Redazione RHC : 20 Novembre 2021 11:19
Sembra paradossale avere una porta blindata che può essere aperta con un click. Ma di fatto le vulnerabilità di FortiOS vengono utilizzate ancora dal cybercrime, in quanto le azienda (governative e non), non hanno proceduto all’installazione delle patch di sicurezza rilasciate dal fornitore già da diversi mesi.
Sponsorizza la prossima Red Hot Cyber Conference!
Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un paccheto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.
Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Supporta RHC attraverso:
L'acquisto del fumetto sul Cybersecurity Awareness
Ascoltando i nostri Podcast
Seguendo RHC su WhatsApp
Seguendo RHC su Telegram
Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
E questo non è il caso solo di FortiOS, ma anche delle vulnerabilità su Microsoft Exchange.
Infatti, le organizzazioni responsabili delle infrastrutture critiche negli Stati Uniti sono nel mirino degli hacker del governo iraniano, che stanno sfruttando le vulnerabilità pubbliche nei prodotti aziendali quali Microsoft e Fortinet, hanno avvertito mercoledì funzionari governativi di Stati Uniti, Regno Unito e Australia.
Un avviso congiunto pubblicato mercoledì ha affermato che un gruppo di minacce persistenti avanzate supportato dal governo iraniano sta sfruttando le vulnerabilità di Microsoft Exchange e FortiOS di Fortinet.
Tutte le vulnerabilità identificate sono state corrette, ma non tutti coloro che utilizzano i prodotti hanno installato gli aggiornamenti.
L’avviso è stato rilasciato dall’FBI, dalla US Cybersecurity and Infrastructure Security Agency, dal National Cyber Security Center del Regno Unito e dall’Australian Cyber Security Center.
“Gli attori APT sponsorizzati dal governo iraniano stanno attivamente prendendo di mira un’ampia gamma di vittime in più settori delle infrastrutture critiche statunitensi, tra cui il settore dei trasporti e il settore sanitario e della sanità pubblica, nonché le organizzazioni australiane”
ha affermato l’avviso.
“FBI, CISA, ACSC e NCSC valutano che gli attori delle minacce si concentrino sullo sfruttamento di vulnerabilità note piuttosto che su settori specifici. Questi attori APT sponsorizzati dal governo iraniano possono sfruttare questo accesso per operazioni successive, come l’esfiltrazione o la crittografia dei dati, il ransomware e l’estorsione”.
L’advisory afferma che l’FBI e la CISA stanno osservando che il gruppo sfrutta le vulnerabilità di Fortinet almeno da marzo e le vulnerabilità di Microsoft Exchange almeno da ottobre per ottenere l’accesso iniziale ai sistemi.
Gli hacker avviano quindi operazioni successive che includono la distribuzione di ransomware.
A maggio, gli aggressori hanno preso di mira un comune americano non specificato, dove probabilmente hanno creato un account con il nome utente “elie” per muoversi all’interno della rete compromessa.
Un mese dopo, hanno hackerato un ospedale con sede negli Stati Uniti specializzato in assistenza sanitaria per i bambini. L’ultimo attacco probabilmente ha coinvolto i server collegati all’Iran con indirizzi IP 91.214.124[.]143, 162.55.137[.]20 e 154.16.192[.]70.
I black hacker potrebbero aver creato nuovi account utente sui controller di dominio, sui server, e nelle workstation e directory attive delle reti che hanno compromesso. Alcuni account sembrano imitare gli account esistenti, quindi i nomi utente sono simili agli account utilizzati dall’organizzazione.
L’avviso afferma che il personale addetto alla sicurezza della rete dovrebbe cercare account non riconosciuti con particolare attenzione a nomi utente come Support, Help, elie e WADGUtilityAccount.
L’avviso arriva un giorno dopo che Microsoft ha riferito che un gruppo collegato all’Iran chiamato Phosphorous sta usando sempre più il ransomware per generare entrate o disturbare gli avversari. Il gruppo impiega “attacchi di forza bruta” sugli obiettivi, ha aggiunto Microsoft.
All’inizio di quest’anno, ha affermato Microsoft, Phosphorus ha scansionato milioni di indirizzi IP Internet alla ricerca di sistemi FortiOS che dovevano ancora installare le correzioni di sicurezza per CVE-2018-13379. Il difetto ha permesso agli hacker di raccogliere credenziali in chiaro utilizzate per accedere in remoto ai server. Phosphorus ha finito per raccogliere credenziali da oltre 900 server Fortinet negli Stati Uniti, in Europa e in Israele.
RedazioneI criminali informatici hanno lanciato una nuova ondata di attacchi che utilizzano file SVG per distribuire pagine di phishing. Gli esperti di VirusTotal hanno segnalato che gli aggressori si spaccian...
Il mondo dei supercomputer è entrato nell’era dell’exascale computing. La classifica TOP500 di giugno per il 2025 ha registrato tre sistemi americani ai vertici, un debutto clamoroso dall’Europ...
Il team di Darklab, la community di esperti di threat intelligence di Red Hot Cyber, ha individuato un annuncio sul marketplace del dark web “Tor Amazon”, l’analogo criminale del celebre e-comme...
Microsoft ha ufficialmente reso pubblico il codice sorgente della sua prima versione di BASIC per il processore MOS 6502, che per decenni è esistito solo sotto forma di fughe di notizie, copie da mus...
Dopo una lunga pausa estiva, nella giornata di ieri il CERT-AgID ha pubblicato un nuovo avviso su una nuova campagna MintsLoader, la prima dopo quella registrata lo scorso giugno. Rispetto alle preced...
