontamente avvisate e sono state prese misure immediate per mitigare gli effetti degli attacchi, come parte di un approccio di contrasto e prevenzione consolidato.

Leggi anche: “5 banche colpite da attacchi DDos“

Arcadia Finance, un protocollo DeFi operante sulle blockchain Ethereum e Optimism, è stata vittima di un attacco hacker. La violazione, che ha colpito direttamente le riserve di due wrapped token del protocollo – darcWETH e darcUSDC – è stata confermata dagli stessi gestori.
Pochissime ore dopo l’attacco, la squadra di Arcadia ha riferito di essere riuscita a stabilire un contatto con l’hacker responsabile. Attualmente, stanno lavorando in stretta collaborazione con i loro partner per la sicurezza, le forze dell’ordine e la comunità al fine di trovare la soluzione più efficace per risolvere il problema, con l’obiettivo principale di recuperare i fondi perduti per gli utenti del protocollo. PeckShield, società leader in sicurezza blockchain, ha analizzato l’incidente e suggerisce che la vulnerabilità sia derivata da una mancanza di convalida dell’input non attendibile nello smart contract di Arcadia Finance. Tale mancanza ha permesso agli aggressori di drenare fondi dalle riserve di darcWETH e darcUSDC.

Leggi anche: “Ftx: attacco hacker, sottratti 600 milioni di dollari”