Yoroi Blog

Proto: N020621. Con la presente, CERT-Yoroi desidera informarLa relativamente una grave falla che affligge SonicWall NSM (Network Security Manager), strumento centralizzato di orchestrazione degli apparati di rete ampiamente adottato in ambienti entreprise. La criticità è nota con l’identificativo CVE-2021-20026.  In particolare, a causa di una incorretta validazione delle richieste HTTP sulle interfacce 80/http e 443/https, un attaccante di rete autenticato con privilegi utente limitati può bypassare le autorizzazioni di sicurezza ed eseguire […]

Proto: N010621. Con la presente, CERT-Yoroi desidera informarLa relativamente a una grave falla che affligge Polkit (PolicyKit), una delle fondamentali dipendenze delle recenti versioni dei sistemi operativi Linux. La criticità è nota con l’identificativo CVE-2021-3560.  In particolare, PolKit è un toolkit adottato dai sistemi operativi basati su Linux per definire e gestire le autorizzazioni e viene utilizzato per consentire ai processi non privilegiati di comunicare con […]

Proto: N050521. Con la presente, CERT-Yoroi desidera informarLa relativamente a una grave falla che affligge i PLC (Controllori a Logica Programmabile) Siemens, dispositivi di controllo e automazione ampiamente utilizzati in ambienti industriali. La falla è nota con l’identificativo CVE-2020-15782.  In particolare, la falla è dovuta a delle lacune in alcuni controlli sulla protezione della memoria nella traduzione del codice sorgente […]

Proto: N040521. Con la presente, CERT-Yoroi desidera informarLa riguardo il rilascio di dettagli tecnici e codici di attacco per Nagios, noto sistema di monitoraggio delle infrastrutture IT adottato in ambienti Enterprise e SMB. Le vulnerabilità sono note con i seguenti identificativi: CVE-2020-28648, CVE-2020-28900, CVE-2020-28901, CVE-2020-28902, CVE-2020-28903, CVE-2020-28904, CVE-2020-28905, CVE-2020-28906, CVE-2020-28907, CVE-2020-28908, CVE-2020-28909, CVE-2020-28910, CVE-2020-28911.  In particolare, le falle sono causate da delle lacune nella gestione degli input sulle interfacce web sia delle istanze client sia server di Nagios. Questo permette ad un attaccante di rete di eseguire codice arbitrario da remoto sulla […]

Proto: N030521. Con la presente, CERT-Yoroi desidera informarLa relativamente a una grave falla che affligge XStream, nota libreria Java EE adottata da vari framework Enterprise, tra i quali Apache Struts2, ed in soluzioni software quali Atlassian Confluence, Jenkins CI, Apache Muse. La criticità è nota con l’identificativo CVE-2021-29505.  In particolare la vulnerabilità è dovuta a delle lacune nella validazione dei file XML prodotti dalla serializzazione degli oggetti denominati "JavaBean", i […]

Introduction  During the last months, a huge interest from security researchers was directed to Microsoft Exchange Server, one of the most adopted email technologies worldwide. In fact, starting from March 2021, when the ProxyLogon vulnerability has been publicly disclosed, we identified and kept track of many opportunistic attacks hitting this kind of services and we noticed that in some way Exchange services have been targeted by attacks both in APT and cyber-crime […]

Proto: N020521. Con la presente CERT-Yoroi desidera informarla relativamente ad una serie di vulnerabilità che affliggono i servizi di posta Exim, tecnologia di posta elettronica utilizzata da service provider, organizzazioni e aziende. Le criticità sono note con l’alias “21nails” e con gli identificativi CVE-2020-28007, CVE-2020-28008, CVE-2020-28014, CVE-2021-27216, CVE-2020-28011, CVE-2020-28010, CVE-2020-28013, CVE-2020-28016, CVE-2020-28015, CVE-2020-28012, CVE-2020-28009, CVE-2020-28017, CVE-2020-28020, CVE-2020-28023, CVE-2020-28021, CVE-2020-28022, CVE-2020-28026, CVE-2020-28019, CVE-2020-28024, CVE-2020-28018, CVE-2020-28025.  Figura: Potenziale diffuzione di Exim (Source:ShodanHQ)  Tutte queste […]

Proto: N010521. Con la presente CERT-Yoroi desidera informarla relativamente alla recente pubblicazione di codici di attacco per falle su Microsoft Exchange Server, tra le soluzioni di posta più adottate in ambito Enterprise. La vulnerabilità è nota con l’identificativo CVE-2021-28482 ed è stata referenziata nel bollettino Early Warning N020421.  In particolare, la vulnerabilità è dovuta a lacune nella gestione di particolari richieste utente di tipo XML sulle interfacce http/s del server di posta che […]

Proto: N070421. Con la presente CERT-Yoroi desidera informarla relativamente a una serie di vulnerabilità che riguardano i dispositivi IoT e ICS, dispositivi adottati  nei più dispiegati ambienti, partendo  videosorveglianza fino ad arrivare a dispositivi real-time utilizzabili in ambiente industriale. Le falle sono referenziate con l’alias “BadAlloc” e sono identificate con le seguenti CVE:  CVE-2021-30636, CVE-2021-27431, CVE-2021-27433, CVE-2021-27435, CVE-2021-27427, CVE-2021-22684, CVE-2021-27439, CVE-2021-27425, CVE-2021-26461, CVE-2020-35198, CVE-2021-31571, CVE-2021-31572, CVE-2021-27417, CVE-2021-3420, CVE-2021-27411, CVE-2021-26706, CVE-2021-27421, CVE-2021-22680, […]

Proto: N060421. Con la presente CERT-Yoroi desidera informarla relativamente alla recente scoperata di attacchi 0day rivolti a tecnologie SonicWall Email Security, appliance di sicurezza on-premise per la posta elettronica diffusi in ambienti SMB ed Enterprise. Le falle sono note con gli identificativi CVE-2021-20021, CVE-2021-20022, CVE-2021-20023.  A causa di lacune nella gestione delle richieste rivolte alle interfacce HTTP/HTTPS degli appliance, un attaccante remoto privo di autenticazione può sfruttare le tre falle […]

Proto: N040421. Con la presente CERT-Yoroi desidera informarla riguardo a una vulnerabilità scoperta su IBM WebSphere Application Server, web application server utilizzato principalmente in ambito corporate. La vulnerabilità è nota con identificativo CVE-2021-20453.  La vulnerabilità è dovuta ad alcune lacune nel processamento dei file XML da parte del Web Application Server in questione. Un attaccante remoto non autenticato può sfruttare questa vulnerabilità per esfiltrare dati sensibili, consumare risorse e eseguire codice arbitrario da remoto.  […]

Proto: N050421. Con la presente CERT-Yoroi desidera informarla relativamente alla scoperta di attacchi 0-day rivolti agli appliance di sicurezza Pulse Connect Secure, gateway di accesso VPN utilizzati in ambito Enterprise. La falla è nota con l’identificativo CVE-2021-22893.  A causa di lacune nella gestione delle richieste http dirette alle interfaccie web https dei servizi Pulse Connect Secure (PCS), un attaccante remoto privo di autenticazione risulta in grado di eseguire comandi […]