Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Cerca
Fortinet 970x120px
Enterprise BusinessLog 320x200 1

Autore: Luca Stivali

Fortinet CVE-2025-24472: Gli Hacker Criminali Cercano Informazioni Per Il Suo Sfruttamento

Luca Stivali 13/02/2025

Sul noto forum underground un utente dallo pseudonimo Anon141234 riporta la CVE-2025-24472, che affligge i prodotti Fortinet. Oltre a chiedere informazioni è interessato ad un Proof Of Concept. Questa vulnerabilità di tipo Authentication Bypass, sfruttabile su FortiOS e FortiProxy non aggiornati, consente ad un attaccante di guadagnare privilegi di super-admin tramite richieste al modulo websocket Node.js. La CVE è riconosciuta da Fortinet sul proprio sito Product Security Incident Response Team (PSIRT) dove potete trovare gli IOC (indicatori di compromissione), i metodi di mitigazione e la tabella delle versioni di FortiOS e FortiProxy vulnerabili. La CVE è recentissima e pare essere un’evoluzione della

CISCO, violata? No! L’azienda rimanda alla violazione del 2022…

Luca Stivali 11/02/2025

Nella tarda sera di lunedì 10 febbraio, durante una “ricognizione” sulle ultime “notizie” dal DarkWeb, un post sul noto forum BreachForums attira la mia attenzione. Il titolo: da prima pagina! “Cisco Data Breach – Ransomware Group Allegedly Breached Internal Network & Leaked AD”. Il post, a “cura” dell’utente dallo pseudonimo lulagain (ndr tutto sommato anche con una discreta reputazione all’interno di BreachForum), riporta uno screenshot dove i presunti thread actors trollano Cisco con frasi del tipo: “Ci hai mentito e hai preso tempo per buttarci fuori.” e ancora “Ci vedremo presto, di nuovo. La prossima volta non avrai alcuna possibilità.”. Lulagain continua

$800 per compromettere un contractor nucleare UK? Gli IaB alzano la posta in gioco!

Luca Stivali 11/02/2025

Nelle ultime ore un’escalation di post nella sezione “Access Market” del famoso forum nel DarkWeb. In vendita accessi ad una azienda di software italiana “Italian B2B Enterprise Software Solutions”, ad una delle più antiche università europee “One of Europe’s most oldest Universities”, a diverse municipalità degli stati uniti e molto altro. L’hacker, che opera sotto lo pseudonimo di MYAKO, nelle ultime ore sta postando decine di accessi a enti governativi americani, ad aziende, a istituti pubblici e privati. I prezzi (tutti non negoziabili) variano da qualche centinaio di dollari a diverse migliaia. Le tipologie di accessi in vendita sono le più varie.

SonicWall CVE-2024-53704: Authentication Bypass anche con MFA attiva!

Luca Stivali 31/01/2025

I ricercatori di sicurezza di Computer Security hanno rilevato una vulnerabilità del sistema operativo SonicOS utilizzato nei firewall SonicWall. La vulnerabilità di tipo Authentication Bypass colpisce il portale SSLVPN che normalmente è esposto su internet per permettere le connessioni remote alle reti aziendali e governative. Durante il processo di exploit viene bypassata anche la MFA (Multi Factor Authentication) rendendo di fatto inutili tutte le misure di sicurezza per proteggere l’accesso non autorizzato alle reti aziendali e governative. La CVE-2024-53704 con score 8.2 è confermata da SonicWall e i firewall della Generation 7 sono vulnerabili se non aggiornati. Nel bollettino di sicurezza SonicWall

Vulnerabilità Critica su FortiOS e FortiProxy: Rilasciate PoC di sfruttamento

Luca Stivali 30/01/2025

I ricercatori di sicurezza di watchTowr Labs hanno rilasciato all’interno del loro canale telegram un Proof Of Concept per lo sfruttamento della vulnerabilità CVE-2024-55591 classificata “Critical” con uno score di 9.6. Questa vulnerabilità di tipo Authentication Bypass, sfruttabile su FortiOS e FortiProxy non aggiornati, consente ad un attaccante di guadagnare privilegi di super-admin tramite richieste al modulo websocket Node.js. La CVE è riconosciuta da Fortinet sul proprio sito Product Security Incident Response Team (PSIRT) dove potete trovare gli IOC (indicatori di compromissione), i metodi di mitigazione e la tabella delle versioni di FortiOS e FortiProxy vulnerabili. I ricercatori di watchTowr hanno condotto

Ivanti Connect Secure: l’Exploit Per l’RCE è Online! 12.335 istanze sono a rischio

Luca Stivali 14/01/2025

Qualche giorno fa abbiamo parlato di due CVE (CVE-2025-0282 classe 9 Critical e CVE-2025-0283 classe 7 High) per Remote Code Execution e Privilege Excalation sulle piattaforme Ivanti Connect Secure, Policy Secure e Neuros for ZTA. A distanza di pochissime ore dalla scoperta della vulnerabilità appare su GitHub un repository con un exploit per la CVE-2025-0282 che permette l’upload di software malevolo (per esempio una web shell) e l’esecuzione di comandi con privilegi elevati sul sistema target. Il repository GitHub contiene uno script python per l’exploit e uno script PHP per ottenere la shell. Ad oggi, secondo censys.com, risultano 12.335 istanze Ivanti Connect

Secondo giorno di attacchi DDoS da parte di NoName057 ai danni di istituzioni e banche

Luca Stivali 13/12/2024

Autori: Luca Stivali e Francesco Demarcus del gruppo DarkLab Le nostre fonti di Threat Inteligence purtroppo sono confermate. Alle ore 7:10 di oggi, nei canali underground da noi monitorati, è apparso un messaggio che annunciava un’altra ondata di attacchi DDoS ai danni di target italiani. Il gruppo di attivisti filorussi NoName057 sta conducendo, per il secondo giorno consecutivo, attacchi di Distributed Denial Of Of Service (DDoS) contro istituzioni pubbliche e private italiane. Dopo gli attacchi di ieri che hanno colpito i siti dei principali porti italiani (Trieste e Taranto), il  sito della Guardia di Finanza e molti altri; oggi nel mirino risultano

Brain Chiper Rivendica un attacco Informatico a Deloitte. 1 Tera Byte di dati

Luca Stivali 05/12/2024

Alle 14:35 di ieri è stato rilevato sul Data Leak Site di BrainChiper la rivendicazione di un attacco informatico al colosso della consulenza Deloitte. E’ attivo un countdown che segna il tempo per la pubblicazione dei dati, che secondo i criminali informatici avverrà tra 10 Giorni e 20 ore. Attualmente, non possiamo confermare l’autenticità della notizia, poiché l’organizzazione non ha ancora pubblicato un comunicato ufficiale sul proprio sito web in merito all’incidente. Le informazioni riportate provengono da fonti pubbliche accessibili su siti underground, pertanto vanno interpretate come una fonte di intelligence e non come una conferma definitiva. Il post nel sito Underground

L’Exploit per l’RCE sui Firewall Palo Alto è Online! Amministrazione Inclusiva… per Tutti!

Luca Stivali 04/12/2024

Da qualche ora su Breach Forum un threat actor dal nome “newplzqibeme”, ha condiviso un repository GitHub dove è pubblicato un exploit scritto in python per lo sfruttamento attivo della CVE-2024-0012 su PanOS (il sistema operativo dei firewall Palo Alto). L’exploit garantisce all’attaccante, accesso completo amministrativo al firewall con un meccanismo di Authentication Bypass, ottenendo l’accesso come amministratore. Nel post di “newplzqibeme” sono riportati a titolo di esempio due IP pubblici, che sono molto probabilmente dei firewall esposti e vulnerabili. I firewall con PanOS 10.2, 11.0, 11.1 e 11.2 sono affetti da questa CVE se non aggiornati alle rispettive versioni (>= 10.2.12-h2,

Categorie