Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

I Red TIM Research rileva una User Enumeration su mcuboICT

Redazione RHC : 11 Aprile 2023 08:32

Durante un’analisi di sicurezza effettuata su alcuni prodotti della casa produttrice Harpa Italia, il laboratorio Red Team Research di TIM (RTR), ha rilevato un tipo di vulnerabilità chiamata User Enumeration sulle versioni di mcuboICT 10.12.4 (aka 6.0.2).

Comunicato tempestivamente il problema all’azienda, attraverso il processo di Coordinated Vulnerability Disclosure (CVD), l’organizzazione ha prontamente emesso le fix di sicurezza.

Cos’è una User Enumeration?

Le vulnerabilità di tipo User Enumeration sono fra le vulnerabilità più comuni che possono essere riscontrate durante la fase di autenticazione in un’applicazione web.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Questa vulnerabilità consente ad un attaccante di scoprire tutti i nomi utente registrati all’interno del sistema, fornendo così importanti informazioni per l’esecuzione di attacchi mirati.

In molti casi, lo sfruttamento di tale vulnerabilità può consentire ad un attaccante di scoprire quale username è associato all’amministratore del sistema.

Su che tipo di prodotto è stato trovato?

La vulnerabilità, classificata dal MITRE con criticità “Alta”, è stata trovata sul prodotto McuboICT nella versione 10.12.4 6.0.2 sviluppato da Harpa Italia s.r.l..

Quest’ultima è un’azienda italiana specializzata nella fornitura di soluzioni ICT enterprise avanzate per la sicurezza informatica e la gestione dei dati. Il prodotto di riferimento è un sistema di gestione e monitoraggio dei dati, progettato per aiutare le aziende a gestire in modo efficiente le proprie risorse informatiche e proteggere i propri dati sensibili. Tra le principali funzionalità offerte dal prodotto si possono includere:

  • Raccolta e analisi dei dati: il sistema McuboICT è in grado di raccogliere e analizzare una vasta gamma di dati, tra cui log di sistema e informazioni di rete. Questo consente alle aziende di avere una visione completa delle attività svolte all’interno della propria rete e di conseguenza, consente di individuare eventuali anomalie o attività sospette.
  • Generazione di report: il sistema McuboICT consente alle aziende di ottenere una panoramica completa delle attività svolte all’interno dei propri sistemi. I report possono includere informazioni sulla sicurezza, sulle prestazioni di rete, sulle attività degli utenti e altro ancora.

Che tipo di impatto ha questa vulnerabilità?

Gli impatti di una vulnerabilità di questo tipo possono essere molteplici. Lo sfruttamento di questa carenza permette ad un attaccante di determinare sia l’esistenza dell’account di amministrazione e sia l’esistenza di molti account utente validi sul sistema.

Queste informazioni risultano essere essenziali per l’esecuzione di altri attacchi mirati, come ad esempio la possibilità di eseguire attacchi di tipo forza-bruta (Brute-Force) per tentare di indovinare la password degli account rilevati. Questo potrebbe consentire all’attaccante di accedere a informazioni sensibili ed eseguire azioni non autorizzate all’interno del sistema.

Un altro impatto potenziale è l’esposizione dell’identità degli utenti del sistema se l’attaccante può determinare quali nomi utente sono associati a determinati ruoli o privilegi. Questo può fornire informazioni preziose per la pianificazione di ulteriori attacchi mirati contro l’organizzazione come, ad esempio, gli attacchi di phishing. In questo caso, l’attaccante potrebbe inviare mail di phishing mirate all’amministratore di sistema, utilizzando il nome utente ottenuto per convincere l’utente vittima a fornire le proprie credenziali di accesso.

Quanto riportato sul catalogo CVE relativamente a questa vulnerabilità

CVE-2023-26071 – Harpa Italia mcuboICT

  • Software Version: 10.12.4 (aka 6.0.2)
  • NIST: https://nvd.nist.gov/vuln/detail/CVE-2023-26071
  • CVSSv3: 7,5
  • Severity: High
  • Credits: Marco Ventura, Massimiliano Brolli
  • An issue was discovered in MCUBO ICT through 10.12.4 (aka 6.0.2). An Observable Response Discrepancy can occur under the login web page. In particular, the web application provides different responses to incoming requests in a way that reveals internal state information to an unauthorized actor. That allow an unauthorized actor to perform User Enumeration attacks.

Il Red Team Research di TIM

Si tratta di uno tra i pochi centri italiani di ricerca sui bug di sicurezza, dove da diverso tempo vengono effettuate attività che mirano alla ricerca di vulnerabilità non documentate. Le attività condotte dal team, portano ad una successiva emissione di CVE sul National Vulnerability Database degli Stati Uniti D’America, terminato il percorso di Coordinated Vulnerability Disclosure (CVD) con il vendor del prodotto.

Nel corso di 3 anni di attività, abbiamo visto il laboratorio, rilevare moltissimi bug 0-day su prodotti best-in-class e big vendor di valenza internazionale, come ad esempio Oracle, IBM, Fortinet, F5, Ericsson, Red Hat, Nokia, Computer Associates, Siemens, F5, Fortinet, QNAP, Johnson & Control, Schneider Electric, oltre ad altri fornitori su tipologie differenti di architetture software/hardware.

Nel corso del tempo, sono stati emessi oltre 100 CVE, dove circa 8 risultano con severità Critical (9,8 di score CVSSv3).

Relativamente ad una vulnerabilità rilevata dal gruppo di ricerca sul prodotto Metasys Reporting Engine (MRE) Web Services, del fornitore Johnson & Control, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti D’America, ha emesso un avviso di sicurezza riportando come Background i settori quali: “CRITICAL INFRASTRUCTURE SECTORS, COUNTRIES/AREAS DEPLOYED e COMPANY HEADQUARTERS LOCATION”.

Si tratta di una realtà tutta italiana che emette una CVE con costanza, contribuendo in maniera fattiva alla ricerca delle vulnerabilità non documentate a livello internazionale. RTR si sta distinguendo a livello paese sull’elevata caratura delle attività svolte, oltre a contribuire all’innalzamento dei livelli di sicurezza dei prodotti utilizzati da organizzazioni e singole persone.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Quando il ransomware bussa alla porta. Il dilemma se pagare o non pagare il riscatto

Cosa fare quando i sistemi informatici di un’azienda vengono paralizzati da un attacco ransomware, i dati risultano crittografati e compare una richiesta di riscatto? Questa scena non appartien...

Intelligenza Artificiale: Come stiamo diventando più stupidi, in modo meraviglioso!

Sullo sfondo della diffusa popolarità degli assistenti AI generativi che promettono di creare codice funzionante per tutti basato su una semplice descrizione in linguaggio naturale, il team ...

Arriva KaliGPT! Ora l’hacking etico è diventato veramente alla portata di tutti?

Da tempo circolano modelli di intelligenza artificiale pensati per accelerare le attività di hacking, sia nel mondo underground che in contesti più legittimi e visibili. Kali GPT, un modello...

GhostSec: Azienda Italiana Commissiona Attacco Informatico Al Governo Macedone

GhostSec, noto collettivo di hacktivisti, ha recentemente rivelato dettagli su un’operazione controversa che coinvolge un’azienda italiana e obiettivi governativi macedoni. In un’...

Un Database AT&T da 3GB viene Venduto nel Dark Web: 73 Milioni di Record a Rischio

Negli ultimi giorni, su due noti forum underground specializzati nella compravendita di dati trafugati e metodi fraudolenti, sono comparsi dei post separati (ma identici nel contenuto), riguardanti un...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006