Redazione RHC : 26 Settembre 2025 07:44
Gli esperti della Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti hanno segnalato un grave incidente: degli hacker sono riusciti ad accedere alla rete di un’agenzia federale civile sfruttando una vulnerabilità critica nel software del server GeoServer. Il problema ha interessato una versione non patchata della piattaforma, consentendo agli aggressori di eseguire codice da remoto e successivamente infiltrarsi nel sistema.
La vulnerabilità critica, denominata CVE-2024-36401, è stata ufficialmente risolta il 18 giugno 2024, ma molti server erano ancora privi di patch. Circa un mese dopo, la CISA l’ha aggiunta al suo registro pubblico delle vulnerabilità attivamente sfruttate. Il motivo è stato il rilascio pubblico di exploit dimostrativi pubblicati da diversi ricercatori, che dimostravano come la vulnerabilità consenta l’esecuzione di codice arbitrario su macchine non protette.
Come dettagliato nella pubblicazione CISA, già il 9 luglio 2024 il servizio Shadowserver ha rilevato un’ondata di attacchi correlati a questa vulnerabilità. Secondo la piattaforma OSINT di ZoomEye, sulla rete erano presenti oltre 16.000 server GeoServer accessibili dall’esterno.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
È stato attraverso uno di questi server che gli aggressori sono penetrati nel sistema IT di un’agenzia statunitense non identificata. Appena due giorni dopo l’inizio degli attacchi, il primo server è stato hackerato, seguito da un secondo un paio di settimane dopo.
Il passo successivo è stato hackerare il server web interno e il database SQL. Il rapporto del CISA afferma che gli hacker hanno caricato web shell, tra cui China Chopper, e script specializzati sui computer per il controllo remoto, il furto di dati, l’escalation dei privilegi e l’esecuzione di comandi.
Dopo aver penetrato l’infrastruttura, gli aggressori sono passati a una fase di raccolta dati attiva, utilizzando, come osserva CISA, il cracking brute-force delle password (Tattica T1110) e dirottando gli account di servizio attraverso componenti vulnerabili. Per tutto questo periodo, circa tre settimane, l’attività dannosa è rimasta inosservata.
L’allerta è arrivata solo il 31 luglio 2024, quando lo strumento di rilevamento degli endpoint (EDR) integrato ha identificato un file sospetto sul server SQL e ha inviato un segnale al Security Operations Center (SOC). Da quel momento in poi, l’agenzia, con l’assistenza del CISA, ha avviato un’indagine interna e ha messo in quarantena i sistemi interessati.
Pochi giorni dopo l’incidente iniziale, la CISA ha emesso un avviso separato per le infrastrutture critiche degli Stati Uniti, sottolineando l’importanza di una scansione proattiva delle vulnerabilità.
Sebbene non siano stati rilevati segnali di violazione, l’audit ha evidenziato un’ampia gamma di rischi: archiviazione non sicura delle password, credenziali duplicate per gli amministratori locali, accesso remoto aperto, segmentazione di rete configurata in modo errato e registrazione degli eventi inadeguata.
RedazioneQuesta mattina Paragon Sec è stata contattata da un’azienda italiana vittima di un nuovo tentativo di frode conosciuto come Truffa del CEO. L’ufficio contabilità ha ricevuto un’e-mail urgente,...
i ricercatori di Check Point Software, hanno recentemente pubblicato un’indagine sull’aumento delle truffe farmaceutiche basate sull’intelligenza artificiale. È stato rilevato come i criminali ...
L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha assunto il ruolo di Root all’interno del programma Common Vulnerabilities and Exposures (CVE), diventando il principale punt...
Il progetto Tor ha annunciato l’introduzione di un nuovo schema di crittografia, chiamato Counter Galois Onion (CGO), destinato a sostituire il precedente metodo Tor1 Relay. L’aggiornamento mira a...
L’attuale accelerazione normativa in materia di cybersicurezza non è un fenomeno isolato, ma il culmine di un percorso di maturazione del Diritto penale che ha dovuto confrontarsi con la dematerial...
