Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 20 Novembre 2021 11:19
Sembra paradossale avere una porta blindata che può essere aperta con un click. Ma di fatto le vulnerabilità di FortiOS vengono utilizzate ancora dal cybercrime, in quanto le azienda (governative e non), non hanno proceduto all’installazione delle patch di sicurezza rilasciate dal fornitore già da diversi mesi.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
E questo non è il caso solo di FortiOS, ma anche delle vulnerabilità su Microsoft Exchange.
Infatti, le organizzazioni responsabili delle infrastrutture critiche negli Stati Uniti sono nel mirino degli hacker del governo iraniano, che stanno sfruttando le vulnerabilità pubbliche nei prodotti aziendali quali Microsoft e Fortinet, hanno avvertito mercoledì funzionari governativi di Stati Uniti, Regno Unito e Australia.
Un avviso congiunto pubblicato mercoledì ha affermato che un gruppo di minacce persistenti avanzate supportato dal governo iraniano sta sfruttando le vulnerabilità di Microsoft Exchange e FortiOS di Fortinet.
Tutte le vulnerabilità identificate sono state corrette, ma non tutti coloro che utilizzano i prodotti hanno installato gli aggiornamenti.
L’avviso è stato rilasciato dall’FBI, dalla US Cybersecurity and Infrastructure Security Agency, dal National Cyber Security Center del Regno Unito e dall’Australian Cyber Security Center.
“Gli attori APT sponsorizzati dal governo iraniano stanno attivamente prendendo di mira un’ampia gamma di vittime in più settori delle infrastrutture critiche statunitensi, tra cui il settore dei trasporti e il settore sanitario e della sanità pubblica, nonché le organizzazioni australiane”
ha affermato l’avviso.
“FBI, CISA, ACSC e NCSC valutano che gli attori delle minacce si concentrino sullo sfruttamento di vulnerabilità note piuttosto che su settori specifici. Questi attori APT sponsorizzati dal governo iraniano possono sfruttare questo accesso per operazioni successive, come l’esfiltrazione o la crittografia dei dati, il ransomware e l’estorsione”.
L’advisory afferma che l’FBI e la CISA stanno osservando che il gruppo sfrutta le vulnerabilità di Fortinet almeno da marzo e le vulnerabilità di Microsoft Exchange almeno da ottobre per ottenere l’accesso iniziale ai sistemi.
Gli hacker avviano quindi operazioni successive che includono la distribuzione di ransomware.
A maggio, gli aggressori hanno preso di mira un comune americano non specificato, dove probabilmente hanno creato un account con il nome utente “elie” per muoversi all’interno della rete compromessa.
Un mese dopo, hanno hackerato un ospedale con sede negli Stati Uniti specializzato in assistenza sanitaria per i bambini. L’ultimo attacco probabilmente ha coinvolto i server collegati all’Iran con indirizzi IP 91.214.124[.]143, 162.55.137[.]20 e 154.16.192[.]70.
I black hacker potrebbero aver creato nuovi account utente sui controller di dominio, sui server, e nelle workstation e directory attive delle reti che hanno compromesso. Alcuni account sembrano imitare gli account esistenti, quindi i nomi utente sono simili agli account utilizzati dall’organizzazione.
L’avviso afferma che il personale addetto alla sicurezza della rete dovrebbe cercare account non riconosciuti con particolare attenzione a nomi utente come Support, Help, elie e WADGUtilityAccount.
L’avviso arriva un giorno dopo che Microsoft ha riferito che un gruppo collegato all’Iran chiamato Phosphorous sta usando sempre più il ransomware per generare entrate o disturbare gli avversari. Il gruppo impiega “attacchi di forza bruta” sugli obiettivi, ha aggiunto Microsoft.
All’inizio di quest’anno, ha affermato Microsoft, Phosphorus ha scansionato milioni di indirizzi IP Internet alla ricerca di sistemi FortiOS che dovevano ancora installare le correzioni di sicurezza per CVE-2018-13379. Il difetto ha permesso agli hacker di raccogliere credenziali in chiaro utilizzate per accedere in remoto ai server. Phosphorus ha finito per raccogliere credenziali da oltre 900 server Fortinet negli Stati Uniti, in Europa e in Israele.
RedazioneNel vasto arsenale del cybercrimine, una categoria di malware continua ad evolversi con una velocità e una precisione quasi industriale: gli information stealer. Questi strumenti, nati inizialmen...
Sabato 3 maggio, un post pubblicato su un canale Telegram legato al gruppo “Mr Hamza” ha rivendicato un cyberattacco ai danni del Ministero della Difesa italiano. Il messaggio, scritto i...
Microsoft ha confermato che il protocollo RDP (Remote Desktop Protocol) consente l’accesso ai sistemi Windows anche utilizzando password già modificate o revocate. L’azienda ha chia...
Una nuova campagna di phishing sta circolando in queste ore con un obiettivo ben preciso: spaventare le vittime con la minaccia di una multa stradale imminente e gonfiata, apparentemente proveniente d...
Negli ultimi giorni, NS Power, una delle principali aziende elettriche canadesi, ha confermato di essere stata vittima di un attacco informatico e ha pubblicato degli update all’interno della H...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
