Yoroi Blog

Proto: N020921. Con la presente CERT-Yoroi desidera informarla riguardo alla recente pubblicazione di credenziali aziendali all'interno del circuito criminale Groove (TH-306). Groove è un gruppo cyber criminale specializzato in attacchi ransomware  a doppia estorsione (double extortion) comparso nello scenario underground ad Agosto 2021.  Recentemente, il gruppo ha rilasciato una serie di dati relativi a credenziali aziendali potenzialmente utilizzabili per l'autenticazione a servizi SSL VPN esposti ad internet. Potenzialmente, le credenziali […]

Proto: N010921. Con la presente CERT-Yoroi desidera informarla riguardo alla recente pubblicazione di dettagli tecnici su gravi vulnerabilità all'interno delle tecnologie Microsoft Exchange Server, servizi di posta on premise ampiamente utilizzati in ambito Enterprise e SMB. La falla è nota con l'alias "PROXYTOKEN" e con l'identificativo CVE-2021-33766.  La problematica è causata in lacune nella gestione delle autenticazioni utente tra le interfacce di servizio frontend e backend  di Exchange Server, […]

Introduction  When threat actors evolve, their tools do so. Observing the evolution of the threats we track during our cyber defense operations is part of what we do to secure our customers. Back in 2019, the Yoroi’s Malware ZLAB unit discovered a complete new malware implant named “JsOutProx” (TH-264), a complex JavaScript-based RAT used to attack financial institutions in the APAC area.   In the last two years, the evolution of this implant was clear. After our initial discovery, many security research teams started monitoring this elusive […]

Proto: N030821. Con la presente CERT-Yoroi desidera informarla riguardo a gravi vulnerabilità sugli apparati BIG-IP, diffusi in ambito enterprise per la realizzazione di architetture di rete sicure. Le falle sono note con identificativi CVE-2021-23031, CVE-2021-23025.  A causa di lacune nella validazione degli input utente all'interno delle interfacce di gestione TMUI e Configuration utility, un attaccante di rete con accesso autentico ai pannelli dei dispositivi Advanced WAF e ASM può eseguire comandi arbitrari sul sistema, violandone le […]

Proto: N020821. Con la presente CERT-Yoroi desidera informarla riguardo alla scoperta di gravi falle sui firmware Realtek utilizzati per nella realizzazione di dispositivi IoT come router domestici, ripetitori WiFi, webcam ed illuminazione smart. Le falle sono note con gli identificativi CVE-2021-35392, CVE-2021-35393, CVE-2021-35394, CVE-2021-35395.  Le problematiche sono causate da lacune nella gestione della memoria durante il processamento di particolari messaggi di rete UPnP (Universal Plug and Play) e SSDP (Simple Service Discovery Protocol), attraverso […]

Proto: N010821. Con la presente CERT-Yoroi desidera informarla relativamente a una serie di vulnerabilità che riguardano la tecnologia NicheStack di HCC Embedded, stack tcp/ip per dispositivi IoT e ICS adottati in molteplici ambienti, dalla videosorveglianza fino ai dispositivi real-time utilizzabili in ambiente industriale ed adottata da numerosi Vendor come STMicroelectronics, Freescale (NXP), Altera (Intel), Microchip, Siemens, Emerson, Honeywell, Mitsubishi Electric, Rockwell Automation e Schneider Electric.  Le falle sono referenziate con l’alias “INFRA:HALT” e sono identificate con le seguenti CVE:  2020-25928, 2021-31226, 2020-25767, 2020-25927, 2021-31227, 2021-31400, 2021-31401, 2020-35683, 2020-35684, 2020-35685, […]

Proto: N030721. Con la presente, CERT-Yoroi desidera informarla relativamente a una grave vulnerabilità che affligge SolarWinds Serv-U, componente del noto strumento di orchestrazione degli apparati di rete ampiamente utilizzato in ambienti Entreprise. La criticità è nota con l’identificativo CVE-2021-35211.  In particolare, la vulnerabilità è causata da delle lacune nella gestione della memoria all’interno dei moduli “Serv-U Managed File Transfer” e “Serv-U Secure FTP”, le quali permettono […]

Proto: N020721. Con la presente, CERT-Yoroi desidera informarla relativamenta al grave attacco ransmware ai danni di Kaseya, azienda produttrice del noto software VSA  per la gestione delle infrastrutture IT aziendali.  L’attacco è avvenuto 2 Luglio ed affiliati del gruppo REvil (TH-200) hanno forzato un aggiornamento malevolo nel ciclo di rilascio degli appliance VSA. L’aggiornamento malevolo rilasciato è volto ad infettare gli appliance VSA e lanciare codice di attacco ransomware attraverso […]

Proto: N010721. Con la presente, CERT-Yoroi desidera informarla relativamente ad una grave vulnerabilità che affligge i sistemi operativi Microsoft Windows. La falla è nota con gli identificativi CVE-2021-1675 e CVE-2021-34527, ed è referenziata con l’alias “PrintNightmare”.  A causa di lacune nella gestione di autenticazioni e richieste utente all’interno dei servizi Windows Spooler Service, servizi di stampa di sistema, un attaccante di rete in possesso di credenziali […]

Introduction  Tracking threat actors in the long run is a fundamental part of the cyber threat intelligence program we run at Yoroi, few years ago we began monitoring a particular actor who started offensive operations even in the Italian landscape: Aggah (TH-157), who launched malicious campaign such as the  Roma225 and the RG ones against the Italian manufacturing vertical. At that time, even UNIT42 was closely monitoring that actor, unveiling a large scale operation threatening also United States, Europe and Asia.  The recent operation we tracked was designed […]

Proto: N020621. Con la presente, CERT-Yoroi desidera informarLa relativamente una grave falla che affligge SonicWall NSM (Network Security Manager), strumento centralizzato di orchestrazione degli apparati di rete ampiamente adottato in ambienti entreprise. La criticità è nota con l’identificativo CVE-2021-20026.  In particolare, a causa di una incorretta validazione delle richieste HTTP sulle interfacce 80/http e 443/https, un attaccante di rete autenticato con privilegi utente limitati può bypassare le autorizzazioni di sicurezza ed eseguire […]

Proto: N010621. Con la presente, CERT-Yoroi desidera informarLa relativamente a una grave falla che affligge Polkit (PolicyKit), una delle fondamentali dipendenze delle recenti versioni dei sistemi operativi Linux. La criticità è nota con l’identificativo CVE-2021-3560.  In particolare, PolKit è un toolkit adottato dai sistemi operativi basati su Linux per definire e gestire le autorizzazioni e viene utilizzato per consentire ai processi non privilegiati di comunicare con […]