Patch Update di ottobre 2024 di Oracle: oltre 300 vulnerabilità di sicurezza risolte, si consiglia l'implementazione immediata

L'aggiornamento critico (CPU) di ottobre 2024 di Oracle include 334 nuove patch di sicurezza che risolvono 220 CVE uniche. In particolare, 186 patch risolvono vulnerabilità sfruttabili da remoto che non richiedono l'autenticazione. Oracle Communications ha ricevuto la maggiore attenzione, con 81 delle 100 patch che risolvono falle critiche sfruttabili da remoto senza richiedere l'autenticazione. Anche MySQL, Fusion Middleware, Financial Services Applications ed E-Business Suite hanno ricevuto aggiornamenti significativi, con 45 patch per MySQL (12 delle quali relative a problemi sfruttabili da remoto). Altri prodotti come Communications Applications, Analytics e PeopleSoft hanno ricevuto circa una dozzina di patch ciascuno. Sono stati rilasciati set di patch minori per Oracle Commerce, Java SE e diversi prodotti aziendali. Oracle consiglia ai clienti di applicare immediatamente gli aggiornamenti, poiché gli attori delle minacce hanno sfruttato vulnerabilità note per le quali esistevano già delle patch. L'aggiornamento include anche correzioni per CVE non sfruttabili e componenti di terze parti. Come negli aggiornamenti precedenti, Oracle sottolinea l'importanza di una distribuzione tempestiva delle patch per prevenire attacchi informatici su sistemi obsoleti.

Azienda violata dopo aver assunto inconsapevolmente un criminale informatico nordcoreano come collaboratore informatico remoto

Un'azienda senza nome è stata violata dopo aver assunto inconsapevolmente un criminale informatico nordcoreano come collaboratore informatico remoto. L'individuo ha falsificato le proprie credenziali e i propri dati personali, consentendogli di accedere alla rete aziendale, dove ha scaricato dati sensibili e chiesto un riscatto. Secureworks ha riportato l'attacco per sensibilizzare l'opinione pubblica sulla crescente minaccia di agenti nordcoreani che si spacciano per lavoratori a distanza. Si ritiene che l'appaltatore, presumibilmente un uomo, sia stato assunto in estate e abbia trascorso quattro mesi accedendo ai sistemi dell'azienda. Avrebbe trasferito il suo stipendio in Corea del Nord, aggirando le sanzioni attraverso complessi metodi di riciclaggio di denaro. Dopo essere stato licenziato per scarso rendimento, l'azienda ha ricevuto e-mail di riscatto che richiedevano criptovalute, minacciando di diffondere i dati rubati se il riscatto non fosse stato pagato. Questo caso mette in evidenza la crescente tendenza all'infiltrazione di agenti nordcoreani nelle aziende occidentali, e secondo alcuni rapporti questa pratica avrebbe colpito anche le aziende Fortune 100. Le organizzazioni dovrebbero utilizzare Cyberconnect360 per reclutare talenti, assicurando controlli approfonditi del background e una verifica da parte di esperti.

I clienti Microsoft devono affrontare più di 600 milioni di attacchi giornalieri da parte di criminali informatici e attori statali

Il rapporto Digital Defence di Microsoft rivela che i suoi clienti affrontano ogni giorno più di 600 milioni di minacce informatiche, dal ransomware agli attacchi di identità. Gli attori statali delle minacce collaborano sempre più spesso con i gruppi di criminali informatici, condividendo strumenti e tattiche per lo spionaggio, l'influenza e il guadagno finanziario. Questa convergenza ha alimentato un aumento degli attacchi, con gruppi statali che sfruttano le tensioni geopolitiche, come i conflitti in Ucraina e Israele, per colpire entità a livello globale. Per proteggersi da questo panorama di minacce in continua espansione è necessaria una strategia di difesa informatica completa, non solo pratiche di igiene informatica di routine. È essenziale rafforzare gli spazi digitali e coinvolgere tutti i livelli, dai singoli utenti ai dirigenti aziendali e ai leader governativi, per costruire la resilienza. Inoltre, i criminali informatici stanno utilizzando l'intelligenza artificiale per attacchi sempre più sofisticati, rendendo fondamentale per le organizzazioni l'adozione di misure di cybersecurity agili e robuste. Il rapporto di Microsoft sottolinea la natura globalizzata della guerra informatica, evidenziando la necessità per le organizzazioni di rimanere vigili contro queste minacce in rapida evoluzione.

Più di 200 app dannose trovate su Google Play, con quasi 8 milioni di download, avvertono i ricercatori

I ricercatori hanno scoperto che più di 200 app dannose sono state distribuite attraverso Google Play tra giugno 2023 e aprile 2024, accumulando quasi otto milioni di download. Queste app appartengono a famiglie di malware come Joker, che ruba informazioni e abbona gli utenti a servizi premium, e Adware, che carica annunci invadenti. Facestealer, Coper e Harly sono altre minacce identificate. Nonostante i controlli di sicurezza di Google Play, gli aggressori spesso li aggirano utilizzando tecniche come il “versioning”, in cui il malware viene distribuito tramite aggiornamenti o caricato da server controllati dagli aggressori. Alcune campagne di malware, come Necro e Goldoson, hanno raggiunto milioni di utenti inserendo codice maligno in categorie di app popolari, come produttività e lifestyle. I ricercatori hanno registrato una diminuzione complessiva degli attacchi di malware su Google Play, con una media di 1,7 milioni di blocchi al mese. Per stare al sicuro, gli utenti dovrebbero leggere le recensioni delle app, esaminare le autorizzazioni ed evitare di installare applicazioni che richiedono l'accesso non necessario a informazioni sensibili.

La CISA aggiunge le vulnerabilità critiche di SolarWinds, Windows e Firefox all'elenco delle vulnerabilità sfruttate; le agenzie sono invitate a eseguire le patch prima del 5 novembre

La Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto tre vulnerabilità al suo catalogo di vulnerabilità note e sfruttate (KEV), tra cui una falla critica in SolarWinds Web Help Desk (WHD), risolta nell'agosto 2024. Questa falla, identificata come CVE-2024-28987, riguarda le credenziali crittografate che potrebbero consentire agli aggressori di accedere e manipolare i dati di WHD senza autorizzazione. SolarWinds ha rilasciato una correzione poco dopo la segnalazione della falla, invitando gli utenti ad aggiornare WHD 12.8.3 Hotfix 2 o successivo. Le agenzie federali hanno tempo fino al 5 novembre 2024 per proteggere i loro sistemi. Le altre due vulnerabilità sono una falla del kernel di Windows, CVE-2024-30088, sfruttata da APT34 per ottenere i privilegi del sistema, e una falla di Mozilla Firefox, CVE-2024-9680, potenzialmente utilizzata per lo spionaggio. Il CISA richiede alle agenzie federali di correggere queste falle entro la stessa scadenza.

Il gruppo nordcoreano ScarCruft sfrutta una vulnerabilità zero-day di Windows per distribuire il malware RokRAT tramite un programma adware compromesso

Il gruppo di hacker nordcoreani ScarCruft, noto anche come TA-RedAnt, ha sfruttato una vulnerabilità zero-day di Windows ora patchata, CVE-2024-38178, per distribuire un malware chiamato RokRAT. La falla, valutata 7,5 sulla scala CVSS, era un problema di corruzione della memoria nel motore di scripting, in particolare quando si utilizzava Edge in modalità Internet Explorer. Microsoft ha risolto il problema nell'agosto 2024, ma l'attacco richiedeva che gli utenti facessero clic su un link dannoso per innescare l'esecuzione di codice remoto. L'AhnLab Security Intelligence Center e il National Cyber Security Center della Corea del Sud hanno identificato la campagna, chiamata Operation Code on Toast. ScarCruft ha sfruttato un modulo di Internet Explorer non supportato all'interno di un programma pubblicitario “toast” per distribuire il malware. Compromettendo il server di un'agenzia pubblicitaria locale, gli aggressori hanno infettato i dispositivi tramite contenuti pubblicitari con trappole. RokRAT consente l'accesso remoto, l'enumerazione dei file e la terminazione dei processi, utilizzando servizi cloud legittimi come Dropbox e Google Cloud come server di comando e controllo per evitare il rilevamento.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.