JoltandBleed: Oracle Tuxedo ha una serie di falle critiche


I bug consentirebbero attacchi in remoto senza che sia necessaria alcuna forma di autenticazione. L’azienda: “aggiornate il prima possibile”.

Il problema si annida nel server Jolt (incluso in Oracle Tuxedo) ed è stato individuato dalla società di sicurezza ERPScan che ha battezzato le vulnerabilità con il nome di JoltandBleed.

Nel loro report, i ricercatori spiegano che il pacchetto di vulnerabilità è composto da 5 differenti bug (CVE-2017-10269; CVE-2017-10272; CVE-2017-10267; CVE-2017-10278; CVE-2017-10266) e che due di queste sono state classificate come “critiche”.

Le falle di sicurezza interessano prodotti come Oracle PeopleSoft Campus Solutions; Human Capital Management; Financial Management e Supply Chain Management.

La falla più grave (CVE-2017-10269) consentirebbe di compromettere PeopleSoft attraverso la rete senza che sia necessario utilizzare credenziali di autenticazione.

Nella classifica in base alla gravità è seguita dal bug identificato come CVE-2017-10272, che consentirebbe invece a un pirata informatico di accedere ai dati conservati nella memoria del server.

Oracle JoltandBleed

Anche se tecnicamente la falla di sicurezza interessa Oracle Tuxedo, le maggiori preoccupazioni riguardano la possibilità che il bug venga utilizzato per compromettere PeopleSoft.

Oracle ha rilasciato gli aggiornamenti che correggono le falle e ha diffuso un alert in cui sollecita tutti i suoi utenti a eseguire gli aggiornamenti il prima possibile.

Una raccomandazione che può suonare scontata ma che in ambito enterprise, dove ogni aggiornamento deve esser necessariamente preceduto da una serie di test e verifiche per garantire il funzionamento dei servizi, ha un significato ben preciso: “create una corsia preferenziale per l’aggiornamento”.



Articoli correlati

Altro in questa categoria


Falla critica in Office. Il malware si avvia in automatico!


Una vulnerabilità devastante che non richiede alcuna interazione da parte dell’utente. Appena si apre il documento, il malware colpisce.

La falla è di quelle che possono avere conseguenze devastanti e sfrutta un clamoroso bug (CVE-2017-11882) all’interno di Microsoft Office che permette di avviare l’esecuzione di codice all’apertura di un documento.

Come spiegano i ricercatori di Embedi, che hanno individuato il bug la scorsa estate segnalandolo a Microsoft, il problema riguarda un componente di Office chiamato Microsoft Equation Editor, che consente di inserire equazioni matematiche all’interno dei documenti sotto forma di oggetti OLE.

A occuparsene è un eseguibile, che Microsoft per la verità ha aggiornato in Office 2007. All’interno del programma, però, è ancora presente EQNEDT32.EXE, un eseguibile con la stessa funzione sviluppato nel 2000. Il motivo? Garantire la compatibilità con i documenti creati con vecchie versioni di Office.

Falla Office

Un file eseguibile realizzato nel 2000 si nasconde nel nostro modernissimo sistema operativo. Cosa potrà mai andare storto?

Purtroppo il vecchio eseguibile sfrutta delle librerie obsolete e non utilizza nessuna delle funzioni di sicurezza introdotte da Microsoft nel suo sistema operativo. Risultato: un pirata informatico può usarlo per confezionare un documento Office che avvia l’esecuzione di codice senza alcuna interazione con l’utente.

Falla Office

L’analisi del processo attraverso ProcessMitigation mostra chiaramente che EQNEDT32.EXE non adotta nessuno degli accorgimenti previsti per ridurre il rischio di abusi.

Niente avvisi, richieste di conferme o attivazione dei comandi Macro. L’eventuale malware verrebbe avviato automaticamente al momento stesso dell’apertura del documento.

Nel video pubblicato da Embedi si vede come il bug consenta di avviare un eseguibile (in questo caso la calcolatrice di Windows) automaticamente. La falla è stata corretta da Microsoft nell’ultima tornata di aggiornamenti per Office rilasciata nella giornata di ieri.

Stando a quanto si legge nel report pubblicato da Embedi, però, la presenza di EQNEDT32.EXE rappresenta in ogni caso un rischio per la sicurezza del sistema e non è escluso che emergano altre vulnerabilità o tecniche per sfruttarne la fragilità.

Il consiglio dei ricercatori è quello di disabilitarlo attraverso il registro di sistema. Per farlo è sufficiente eseguire il seguente comando all’interno del Prompt:

reg add “HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400

Nel caso si utilizzi una versione di Office 32 bit su un sistema a 64 bit, il comando è invece questo:

reg add “HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400

I ricercatori consigliano inoltre di utilizzare sempre la Visualizzazione protetta per i file che provengono da Internet o da email.

Falla Office

Le impostazioni predefinite di Office usano la Visualizzazione protetta per tutti i file provenienti da Internet e ricevuti come allegati email.

In questo modo i file vengono aperti in una sandbox che limita il rischio di azioni dannose da parte dei file. La corretta configurazione delle impostazioni può essere verificata attraverso il Centro protezione accessibile attraverso le Opzioni di Office.



Articoli correlati

Altro in questa categoria


Proteggersi dal furto di password: cominciamo dall’email


Una ricerca di Google accende i riflettori sulle tecniche usate per sottrarre le credenziali dei servizi online. Gli account email sono quelli più bersagliati.

Sul mercato nero sono in vendita miliardi di credenziali rubate agli utenti e almeno il 15% degli utenti hanno sperimentato nel corso della loro vita un problema legato al furto delle credenziali per un qualche servizio Internet.

A dirlo è una ricerca pubblicata da Google, che ha analizzato il fenomeno del furto delle credenziali online alla ricerca di spunti e per migliorare il livello di protezione dei suoi servizi. Il quadro che emerge, però, consente di comprendere piuttosto bene le dinamiche legate alle tecniche utilizzate dai pirati informatici per mettere le mani sui dati di accesso ai servizi online.

email furto password

La ricerca di Google evidenzia, tra le altre cose, quali siano i servizi più bersagliati dagli attacchi di phishing. I servizi di posta elettronica sono in testa alla lista.

Dalla ricerca di Google nel Deep Web emerge che i cyber-criminali possono accedere a una quantità smisurata di informazioni che provengono da fonti diverse. I ricercatori hanno individuato 788.000 credenziali rubate utilizzando keylogger, 12 milioni provenienti dal phishing e la bellezza di 3,3 miliardi sottratte attraverso la violazione di sistemi di servizi online.

Account Gmail al centro del mirino

Nella ricerca si capisce immediatamente che la preoccupazione dei ricercatori è rivolta soprattutto agli account Google. Prima di archiviarla come una prospettiva “di parte”, però, serve fare qualche considerazione.

Il fatto che il servizio di posta elettronica dell’azienda di Mountain View sia il più usato al mondo, per esempio, ha una prima conseguenza immediata: la maggior parte degli account di qualsiasi servizio su Internet fanno riferimento a un indirizzo Gmail.

Dalla ricerca emerge che tra i 3,3 miliardi di account provenienti dai vari leak provocati dalla violazione di sistemi di altre società, ben il 12% fa riferimento a un account Gmail. Di questi, il 7% usa la stessa password utilizzata per la posta elettronica.

email furto password

Compromettere un account Gmail consente ai pirati di accedere anche a tutti i servizi a cui l’utente si è registrato con quell’indirizzo di posta elettronica.

Il dato ha una certa importanza. Visto che la maggior parte dei servizi prevede che il reset della password avvenga attraverso l’email usata per la registrazione, significa infatti che chi ha accesso all’account Gmail di un utente, ha accesso anche a tutti i servizi che ha registrato con quell’email.

Non è un caso che i pirati informatici dedichino significativi sforzi per violare proprio gli account di Google. Stando ai dati pubblicati nella ricerca, una percentuale tra il 12 e il 25% degli attacchi mirati tramite keylogger e phishing ne confronti di questi account ha successo.

Quanto servono i controlli?

E qui si apre un altro discorso. Tutto si può dire di Google, infatti, tranne che non presti attenzione al tema della sicurezza. Quante volte vi è capitato di ricevere un avviso (magari mentre vi trovavate all’estero) in cui si chiedeva conferma del fatto che l’accesso a un servizio Google fosse stato fatto proprio da voi?

Questo perché l’azienda di Mountain View utilizza una serie di parametri di identificazione degli utenti (per esempio la posizione) che consente di far scattare un allarme quando c’è qualche attività sospetta.

Il problema è che i pirati conoscono benissimo queste tecniche e cercano di aggirarle rubando le informazioni che possono servire per aggirare i controlli.

Dall’indagine, per esempio, emerge che l’82% degli strumenti di phishing e il 74% dei keylogger cercano anche di registrare l’indirizzo IP dell’utente e la sua posizione. Dati che permetterebbero ai pirati di eseguire l’accesso senza far scattare campanelli di allarme “scomodi”.

email furto password

I sistemi di autenticazione a due fattori rappresentano uno degli argini più efficaci al furto di credenziali.

Un discorso diverso vale per i sistemi di autenticazione a due fattori (per esempio i PIN inviati ai dispositivi mobili) che sono decisamente più difficili da eludere e che rappresentano ancora uno degli strumenti di protezione più efficaci a nostra disposizione.



Articoli correlati

Altro in questa categoria


Torna Anonymous Italia. “Abbiamo i dati del governo”


Gli hacktivist si fanno risentire e annunciano di avere “bucato” ministeri e forze di polizia. Tra i dati pubblicati i documenti di un agente della Polizia di Stato.

Si pensava che dopo l’ondata di arresti che aveva portato in manette alcuni dei membri di Anonymous Italia gli hacker avessero interrotto le loro attività. Non è così.

A dimostrarlo un post pubblicato sabato scorso che annuncia una violazione attraverso cui gli hacktivist avrebbero messo le mani su “dati personali relativi al Ministero dell’Interno, al Ministero della Difesa, alla Marina Militare nonché di Palazzo Chigi e Parlamento Europeo”.

Nello stesso post sono presenti due link che dovrebbero fornire un “assaggio” di quanto è finito nelle mani degli hacker. Uno è una lista di indirizzi email tra i quali ce ne sono alcuni di centrali di polizia e altri con dominio “governo.it” e “palazzochigi.it”. Nel secondo ci sono una serie di documenti tra i quali ci sono anche scansioni di carte d’identità e passaporti.

Gli Anon non specificano quale tipo di azione abbia portato al leak di documenti e dati, ma a guardare ciò che è stato pubblicato finora il tutto potrebbe anche provenire dalla casella email privata di un agente della Polizia di Stato.

Il comunicato che accompagna il link è piuttosto roboante e contiene una citazione da “La Repubblica” di Platone: “Ecco, secondo me, come nascono le dittature. Esse hanno due madri.  Una è l’oligarchia quando degenera, per le sue lotte interne, in satrapia. L’ALTRA È LA DEMOCRAZIA QUANDO, PER SETE DI LIBERTA’ E PER L’INETTITUDINE DEI SUOI CAPI, PRECIPITA NELLA CORRUZIONE E NELLA PARALISI. Allora la gente si separa da coloro cui fa la colpa di averla condotta a tale disastro e si prepara a rinnegarla prima coi sarcasmi, poi con la violenza che della dittatura è pronuba e levatrice. Così la democrazia muore: per abuso di sé stessa. E prima che nel sangue, nel ridicolo”.

I documenti pubblicati (almeno finora) non contengono nulla di sconvolgente. Quello che è certo, però, è che i funzionari italiani devono fare di corsa qualcosa per migliorare il loro livello di percezione in tema di sicurezza informatica, che al momento è davvero penosa.

Anonymous Italia

Questo è il tipo di comunicazione che NON DOVREBBE essere inviata a indirizzi di posta elettronica privati.

Basti pensare che una delle email pubblicate sul sito, che riguarda un sopralluogo previsto per oggi a Bologna in vista della visita del Presidente del Consiglio Gentiloni e contiene luoghi e orari dei sopralluoghi oltre che i nomi dei funzionari che li faranno, è stata spedita a caselle di email private (nello specifico di Alice e Gmail) degli agenti interessati.

Insomma, a dispetto delle roboanti dichiarazioni riguardo la messa in atto di piani nazionali di cyber-security, in Italia il livello di alfabetizzazione nella pubblica amministrazione (e in particolar modo a livello dell’esecutivo) rimane scarsissimo.



Articoli correlati

Altro in questa categoria


Non sapete che cos’è un miner? Meglio scoprirlo prima di essere truffati.


Su Internet circola un’app che sfrutta gli smartphone (e l’energia elettrica) degli utenti per generare cripto-valuta. E il bello è che lo dice pure…

Il primo caso a fare scalpore è stato quello di The Pirate Bay, il celebre sito dedicato ai file Torrent che è stato pescato a sfruttare la CUP dei visitatori per “minare” cripto-valuta utilizzando uno speciale tipo di JavaScript che reclutano i computer dei visitatori come “miner” facendogli consumare energia elettrica a tradimento.

Nel corso delle settimane seguenti, però, i JavaScript come CoinHive (il più diffuso JavaScript di questo tipo) hanno cominciato a diffondersi sul Web in maniera preoccupante.

Nonostante molti antivirus e ad-blocker siano ormai in grado di fermare i JavaScript che agiscono in questo modo, i cyber-criminali che li usano in maniera scorretta (come abbiamo spiegato in questo articolo esiste anche un utilizzo “corretto”) stanno utilizzando tecniche sempre nuove e diverse per ingannare le loro vittime, per esempio utilizzando iFrame che puntano ad altri siti e nascondono il collegamento al JavaScript.

Il caso più eclatante, però, è quello descritto in un report pubblicato da Gabriel Cirlig di Ixia, che tratta del caso di alcune app per Android. Qui la tecnica è decisamente più sofisticata e sfrutta le zone grigie legate alla liceità del comportamento delle app.

miner Android

Una scansione su VirusTotal dà come risultato un rilevamento positivo solo da 10 antivirus su 62. Il motivo? Tecnicamente non è un virus…

Il protagonista della vicenda denunciata da Ixia è uno sviluppatore che ha pensato bene di creare una sorta di “ecosistema” che gli permette di incassare una bella quantità di soldi alle spalle degli ignari utenti.

Lo schema è il seguente: lo sviluppatore offre numerosi videogiochi gratuiti per smartphone, che utilizzano al loro interno un sistema di valuta virtuale per acquistare potenziamenti e nuovi oggetti nei giochi.

A prima vista non si tratta di nulla di nuovo. È un sistema adottato da numerosi sviluppatori, che di solito consentono poi di acquistare la valuta virtuale con pagamenti (in euro veri) attraverso acquisti in-app.

In questo caso, però, le cose funzionano in maniera un po’ diversa. Lo sviluppatore ha infatti messo a punto un’app specifica chiamata Reward Digger che i giocatori si trovano installata sullo smartphone e il cui compito è quello di generare la moneta virtuale che possono usare nei videogame collegati.

miner Android

L’app viene fornita in bundle con giochi e rompicapi che al loro interno non hanno nulla di strano e il collegamento avviene attraverso un sistema di controllo interno.

In teoria, quindi, i giocatori possono ottenere la moneta virtuale senza spendere un euro. Ma è davvero così? La risposta è no. L’app in questione, infatti, è in realtà un miner che usa la potenza di calcolo dello smartphone per generare Magicoin, una cripto-valuta simile a Bitcoin.

Il prezzo, quindi, non viene pagato tramite un versamento diretto ma indirettamente, attraverso il consumo di energia elettrica. E il bello è che è tutto scritto nero su bianco.

La descrizione dell’app, infatti, ne spiega (più o meno) il funzionamento. Il problema è che lo fa con termini che però può capire soltanto chi conosce le critpo-valute e il loro funzionamento.

Rassicura anche l’utente riguardo al fatto che non comporta un consumo di batteria (l’app si attiva o dovrebbe attivarsi solo quando il dispositivo è sotto carica) e che non procura un surriscaldamento dello smarpthone.

L’unica parte della descrizione che potrebbe (ma il condizionale è d’obbligo) mettere in guardia il classico “utente medio” è quella in cui si spiega che “software antivirus potrebbero visualizzare un messaggio di avviso riguardo un bitcoinminer”.

miner Android

Non si può dire che lo sviluppatore stia mentendo, ma per capire davvero che cosa faccia l’app bisogna avere conoscenze che molti degli utenti tipo non hanno.

Quello che non dice è che, in pratica, per tutto il tempo in cui lo smartphone è collegato alla rete elettrica utilizza la sua potenza di calcolo per generare denaro che finisce nelle tasche dello sviluppatore.

Se consideriamo che una delle sue app più popolari ha tra le 5 e i 10 milioni di installazioni, possiamo farci un’idea di quanto possa guadagnare con questo metodo. Più difficile capire quanto possa costare l’attività di mining in termini di consumi di energia elettrica per chi ha installato l’app.

Dopo le segnalazioni, Reward Digger è stata rimossa da Google Play. La domanda a questo punto è: su quanti altri store sarà ancora disponibile? E soprattutto: quali altri trucchetti verranno messi in campo da questo o altri sviluppatori per piazzare miner più o meno nascosti nelle app?



Articoli correlati

Altro in questa categoria


Un esperto della Homeland Security: “abbiamo hackerato un Boeing 757”


L’esperimento risale al settembre 2016 e tutti i dettagli sono top secret. L’attacco è stato portato in remoto, senza che i piloti si accorgessero di nulla.

È uno degli incubi legati alla sicurezza informatica che si concretizza: la possibilità di violare i sistemi di un aeroplano senza che sia necessario avere accesso fisico ai sistemi.

Come riporta Avionics, a portare a termine l’attacco è stato un team che fa capo al Dipartimento della Homeland Security (DHS) che ha reso pubblica la notizia nel corso del CyberSat Summit 2017 che si è tenuto la scorsa settimana a Tysons Corner, Virginia.

Stando a ciò che si è potuto sapere, la violazione del Boeing 757 ha richiesto due giorni di lavoro ed è avvenuta “attraverso le comunicazioni su frequenze radio”. Insomma: i sistemi dell’aeroplano sono stati violati in remoto, senza la necessità di accedere fisicamente ai sistemi.

hackerato Boeing 757

Il velivolo vittima dell’attacco è un Boeing 757, un modello quindi piuttosto vecchio, che è fuori produzione dal 2004. Molti esemplari però sono ancora utilizzati, per esempio dal Presidente degli Stati Uniti Donald Trump e dal suo vice Mike Pence.

A condurre il test è stato Robert Hickey, della Cyber Security Division all’interno del DHS Science and Technology (S&T) Directorate. Le sue parole non lasciano dubbi: “nessuno ha toccata l’aeroplano e non avevamo un infiltrato. Abbiamo usato classici strumenti che vengono usati per le violazioni di sistemi del genere e siamo stati in grado di stabilire una presenza sul velivolo”.

In passato si è già parlato di attacchi hacker ai danni dei sistemi informatici installati sugli aeroplani di linea in occasione delle clamorose rivelazioni da parte di Chris Roberts, un hacker che è stato arrestato dall’FBI dopo aver ammesso (denunciato sarebbe più corretto) di essere riuscito a infiltrarsi nei sistemi attraverso il Wi-Fi utilizzato dai sistemi di entertainment presenti sui velivoli.

La notizia di una violazione a distanza attraverso le comunicazioni radio apre decisamente inquietanti e, soprattutto, la necessità di rivedere i sistemi di sicurezza a bordo. Anche se è improbabile che i velivoli più recenti soffrano delle stesse vulnerabilità.



Articoli correlati

Altro in questa categoria