Durante delle analisi di sicurezza effettuate su alcuni prodotti di vari vendor, il Red Team Research di TIM (RTR), ha rilevato 7 nuove vulnerabilità 0day. Il Red Team Research è il laboratorio di ricerca dei bug di sicurezza non documentati sviluppato all’interno di Telecom Italia Mobile.
RTR opera attraverso il processo di Coordinated Vulnerability Disclosure (CVD), quel processo che consente ai vendor di prodotto di implementare le patch di sicurezza prima della diffusione pubblica e quindi prima della quotazione della severity della CVE effettuata dal NIST degli Stati Uniti D’America.
Si tratta di 7 vulnerabilità emesse su tre differenti prodotti, tra i quali OpenText Vertica, Livebox e Italtel. Di seguito l’elenco completo delle CVE Emesse sui vari Vendor:
Credits: Gabriele Duchi, Davide Brian Di Campi, Tiziano Di Vincenzo, Massimiliano Brolli
Certain functionality in OpenText Vertica Management console might be prone to bypass via crafted requests. The vulnerability would affect one of Vertica’s authentication functionalities by allowing specially crafted requests and sequences.
OpenText Vertica Management Console è uno strumento di gestione e monitoraggio per il database analitico Vertica. Fornisce un’interfaccia utente grafica che consente agli amministratori di database di eseguire attività come configurazione, monitoraggio delle prestazioni, gestione degli utenti e manutenzione del sistema. La console è stata progettata per semplificare la gestione e ottimizzare le operazioni relative al database.
CVE-2022-45171– Livebox Collaboration vDesk
Vulnerability Description: Unrestricted Upload of File with Dangerous Type – CWE-434
Credits: Massimiliano Ferraresi, Andrea Carlo Maria Dattola, Luca Borzacchiello, Mario Cola, Massimiliano Brolli
An issue was discovered in LIVEBOX Collaboration vDesk through v018. An Unrestricted Upload of a File with a Dangerous Type can occur under the vShare web site section. A remote user, authenticated to the product, can arbitrarily upload potentially dangerous files without restrictions.
Livebox Collaboration vDesk è una piattaforma di collaborazione aziendale che offre strumenti per comunicazione, condivisione di file e gestione dei progetti. Consente ai team di lavorare insieme in tempo reale, attraverso chat, videoconferenze e condivisione di documenti. La piattaforma è progettata per facilitare il lavoro remoto e la collaborazione tra membri del team, indipendentemente dalla loro posizione geografica.
Advertising
Di seguito vengono elencati I bug hunter che hanno riscontrato le varie vulnerabilità:
Massimiliano Ferraresi
Andrea Carlo Maria Dattola
Luca Borzacchiello
Mario Cola
Luca Carbone
Fabio Romano
Gabriele Duchi
Davide Brian Di Campi
Tiziano Di Vincenzo
Il Red Team Research di TIM
Il Red TIM Research (o Red Team Research), è uno tra i pochi centri italiani di ricerca sui bug di sicurezza, nato da una idea di Massimiliano Brolli nel 2018. In questo laboratorio da diverso tempo vengono effettuate attività di “Bug hunting” che mirano alla ricerca di vulnerabilità non documentate. Le attività condotte dal team, portano ad una successiva emissione di CVE sul National Vulnerability Database degli Stati Uniti D’America, terminato il percorso di Coordinated Vulnerability Disclosure (CVD) con il vendor del prodotto.
Nel corso di 6 anni di attività, il Red Team Research ha rielevato moltissimi bug 0-day su prodotti best-in-class e big vendor di valenza internazionale, come ad esempio Oracle, IBM, Fortinet, F5, Ericsson, Red Hat, Nokia, Computer Associates, Siemens, F5, Fortinet, QNAP, Johnson & Control, Schneider Electric, oltre ad altri fornitori su tipologie differenti di architetture software/hardware.
Nel corso del tempo, sono stati emessi oltre 110 CVE, dove più di 10 risultano con severità Critical (9,8 di score CVSSv3).
Relativamente ad una vulnerabilità rilevata dal gruppo di ricerca sul prodotto Metasys Reporting Engine (MRE) Web Services, del fornitore Johnson & Control, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti D’America, ha emesso un avviso di sicurezza riportando come Background i settori quali: “CRITICAL INFRASTRUCTURE SECTORS, COUNTRIES/AREAS DEPLOYED e COMPANY HEADQUARTERS LOCATION”.
Si tratta di una realtà tutta italiana che emette una CVE con costanza, contribuendo in maniera fattiva alla ricerca delle vulnerabilità non documentate a livello internazionale. RTR si sta distinguendo a livello paese sull’elevata caratura delle attività svolte, oltre a contribuire all’innalzamento dei livelli di sicurezza dei prodotti utilizzati da organizzazioni e singole persone.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.
Aree di competenza:Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.