Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il ricercatore sulla sicurezza informatica Michael Heinzl ha scoperto diverse vulnerabilità critiche nei prodotti industriali dell’azienda russa Elcomplus, specializzata in comunicazioni radio professionali e automazione industriale.
Il ricercatore ha riscontrato un totale di nove vulnerabilità nel prodotto SCADA Elcomplus SmartPTT, che combina le capacità dei sistemi SCADA/IIoT con il software di invio per sistemi radio professionali.
| ID | Title | CVE | Date |
|---|---|---|---|
| AWE-2022-048 | Elcomplus SmartPTT SCADA Server Path Traversal Vulnerability | CVE-2021-43930 | 2022-04-19 |
| AWE-2022-047 | Elcomplus SmartPTT SCADA Server Arbitrary File Upload Vulnerability | CVE-2021-43934 | 2022-04-19 |
| AWE-2022-046 | Elcomplus SmartPTT SCADA Server Sensitive Information Disclosure Vulnerability | CVE-2021-43938 | 2022-04-19 |
| AWE-2022-045 | Elcomplus SmartPTT SCADA Server Cross-site Request Forgery Vulnerability | CVE-2021-43937 | 2022-04-19 |
| AWE-2022-044 | Elcomplus SmartPTT SCADA Server Stored Cross-site Scripting Vulnerability | CVE-2021-43932 | 2022-04-19 |
| AWE-2022-043 | Elcomplus SmartPTT SCADA Authorization Bypass Vulnerability | CVE-2021-43939 | 2022-04-19 |
| AWE-2022-042 | Elcomplus SmartPTT SCADA Path Traversal Vulnerability | CVE-2021-43930 | 2022-04-19 |
| AWE-2022-041 | Elcomplus SmartPTT SCADA Arbitrary File Upload Vulnerability | CVE-2021-43934 | 2022-04-19 |
| AWE-2022-040 | Elcomplus SmartPTT SCADA Stored Cross-site Scripting Vulnerability | CVE-2021-43932 | 2022-04-19 |
Presumibilmente, anche i prodotti SmartICS di Elcomplus, specializzati in piattaforme di visualizzazione SCADA e IoT industriali, sono soggetti ad alcune vulnerabilità perché condividono un codice molto simile.
I prodotti vulnerabili sono utilizzati da oltre 2.000 organizzazioni in 90 paesi, inclusi gli Stati Uniti. Di conseguenza, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha pubblicato due bollettini riguardanti queste vulnerabilità.
L’elenco delle vulnerabilità include il path traveral e il cross-site scripting (XSS), il file-upload, il bypass dell’autorizzazione, la falsificazione delle richieste tra siti (CSRF) e la divulgazione di informazioni.
Lo sfruttamento delle vulnerabilità può consentire a un utente malintenzionato di scaricare file, leggere o scrivere file arbitrari sul sistema, ottenere credenziali archiviate in chiaro, eseguire varie azioni per conto dell’utente, eseguire codice arbitrario ed elevare i privilegi per accedere alle funzioni dell’amministratore.
In alcuni casi, lo sfruttamento richiede l’autenticazione o l’interazione dell’utente (ad esempio, seguendo un collegamento o accedendo a determinate pagine).
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.
Perché la miglior difesa, in fondo, è una bella storia. 👉 Scopri tutto su https://betti.redhotcyber.com/