Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La sicurezza dei sistemi SCADA richiede una gestione rigorosa dei processi che operano con privilegi elevati. Una recente analisi tecnica ha approfondito la vulnerabilità CVE-2025-0921 nella Suite ICONICS, un sistema di supervisione utilizzato in settori industriali critici. Con un punteggio CVSS di 6.5, questa falla risiede nella gestione impropria delle operazioni sul file system da parte di alcuni servizi della suite, che possono essere manipolati per compromettere l’integrità del sistema ospite.
Il fulcro del problema è stato individuato nel Pager Agent, parte del set di funzionalità AlarmWorX64 MMX. Questo componente gestisce l’invio di notifiche e allarmi attraverso l’utility PagerCfg.exe.
Durante la configurazione, il sistema permette di definire un percorso per il file SMSLogFile. Ogni operazione di messaggistica genera una scrittura in questo file di log, eseguita con i privilegi del servizio, un dettaglio che si rivela cruciale per la dinamica dell’attacco.
La portata della CVE-2025-0921 emerge pienamente quando concatenata alla vulnerabilità CVE-2024-7587. Quest’ultima, legata all’installer GenBroker32, imposta permessi di controllo totale per ogni utente locale sulla directory C:ProgramDataICONICS.
Questa configurazione errata rende il file IcoSetup64.ini, che contiene il percorso del log degli SMS, liberamente modificabile anche da account privi di autorizzazioni amministrative, creando il presupposto per l’abuso.
Un utente malintenzionato può quindi alterare il percorso del log indicato nel file di configurazione. Sostituendo il percorso legittimo con un collegamento simbolico (symlink) verso un file critico di sistema, l’attaccante “istruisce” indirettamente il servizio privilegiato a colpire il sistema operativo. Non è l’utente a elevare i propri privilegi, ma è il servizio legittimo a essere indotto a compiere azioni dannose per conto dell’attaccante.
Durante i test di sicurezza, è stato dimostrato come questo meccanismo possa causare un Denial-of-Service (DoS) persistente. Creando un symlink che punta al driver cng.sys (fondamentale per la crittografia di Windows), il Pager Agent sovrascrive il binario del driver con i dati testuali del log non appena viene attivato un allarme o un test SMS. Il file originale viene così corrotto da stringhe di testo leggibili, perdendo la sua funzione di eseguibile.
Al riavvio del computer, Windows tenta di caricare cng.sys, ma fallisce a causa della corruzione del file. Questo porta il sistema operativo in un ciclo di riparazione automatica infinito, rendendo la stazione di lavoro o il server SCADA inoperabile. L’attacco dimostra come un’operazione apparentemente innocua, come la scrittura di un log, possa essere trasformata in un vettore di instabilità se non adeguatamente isolata.
La scoperta evidenzia la necessità di proteggere le directory di configurazione da modifiche non autorizzate. Il coordinamento tra i ricercatori e il team di ICONICS ha portato alla definizione di misure correttive che eliminano le vulnerabilità segnalate attraverso specifici workaround. Queste azioni sono fondamentali per prevenire la creazione di collegamenti simbolici malevoli che sfruttano i privilegi dei servizi di monitoraggio industriale per danneggiare l’infrastruttura sottostante.
L’analisi dettagliata di questa catena di vulnerabilità e le relative dimostrazioni tecniche sono state fornite dagli esperti di Unit 42, il cui report originale costituisce la base per la comprensione di questi rischi nei sistemi Mitsubishi Electric Iconics Digital Solutions. La corretta configurazione dei permessi del file system rimane il primo baluardo contro questo tipo di attacchi basati su symlink e escalation indiretta.
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.
Perché la miglior difesa, in fondo, è una bella storia. 👉 Scopri tutto su https://betti.redhotcyber.com/