Redazione RHC : 21 Aprile 2023 07:54
Durante un’analisi di sicurezza effettuata su alcuni prodotti di LiveBox, il laboratorio di ricerca 0-day di TIM, il Red Team Research (RTR), ha rilevato diverse vulnerabilità sul software di Collaboration vDesk.
Comunicato tempestivamente da RTR all’azienda attraverso il processo di Coordinated Vulnerability Disclosure (CVD), LiveBox ha prontamente emesso le fix di sicurezza sull’applicazione.
Di seguito l’elenco completo delle CVE Emesse su LiveBox:
Codice CVE | CVSSv3 | Tipologia |
CVE-2022-45172 | 9.8 | Multiple Improper Access Control- CWE-284 |
CVE-2022-45173 | 9.8 | Improper Authentication (Bypass Two-Factor Authentication – Lack of Server-Side Validation) – CWE-287 |
CVE-2022-45174 | 9.8 | Improper Authentication (Bypass Two-Factor Authentication for SAML Users – Bad Backup Code Check)- CWE-287 |
CVE-2022-45178 | 8.8 | Improper Access Control- CWE-284 |
CVE-2022-45175 | 6.5 | Insecure Direct Object Reference (Cached Files) – CWE-639 |
CVE-2022-45180 | 6.5 | Improper Access Control- CWE-284 |
CVE-2022-45170 | 6.5 | Cryptographic Issue (File Encryption API) – CWE-310 |
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
È importante che le aziende (come in questo caso Live Box) collaborino con la community hacker che scoprono vulnerabilità di sicurezza in modo etico e trasparente sui loro prodotti perché questo consente loro di identificare e correggere le vulnerabilità prima che possano essere sfruttate da malintenzionati, migliorare la sicurezza dei loro prodotti e aumentare la fiducia dei clienti nei confronti dell’azienda.
Inoltre, la collaborazione con gli hacker può portare a innovazioni e miglioramenti nella sicurezza e nella privacy dei prodotti stessi.
Il software vDesk, è la soluzione dedicata al Digital Workplace e ad una collaboration sicura, concepita per far fronte ad ogni esigenza aziendale di lavoro agile, garantendo massima efficienza, sicurezza e facilità di utilizzo.
Il software di LiveBox comprende ben nove moduli:
Da quanto si legge sul sito dell’azienda all’indirizzo www.gruppotim.it/redteam, ancora la severity non è stata pubblicata, anche se sul National Vulnerability Database (NVD), la quotazione del National Institute of Technology (NIST) è stata emessa come dai link riportati di seguito.
Nel dettaglio, le vulnerabilità rilevate sono le seguenti:
Vulnerability Description: Multiple Improper Access Control- CWE-284
Vulnerability Description: Improper Authentication (Bypass Two-Factor Authentication – Lack of Server-Side Validation) – CWE-287
Vulnerability Description: Improper Authentication (Bypass Two-Factor Authentication for SAML Users – Bad Backup Code Check)- CWE-287
Vulnerability Description: Improper Access Control- CWE-284
Vulnerability Description: Cryptographic Issue (File Encryption API) – CWE-310
Vulnerability Description: Insecure Direct Object Reference (Cached Files) – CWE-639
Vulnerability Description: Improper Access Control (Export of Users)- CWE-284
Si tratta di uno tra i pochi centri italiani di ricerca sui bug di sicurezza, dove da diverso tempo vengono effettuate attività che mirano all’identificazione di vulnerabilità non documentate. Le attività condotte dal team, portano ad una successiva emissione di CVE sul National Vulnerability Database degli Stati Uniti D’America, terminato il percorso di Coordinated Vulnerability Disclosure (CVD) con il vendor del prodotto.
Nel corso di 3 anni di attività, abbiamo visto il laboratorio, rilevare moltissimi bug 0-day su prodotti best-in-class e big vendor di valenza internazionale, come ad esempio Oracle, IBM, Fortinet, F5, Ericsson, Red Hat, Nokia, Computer Associates, Siemens, F5, Fortinet, QNAP, Johnson & Control, Schneider Electric, oltre ad altri fornitori su tipologie differenti di architetture software/hardware.
Nel corso del tempo, sono stati emessi oltre 110 CVE, dove oltre 10 risultano con severità Critical (9,8 di score CVSSv3).
Relativamente ad una vulnerabilità rilevata dal gruppo di ricerca sul prodotto Metasys Reporting Engine (MRE) Web Services, del fornitore Johnson & Control, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti D’America, ha emesso un avviso di sicurezza riportando come Background i settori quali: “CRITICAL INFRASTRUCTURE SECTORS, COUNTRIES/AREAS DEPLOYED e COMPANY HEADQUARTERS LOCATION”.
Si tratta di una realtà tutta italiana che emette una CVE con costanza, contribuendo in maniera fattiva alla ricerca delle vulnerabilità non documentate a livello internazionale. RTR si sta distinguendo a livello paese sull’elevata caratura delle attività svolte, oltre a contribuire all’innalzamento dei livelli di sicurezza dei prodotti utilizzati da organizzazioni e singole persone.
Telegram ha introdotto un bot ufficiale progettato per verificare l’età degli utenti scansionando i loro volti. Come sottolineato da Code Durov, la funzione è disponibile nel Regno Un...
le piante infestanti, se non vengono estirpate dalle radici rinasceranno, molto più vigorose di prima. Questo è il cybercrime e questa è la nuova rinascita, la quinta in assoluto dalle ...
Microsoft ha avviato un’indagine interna per chiarire se una fuga di informazioni riservate dal programma Microsoft Active Protections Program (MAPP) abbia permesso a hacker cinesi sponsorizzat...
Il 13 giugno 2025 Israele bombarda un centinaio di obiettivi militari e gli impianti nucleari iraniani di Natanz, Fordow e Isfahan in un raid calcolato nei minimi dettagli. L’operazione “...
Sasha Levin, sviluppatore di kernel Linux di lunga data, che lavora presso NVIDIA e in precedenza presso Google e Microsoft, ha proposto di aggiungere alla documentazione del kernel regole formali per...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006