Redazione RHC : 21 Luglio 2025 08:24
Giovedì 16 luglio è stata una giornata significativa per i ricercatori di sicurezza informatica del team italiano Red Team Research (RTR) di TIM, che ha visto pubblicate cinque nuove vulnerabilità (CVE) da loro scoperte nel progetto Eclipse GlassFish, una delle quali è stata valutata con un punteggio di 9.8.
Il Red Team Research di TIM è gruppo di ricerca attivo dall 2019, specializzato nell’attività di bug hunting, e ha pubblicato fino ad oggi oltre 170 CVE. Il team opera nel pieno rispetto dei principi della Coordinated Vulnerability Disclosure (CVD): una pratica etica che prevede la segnalazione confidenziale delle vulnerabilità ai produttori, permettendo loro di sviluppare e rilasciare patch correttive prima della pubblicazione ufficiale.
Una volta che la patch è disponibile, con il consenso del vendor, le vulnerabilità vengono pubblicate dal Red Team Research sul National Vulnerability Database (NVD) degli Stati Uniti, o dal vendor stesso se abilitato come CNA (CVE Numbering Authority)
 Cybersecurity Awareness per la tua azienda? Scopri BETTI RHC!Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Red hot cyber ha sviluppato da diversi anni una Graphic Novel, l'unica nel suo genere nel mondo, che consente di formare i dipendenti sulla sicurezza informatica attraverso la lettura di un fumetto. Scopri di più sul corso a fumetti di Red Hot Cyber. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Eclipse GlassFish è un progetto open-source utilizzato sia per lo sviluppo che per il deploy di applicazioni Java EE (oggi Jakarta EE) a livello enterprise. Originariamente sviluppato da Oracle e noto come Oracle GlassFish fino al 2017, quando Oracle ha donato il codice sorgente a Eclipse Foundation. A partire da quel momento, il progetto GlassFish è stato preso in carico da Eclipse Foundantion e ad oggi supportato con la collaborazione di realtà come Payara, Fujitsu e OmniFish.
La migrazione ha rappresentato un’enorme sfida ingegneristica e legale, con il passaggio da Oracle a Eclipse Foundation di oltre 5,5 milioni di righe di codice e oltre 61.000 file. Il codice, storicamente riservato e proprietario, è stato reso pubblico, dando la possibilità di accedervi e conoscere i test svolti. Come si legge in un comunicato stampa dell’epoca, lo sforzo di migrazione è iniziato con EclipseLink e Yasson, che erano già presso la Eclipse Foundation. I primi progetti trasferiti da Oracle GitHub sono stati JSONP, JMS, WebSocket e OpenMQ, lavoro terminato nel gennaio 2018. Il repository GlassFish e i repository CTS/TCK sono stati trasferiti nel settembre 2018.
Di seguito l’elenco delle CVE emesse:
| CVE | CVSSv3 | Tipologia |
| CVE-2024-9342 | 9.8 | CWE-307: Improper Restriction of Excessive Authentication Attempts |
| CVE-2024-10029 | 6.1 | CWE-79: Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) |
| CVE-2024-10032 | 5.4 | CWE-79: Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) |
| CVE-2024-9343 | 6.1 | CWE-79: Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) |
| CVE-2024-10031 | 5.4 | CWE-79: Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) |
Nel dettaglio, la vulnerabilità identificata e classificata con il codice CVE-2024-9342, è stata rilevata sulla versione 7.0.16 (e precedenti)del prodotto Eclipse GlassFish e valutata 9.8 Critical nella scala CVSSv3 (da 1 a 10).
In particolare, è stato possibile eseguire attacchi di Login Brute Force su due specifici URL del prodotto. Questa vulnerabilità si verifica quando il prodotto non implementa misure sufficienti per prevenire più tentativi di autenticazione falliti in un breve lasso di tempo, rendendolo più suscettibile agli attacchi brute force. La gravità di questo tipo di attacchi è che non prevede prerequisiti; pertanto, è particolarmente pericolo se l’istanza GlassFish è esposta su internet.
L’impatto rilevato dalle analisi del Red Team Research è che un attaccante può sfruttare questa vulnerabilità per ottenere accesso con privilegi amministrativi alla Administration Console o Management REST Interface del server.
Si tratta di uno tra i pochi centri italiani di ricerca sui bug di sicurezza, dove da diverso tempo vengono effettuate attività che mirano all’identificazione di vulnerabilità non documentate (0day). Le attività condotte dal team, portano ad una successiva emissione di CVE sul National Vulnerability Database (NVD) degli Stati Uniti D’America, terminato il percorso di Coordinated Vulnerability Disclosure (CVD) con il vendor del prodotto.
Nel corso di 5 anni di attività, abbiamo visto il laboratorio, emettere moltissime CVE su prodotti best-in-class e big vendor di valenza internazionale, come ad esempio Oracle, IBM, Fortinet, F5, Ericsson, Red Hat, Nokia, Computer Associates, Siemens, F5, Fortinet, QNAP, Johnson & Control, Schneider Electric, oltre ad altri fornitori su tipologie differenti di architetture software/hardware.
Nel corso del tempo, il laboratorio ha emesso 170 CVE circa, dove 14 risultano con severità Critical (>= 9.0 di score CVSSv3).
Relativamente ad una vulnerabilità rilevata dal gruppo di ricerca sul prodotto Metasys Reporting Engine (MRE) Web Services, del fornitore Johnson & Control, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti D’America, ha emesso uno specifico bollettino di sicurezza riportandolo all’attenzione dei settori: “CRITICAL INFRASTRUCTURE SECTORS, COUNTRIES/AREAS DEPLOYED e COMPANY HEADQUARTERS LOCATION”.
Si tratta di un gruppo di ricerca tutto italiano che emette CVE con costanza, contribuendo in maniera fattiva alla ricerca delle vulnerabilità non documentate a livello internazionale. Il Red TIM Research si sta distinguendo a livello Italia sull’elevata caratura delle attività svolte, oltre a contribuire all’innalzamento dei livelli di sicurezza dei prodotti utilizzati da organizzazioni internazionali.
RedazioneUn nuovo post sul dark web offre l’accesso completo a migliaia di server e database MySQL appartenenti a provider italiani di hosting condiviso. Nelle ultime ore è apparso su un forum underground u...
Un grave incidente di sicurezza è stato segnalato da F5, principale fornitore di soluzioni per la sicurezza e la distribuzione delle applicazioni. Era stato ottenuto l’accesso a lungo termine ai si...
Un nuovo e insolito metodo di jailbreaking, ovvero l’arte di aggirare i limiti imposti alle intelligenze artificiali, è arrivato in redazione. A idearlo è stato Alin Grigoras, ricercatore di sicur...
Nel suo ultimo aggiornamento, il colosso della tecnologia ha risolto 175 vulnerabilità che interessano i suoi prodotti principali e i sistemi sottostanti, tra cui due vulnerabilità zero-day attivame...
Nonostante Internet Explorer sia ufficialmente fuori supporto dal giugno 2022, Microsoft ha recentemente dovuto affrontare una minaccia che sfrutta la modalità Internet Explorer (IE Mode) in Edge, pr...
