Yoroi Blog

Introduction The news of the hack of one of the major strategic Italian companies circulated in the first half of December 2020 shocked a huge part of the national security community: Leonardo SpA (formerly Finmeccanica) runs critical services and projects directly related to the Italian defense industry and military corps.  On 5th December 2020, the […]

Proto: N040121. Con la presente Yoroi desidera informarla riguardo una grave vulnerabilità 0-day scoperta su prodotti SonicWall “Virtual Office”, utilizzati per fornire accessi SSL-VPN in molte realtà aziendali. Al momento la vulnerabilità si trova in uno stadio investigativo, infatti non sono ancora presenti identificativi CVE. A causa della presenza di dipendenze software datate all’interno dei […]

Proto: N030121. Con la presente Yoroi desidera informarla relativamente al recente incremento di attacchi ai danni di tecnologie PHP Zend e Laminas, utilizzate per la realizzazione di applicazioni web da parte di organizzazioni ed imprese.  In particolare, la botnet malware denominata “FreakOut” (TH-264) sta utilizzando la vulnerabilità CVE-2021-3007 di Zend Framework e Laminas Project per […]

Proto: N020121. Con la presente Yoroi desidera informarla relativamente ad una nuova falla all'interno dei servizi Microsoft Exchange Server, estremamente diffusi per la realizzazione di servizi di posta elettronica in ambito Enterprise. La criticità è nota come bypass della falla CVE-2020-17132.  La problematica è causata da lacune nelle routine di processamento delle nei moduli “DlpUtils” […]

Introduction 2020 was a really intense year in terms of APT activities, in fact it brought us new evidence of sophisticated campaigns targeting Enterprises organization across Europe and also Italy. In particular the threat group we track as TH-239, also mentioned as UNC1945 by FireEye security researchers, has been one of the sneakiest.  We discussed […]

Proto: N010121. Con la presente Yoroi intende informarla riguardo la recente scoperta della presenza di una backdoor all’interno di dispositivi Zyxel, utilizzati in ambito SMB per VPN, firewall e access point wireless. Ricercatori di sicurezza hanno infatti individuato la presenza di un account con privilegi amministrativi configurato staticamente all’interno dei dispositivi Zyxel con username “zyfwp”. […]

Proto: N051220. Con la presente Yoroi intende informarla riguardo alla recente scoperta di importanti vulnerabilità all’interno di vari stack di rete open source usati in numerosi sistemi operativi e firmware utilizzati per la realizzazione di sistemi embedded, IoT, di building automation (BA), RTOS, sistemi di controllo industriali (ICS) ed in paradigmi di Edge Computing. Le […]

Proto: N041220. Con la presente Yoroi intende informarla riguardo un nuovo trend di attacco verso firmware UEFI/BIOS. Questa tecnica di attacco fa uso di appositi strumenti e codici finalizzati a leggere, scrivere o cancellare il firmware UEFI/BIOS di un dispositivo.  Questa tipologia di attacco era in passato limitata a scenari di attacco avanzati filo governativi, […]

Proto: N031220. Con la presente Yoroi intende informarla riguardo il recente rilascio di strumenti tecnici relativi ad una grave vulnerabilità su IBM Maximo Asset Management, software utilizzato in ambito Enterprise per la gestione del parco asset aziendale. La vulnerabilità è nota con identificativo CVE-2020-4463. A causa di una improprio processamento dei dati in formato XML […]

Proto: N021220. Con la presente Yoroi intende informarla riguardo alla recente pubblicazione di dettagli tecnici relativi ad una grave vulnerabilità su dispositivi Apple  iOS, frequentemente utilizzati nel parco dispositivi mobili nelle realtà Enterprise. La vulnerabilità è nota con gli identificativi CVE-2020-3843 e CVE-2020-9906. La vulnerabilità risiede nelle routine di gestione delle trame di rete AWDL […]

Proto: N011220. Con la presente Yoroi intende informarla riguardo una vulnerabilità scoperta nello stack EtherNet/IP (ENIP) 499ES, implementazione EtherNet/IP di RT-Automation utilizzata in vari sistemi di controllo industriali. La vulnerabilità è nota con l’identificativo CVE-2020-25159. A causa di lacune nella gestione della memoria di sistema durante il processamento dei pacchetti di rete, lo stack EtherNet […]

Introduction The modern cyber threat landscape hides nasty surprises for companies, especially for the most structured and complex companies. Many times, threat actors develop very dangerous and effective techniques using tools and technologies in a smart, unattended way.  This is the case of a particular cyber criminal group operating cyber intrusion against one of the […]