Author

Riccardo Gallazzi

Sistemista JR, tra i suoi campi di interesse maggiori si annoverano virtualizzazione con vSphere e Proxmox e gestione ambienti Linux. È certificato VMware VCA for Data Center Virtualization.

Disponibile WordPress 4.7.1 - Security and Maintenance Release

A meno di un mese di distanza dal rilascio della versione 4.7 “Vaughan”, WordPress rilascia la release 4.7.1 del CMS più utilizzato al mondo.
Questa è una “security and maintenance” release che sistema 8 importanti vulnerabilità che affliggono tutte le versioni di WordPress (4.7 inclusa), oltre a 62 bug della versione 4.7.
Le 8 vulnerabilità includono attacchi cross-site scripting (XSS) e cross-site request forgery (CSRF).

L’aggiornamento è disponibile nella dashboard di amministrazione e sul sito ufficiale. Si consiglia di eseguire l’aggiornamento il prima possibile.

Read more Bollettino CMS gennaio 2017

WordPres 4.7.3 è disponibile ora.

Questa è una release “Security & Maintenance” che non introduce nuovi elementi o funzioni ma bensì risolve bug e corregge problemi presenti nelle versioni precedenti. In quanto corregge situazioni relative alla sicurezza, si raccomanda un aggiornamento tempestivo.

Nelle versioni precedenti erano presenti 6 grandi problemi che sono stati completamente risolti:

Cross-site scripting (XSS) via media file metadata. Scoperto da Chris Andrè Dale, Yorick Koster, e Simon P. Briggs.
I caratteri di controllo possono ingannare la validazione su redirect URL. Scoperto da Daniel Chatfield.
Alcuni file vengono cancellati involontariamente dagli admin usando il plugin dedicato. Scoperto da TrigInc e xuliang.
Cross-site scripting (XSS) via video URL nei video YouTube incorporati. Scoperto da Marc Montpas.
Cross-site scripting (XSS) via nomi dei termini della tassonomia. Scoperto da Delta.
Cross-site request forgery (CSRF) in Press This che risulta in un uso eccessivo di risorse lato server. Scoperto da Sipke Mellema.
L’aggiornamento è disponibile direttamente nella dashboard di amministrazione del proprio sito WordPress tramite banner “Upgrade Now”, oppure può essere eseguito manualmente a partire dai file presenti a questo indirizzo.
Chi ha attiva l’opzione di aggiornamento automatico, vedrà il sistema aggiornato a breve.

Identificata vulnerabilità in Magento che permette attacchi CSRF

È stata identificata una vulnerabilità in Magento Community Edition (2.1.6 e più vecchie) che permette l’esecuzione di codice remoto sfruttando anche una tecnica di Cross Site Request Forgery (CSRF). A dare la notizia è DefenseCode in questo documento dopo un’attività di auditing eseguita sulla versione Community Edition; non è stata testata la versione Enterprise, ma dal momento che condividono gran parte del codice è lecito attendersi che anche questa versione si affetta dalla vulnerabilità.
La vulnerabilità si basa sull’opzione che consente agli amministratori di aggiungere dei video Vimeo alla descrizione del prodotto; in questo caso il sistema recupera un’immagine di anteprima tramite richiesta POST che accetta come parametro la URL dell’immagine.
La richiesta può essere cambiata a GET, e se la URL punta a un file immagine non valido, come un file PHP, il sistema ritorna un errore, tuttavia scaricando il file e non cancellandolo se la validazione fallisce.

Le informazioni dell’immagine sono analizzate e salvate in una directory seguendo uno schema ben preciso (il modello è /pub/media/tmp/catalog/product/<X>/<Y>/<original filename>, dove il percorso da creare dipende dal nome dell’immagine. Ad esempio con picture.jpg viene creato il percorso /p/i/picture.jpg).
A questo punto vengono scaricati due file: uno è il file .htaccess che abilita l’esecuzione di codice PHP nella directory, l’altro è lo script PHP da eseguire.

Uno scenario d’attacco tipico vede un hacker avere come obiettivo un’utenza Magento con accesso al pannello amministrativo (può non essere un admin completo) tramite una email che punta ad una URL che inizia l’attacco CSRF.
Viene consigliato di abilitare l’opzione “Add Secret Keys to URLs” per mitigare gli attacchi CSRF, che si abilita in Stores > Configuration > ADVANCED > Admin > Security > Add Secret Key to URLs.
Inoltre nelle subdirectory di /pub/media/tmp/catalog/product/ dovrebbe essere disabilitato l’uso di file .htacces.

Gli sviluppatori Magento assicurano che la vulnerabilità verrà definitivamente riparata con la prossima release del CMS.

Attacchi DDoS e botnet 

Rakos, la nuova botnet che attacca i sistemi Linux

I ricercatori ESET hanno pubblicato un articolo dove viene spiegato come una botnet, battezzata Rakos, si stia creando tramite infezioni via SSH a server e device IoT Linux. La botnet Mirai, per confronto, agisce prevalentemente via Telnet, anche se sono stati registrati attacchi via SSH.

Le prime tracce di Rakos risalgono ad agosto 2016 e nei mesi successive le segnalazioni sono aumentate; il timore è che la botnet, che al momento è inattiva, possa presto iniziare delle attività di DDoS.

I ricercatori ESET hanno ricostruito come lavora Rakos: anzitutto accede ad un server Linux via SSH con un attacco brute force e crea delle cartelle con vari nomi da cui opera (.javaxxx, .swap, o kworker).

Read more Bollettino sicurezza IT gennaio 2017

Uno strumento essenziale che si trova in tutte le cassette degli attrezzi dei Service Provider è rappresentato dai software per il controllo remoto, che permettono di eseguire comandi e azioni su un computer localizzato in un'altra sede, sfruttando la connessione a Internet. Vediamo quali sono le caratteristiche di un buon software di controllo remoto, presentando anche alcuni prodotti disponibili in commercio.

L’architettura

Tutte le soluzioni di controllo remoto analizzate si basano su un’architettura che prevede un host, un gateway ed un client (detto anche guest). L’host è la macchina da controllare, sulla quale viene installato un agent che permette la connessione remota, mentre l’agent viene eseguito come servizio in Windows in modo che si avvii non appena il sistema operativo viene caricato.
Il client è il computer locale dal quale si avvia un software apposito, detto viewer, che permette di visualizzare lo schermo remoto e dal quale vengono effettuate le operazioni. Se host e client sono sulla stessa rete, eventualmente anche con VPN, la visibilità è diretta e non ci sono problemi di configurazione o di sicurezza, ma se i computer appartengono a reti diverse allora sorgono dei problemi visto che ci sono i sistemi di NAT da scavalcare ed è indispensabile sfruttare perlomeno una autenticazione sicura e un sistema di cifratura del traffico.

Per superare l’ostacolo viene introdotto un terzo elemento nell’architettura, cioè un server gateway che astrae la connessione tra host e client. Il server viene messo a disposizione da chi produce il software di controllo e provvede anche a garantire la corretta sicurezza delle connessioni. Le soluzioni che fanno parte di questa rassegna adottando tutte una combinazione di autenticazione tramite infrastruttura a chiave pubblica/privata e cifratura dei dati. In questo modo gli attacchi di tipo Man in the Middle vengono evitati ed eventuali dati intercettati sono resi inutilizzabili grazie alla cifratura.

aeroadmin2

Read more Software di controllo remoto: anatomia, funzionamento e tipologie

Sui precedenti numeri di GURU advisor abbiamo già dedicato diversi articoli, approfondimenti  (come quelli sul numero di Aprile 2016) al fenomeno dei crypto-ransomware. Questa piaga infatti non accenna ad arrestarsi e, se da una lato ci sono buone notizie come il rilascio del codice per bonificare i dati cifrati da TeslaCrypt, d’altro canto ogni settimana compaiono nuove minacce. Un esempio particolarmente attuale è RAA, scritto in JavaScript e distribuito tramite email come documento .doc allegato. Anche se può essere reso facilmente inoffensivo disabilitando la funzione Windows Script Host e di conseguenza l’esecuzione degli script, RAA rappresenta di fatto l'ennesima minaccia ai vostri dati.  In questo articolo vediamo di ampliare le vostre conoscense parlando di altri strumenti specifici per combattere queste minacce. Naturalmente la prevenzione (tramite backup, protezione dei dati etc.) rimane ancora l’arma migliore a disposizione degli utenti. 

Un veloce ripasso

Sono numerosi i tool di cui vi abbiamo già parlato, vediamo di riassumerli rapidmente:

  • CryptoPrevent di FoolishIT: imposta delle Group Policy che impediscono l’installazione di alcuni ransomware.
  • TeslaDecoder di BloodDolly : per la decifratura totale dei file infettati da TeslaCrypt fino alla versione 4.
  • BitDefender offre uno strumento per combattere Linux Encoder (il ransomware che prende di mira i sistemi Linux) e un vaccino per CTB-Locker, Locky e TeslaCrypt chiamato BD Antiransomware.
  • Malwarebytes Anti-Ransomware: in precedenza conosciuto come CryptoMonitor, blocca i ransomware CryptoWall4, CryptoLocker, Tesla, e CTB-Locker, ma è ancora in beta.
  • Third Tier Ransomware Prevention Kit: contiene una serie di Group Policy, filtri, whitelist, impostazioni, documenti e altro ancora per prevenire le infezioni da ransomware.

id ransomware

Il primo passaggio fondamentale in caso di attacco, è scoprire da quale crypto-ransomware siete stati colpiti, in questo senso il servizio ID Ransomware offerto da MalwareHunterTeam può essere estramamente utile. Effettuando l’upload di un file campione infettato, consente di identificare il ransomware tra i 103 attualmente presenti a catalogo. ID Ransomware non decifra i vostri file, ma vi permette di conoscerne la natura esatta.

Read more Toolkit anti-ransomware - Come combattere Cryptolocker & C

banner5

fb icon evo twitter icon evo

Archivio numeri

  • GURU advisor: numero 21 - maggio 2019

    GURU advisor: numero 21 - maggio 2019

  • GURU advisor: numero 20 - dicembre 2018

    GURU advisor: numero 20 - dicembre 2018

  • GURU advisor: numero 19 - luglio 2018

    GURU advisor: numero 19 - luglio 2018

  • GURU advisor: numero 18 - aprile 2018

    GURU advisor: numero 18 - aprile 2018

  • GURU advisor: numero 17 - gennaio 2018

    GURU advisor: numero 17 - gennaio 2018

  • GURU advisor: numero 16 - ottobre 2017

    GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1