Yoroi Blog

Proto: N030721. Con la presente, CERT-Yoroi desidera informarla relativamente a una grave vulnerabilità che affligge SolarWinds Serv-U, componente del noto strumento di orchestrazione degli apparati di rete ampiamente utilizzato in ambienti Entreprise. La criticità è nota con l’identificativo CVE-2021-35211.  In particolare, la vulnerabilità è causata da delle lacune nella gestione della memoria all’interno dei moduli “Serv-U Managed File Transfer” e “Serv-U Secure FTP”, le quali permettono […]

Proto: N020721. Con la presente, CERT-Yoroi desidera informarla relativamenta al grave attacco ransmware ai danni di Kaseya, azienda produttrice del noto software VSA  per la gestione delle infrastrutture IT aziendali.  L’attacco è avvenuto 2 Luglio ed affiliati del gruppo REvil (TH-200) hanno forzato un aggiornamento malevolo nel ciclo di rilascio degli appliance VSA. L’aggiornamento malevolo rilasciato è volto ad infettare gli appliance VSA e lanciare codice di attacco ransomware attraverso […]

Proto: N010721. Con la presente, CERT-Yoroi desidera informarla relativamente ad una grave vulnerabilità che affligge i sistemi operativi Microsoft Windows. La falla è nota con gli identificativi CVE-2021-1675 e CVE-2021-34527, ed è referenziata con l’alias “PrintNightmare”.  A causa di lacune nella gestione di autenticazioni e richieste utente all’interno dei servizi Windows Spooler Service, servizi di stampa di sistema, un attaccante di rete in possesso di credenziali […]

Introduction  Tracking threat actors in the long run is a fundamental part of the cyber threat intelligence program we run at Yoroi, few years ago we began monitoring a particular actor who started offensive operations even in the Italian landscape: Aggah (TH-157), who launched malicious campaign such as the  Roma225 and the RG ones against the Italian manufacturing vertical. At that time, even UNIT42 was closely monitoring that actor, unveiling a large scale operation threatening also United States, Europe and Asia.  The recent operation we tracked was designed […]

Proto: N020621. Con la presente, CERT-Yoroi desidera informarLa relativamente una grave falla che affligge SonicWall NSM (Network Security Manager), strumento centralizzato di orchestrazione degli apparati di rete ampiamente adottato in ambienti entreprise. La criticità è nota con l’identificativo CVE-2021-20026.  In particolare, a causa di una incorretta validazione delle richieste HTTP sulle interfacce 80/http e 443/https, un attaccante di rete autenticato con privilegi utente limitati può bypassare le autorizzazioni di sicurezza ed eseguire […]

Proto: N010621. Con la presente, CERT-Yoroi desidera informarLa relativamente a una grave falla che affligge Polkit (PolicyKit), una delle fondamentali dipendenze delle recenti versioni dei sistemi operativi Linux. La criticità è nota con l’identificativo CVE-2021-3560.  In particolare, PolKit è un toolkit adottato dai sistemi operativi basati su Linux per definire e gestire le autorizzazioni e viene utilizzato per consentire ai processi non privilegiati di comunicare con […]

Proto: N050521. Con la presente, CERT-Yoroi desidera informarLa relativamente a una grave falla che affligge i PLC (Controllori a Logica Programmabile) Siemens, dispositivi di controllo e automazione ampiamente utilizzati in ambienti industriali. La falla è nota con l’identificativo CVE-2020-15782.  In particolare, la falla è dovuta a delle lacune in alcuni controlli sulla protezione della memoria nella traduzione del codice sorgente […]

Proto: N040521. Con la presente, CERT-Yoroi desidera informarLa riguardo il rilascio di dettagli tecnici e codici di attacco per Nagios, noto sistema di monitoraggio delle infrastrutture IT adottato in ambienti Enterprise e SMB. Le vulnerabilità sono note con i seguenti identificativi: CVE-2020-28648, CVE-2020-28900, CVE-2020-28901, CVE-2020-28902, CVE-2020-28903, CVE-2020-28904, CVE-2020-28905, CVE-2020-28906, CVE-2020-28907, CVE-2020-28908, CVE-2020-28909, CVE-2020-28910, CVE-2020-28911.  In particolare, le falle sono causate da delle lacune nella gestione degli input sulle interfacce web sia delle istanze client sia server di Nagios. Questo permette ad un attaccante di rete di eseguire codice arbitrario da remoto sulla […]

Proto: N030521. Con la presente, CERT-Yoroi desidera informarLa relativamente a una grave falla che affligge XStream, nota libreria Java EE adottata da vari framework Enterprise, tra i quali Apache Struts2, ed in soluzioni software quali Atlassian Confluence, Jenkins CI, Apache Muse. La criticità è nota con l’identificativo CVE-2021-29505.  In particolare la vulnerabilità è dovuta a delle lacune nella validazione dei file XML prodotti dalla serializzazione degli oggetti denominati "JavaBean", i […]

Introduction  During the last months, a huge interest from security researchers was directed to Microsoft Exchange Server, one of the most adopted email technologies worldwide. In fact, starting from March 2021, when the ProxyLogon vulnerability has been publicly disclosed, we identified and kept track of many opportunistic attacks hitting this kind of services and we noticed that in some way Exchange services have been targeted by attacks both in APT and cyber-crime […]

Proto: N020521. Con la presente CERT-Yoroi desidera informarla relativamente ad una serie di vulnerabilità che affliggono i servizi di posta Exim, tecnologia di posta elettronica utilizzata da service provider, organizzazioni e aziende. Le criticità sono note con l’alias “21nails” e con gli identificativi CVE-2020-28007, CVE-2020-28008, CVE-2020-28014, CVE-2021-27216, CVE-2020-28011, CVE-2020-28010, CVE-2020-28013, CVE-2020-28016, CVE-2020-28015, CVE-2020-28012, CVE-2020-28009, CVE-2020-28017, CVE-2020-28020, CVE-2020-28023, CVE-2020-28021, CVE-2020-28022, CVE-2020-28026, CVE-2020-28019, CVE-2020-28024, CVE-2020-28018, CVE-2020-28025.  Figura: Potenziale diffuzione di Exim (Source:ShodanHQ)  Tutte queste […]

Proto: N010521. Con la presente CERT-Yoroi desidera informarla relativamente alla recente pubblicazione di codici di attacco per falle su Microsoft Exchange Server, tra le soluzioni di posta più adottate in ambito Enterprise. La vulnerabilità è nota con l’identificativo CVE-2021-28482 ed è stata referenziata nel bollettino Early Warning N020421.  In particolare, la vulnerabilità è dovuta a lacune nella gestione di particolari richieste utente di tipo XML sulle interfacce http/s del server di posta che […]