Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Una vulnerabilità critica nel servizio ausiliario PostgreSQL di Splunk Enterprise permette agli attaccanti di creare o modificare file arbitrari senza autenticazione. La falla è già stata sfruttata dagli hacker criminali, i quali hanno messo a rischio l'integrità dei dati e la disponibilità del sistema. Gli amministratori sono invitati ad aggiornare il software o disabilitare temporaneamente il servizio PostgreSQL per mitigare i rischi.
Gli hacker stanno sfruttando una grave vulnerabilità presente nella versione aziendale di Splunk, mettendo a rischio oltre 1400 istanze del software esposte su internet. La falla, identificata con il codice CVE-2026-20253 e valutata 9.8 su una scala CVSS (Critical), colpisce le versioni di Splunk Enterprise da 10.2 a 10.2.4 e la serie 10.0 fino alla versione 10.0.7. Le versioni precedenti, inclusa la 9.4, non sono interessate.
La vulnerabilità riguarda il servizio ausiliario PostgreSQL, che non verifica l’autenticazione degli utenti, permettendo così a chiunque abbia accesso alla rete di creare file arbitrari o modificare quelli esistenti senza credenziali. Questa situazione rappresenta un rischio significativo sia per l’integrità dei dati che per la disponibilità del sistema.
Il team PSIRT di Splunk ha segnalato a giugno 2026 che la vulnerabilità stava già venendo sfruttata limitatamente, portando il CISA (Cybersecurity and Infrastructure Security Agency) degli Stati Uniti ad aggiungerla al catalogo delle vulnerabilità note e attivamente sfruttate. Per le agenzie federali statunitensi, ciò implica l’obbligo di risolvere la falla con priorità assoluta su sistemi accessibili da internet.
Secondo i dati di Shadowserver, più di 1400 istanze di Splunk sono ancora esposte online, con la maggior parte situata in Nord America (952 sistemi) e in Europa (223 sistemi). Tuttavia, non è chiaro quanti di questi siano effettivamente vulnerabili agli attacchi attuali.
Splunk consiglia di aggiornare a versioni 10.4.0, 10.2.4 o 10.0.7 e successive. Se l’aggiornamento immediato non è possibile, gli amministratori possono disabilitare il servizio ausiliario PostgreSQL aggiungendo nel file $SPLUNK_HOME/etc/system/local/server.conf la sezione [postgres] con il parametro disabled = true, poi riavviando Splunk Enterprise.
Questa soluzione temporanea potrebbe interrompere funzionalità come Edge Processor e OpAmp.
Nel frattempo, il gruppo di hacker noto come The Gentlemen ha preso di mira Mackay Sugar, uno dei principali produttori di zucchero in Australia, durante la stagione di produzione. L’attacco ha fermato parte della fabbricazione di zucchero nel paese proprio quando i contadini avevano iniziato il raccolto.
L’incidente ha colpito due delle tre fabbriche di Mackay Sugar: Racecourse e Farleigh, costringendo la compagnia a interrompere le operazioni. La terza fabbrica non è stata interessata poiché non era in funzione al momento dell’attacco. La produzione di zucchero nella regione di Mackay è stata gravemente compromessa, con le operazioni di raccolta ferme su una vasta area.
Mackay Sugar ha confermato di essere a conoscenza del messaggio pubblicato dal gruppo Gentlemen sul loro sito underground e sta indagando sull’entità dei dati potenzialmente compromessi. La compagnia ha promesso di ripristinare la produzione il prima possibile, pur riconoscendo l’impatto negativo sul settore agricolo locale.
Gentlemen ha minacciato di pubblicare i dati rubati se non verrà pagato un riscatto, senza però specificare quali informazioni siano state ottenute o quale sia la somma richiesta.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]