Redazione RHC : 26 Settembre 2025 07:44
Gli esperti della Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti hanno segnalato un grave incidente: degli hacker sono riusciti ad accedere alla rete di un’agenzia federale civile sfruttando una vulnerabilità critica nel software del server GeoServer. Il problema ha interessato una versione non patchata della piattaforma, consentendo agli aggressori di eseguire codice da remoto e successivamente infiltrarsi nel sistema.
La vulnerabilità critica, denominata CVE-2024-36401, è stata ufficialmente risolta il 18 giugno 2024, ma molti server erano ancora privi di patch. Circa un mese dopo, la CISA l’ha aggiunta al suo registro pubblico delle vulnerabilità attivamente sfruttate. Il motivo è stato il rilascio pubblico di exploit dimostrativi pubblicati da diversi ricercatori, che dimostravano come la vulnerabilità consenta l’esecuzione di codice arbitrario su macchine non protette.
Come dettagliato nella pubblicazione CISA, già il 9 luglio 2024 il servizio Shadowserver ha rilevato un’ondata di attacchi correlati a questa vulnerabilità. Secondo la piattaforma OSINT di ZoomEye, sulla rete erano presenti oltre 16.000 server GeoServer accessibili dall’esterno.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
È stato attraverso uno di questi server che gli aggressori sono penetrati nel sistema IT di un’agenzia statunitense non identificata. Appena due giorni dopo l’inizio degli attacchi, il primo server è stato hackerato, seguito da un secondo un paio di settimane dopo.
Il passo successivo è stato hackerare il server web interno e il database SQL. Il rapporto del CISA afferma che gli hacker hanno caricato web shell, tra cui China Chopper, e script specializzati sui computer per il controllo remoto, il furto di dati, l’escalation dei privilegi e l’esecuzione di comandi.
Dopo aver penetrato l’infrastruttura, gli aggressori sono passati a una fase di raccolta dati attiva, utilizzando, come osserva CISA, il cracking brute-force delle password (Tattica T1110) e dirottando gli account di servizio attraverso componenti vulnerabili. Per tutto questo periodo, circa tre settimane, l’attività dannosa è rimasta inosservata.
L’allerta è arrivata solo il 31 luglio 2024, quando lo strumento di rilevamento degli endpoint (EDR) integrato ha identificato un file sospetto sul server SQL e ha inviato un segnale al Security Operations Center (SOC). Da quel momento in poi, l’agenzia, con l’assistenza del CISA, ha avviato un’indagine interna e ha messo in quarantena i sistemi interessati.
Pochi giorni dopo l’incidente iniziale, la CISA ha emesso un avviso separato per le infrastrutture critiche degli Stati Uniti, sottolineando l’importanza di una scansione proattiva delle vulnerabilità.
Sebbene non siano stati rilevati segnali di violazione, l’audit ha evidenziato un’ampia gamma di rischi: archiviazione non sicura delle password, credenziali duplicate per gli amministratori locali, accesso remoto aperto, segmentazione di rete configurata in modo errato e registrazione degli eventi inadeguata.
RedazioneNel mese di Settembre è uscita una nuova vulnerabilità che riguarda Notepad++. La vulnerabilità è stata identificata con la CVE-2025-56383 i dettagli possono essere consultati nel sito del NIST. L...
Gli aggressori stanno utilizzando una tecnica avanzata che implica il caricamento laterale di DLL tramite l’applicazione Microsoft OneDrive. In questo modo riescono ad eseguire codice malevolo senza...
I ladri sono entrati attraverso una finestra del secondo piano del Musée du Louvre, ma il museo aveva avuto anche altri problemi oltre alle finestre non protette, secondo un rapporto di audit sulla s...
Reuters ha riferito che Trump ha detto ai giornalisti durante un’intervista preregistrata nel programma “60 Minutes” della CBS e sull’Air Force One durante il viaggio di ritorno: “I chip pi�...
Il primo computer quantistico atomico cinese ha raggiunto un importante traguardo commerciale, registrando le sue prime vendite a clienti nazionali e internazionali, secondo quanto riportato dai media...
