Arriva il cugino minore di Log4j; Si corre agli armamenti; La rivolta che passa per il Bitcoin
Buon sabato e ben trovato utente del cyberspazio. Le vacanze sono concluse e ragionavo proprio sul fatto che, in questo mestiere, si lavora più del dovuto sempre nei giorni di festa! Facciamo il punto di questa settimana con qualche contenuto degno di nota che non ho avuto il tempo di trattare altrove.
In breve oggi ti parlo di:
Arriva il cugino minore di Log4j
Si corre agli armamenti
La rivolta che passa per il Bitcoin
Arriva il cugino minore di Log4j
Questa settimana i ricercatori hanno scoperto una vulnerabilità correlata a JNDI nella console del database H2, che potrebbe consentire l'esecuzione di codice remoto non autenticato. Si tratta di una situazione pandemica, non dico come Log4j, ma molto simile. Il problema è grosso anche in questo nuovo caso.
H2 è un database open source che può essere trovato in una varietà di progetti e applicazioni, inclusi i sistemi IoT. È leggero e non salva i dati su disco, quindi è adattabile e JFrog, un fornitore di piattaforme di gestione del software, ha scoperto una vulnerabilità correlata a JNDI in varie versioni dell'interfaccia H2. Inviando una richiesta dannosa a un server vulnerabile, questo problema (denominato CVE-2021-42392) consente a un utente malintenzionato di eseguire codice arbitrario non autorizzato.
Ne parlano direttamente Andrey Polkovnychenko e Shachar Menashe di JFrog in un post in cui spiegavano il bug. "In poche parole, la causa principale è simile a Log4Shell: diversi percorsi di codice nel framework del database H2 trasmettono URL non filtrati controllati dall'attaccante alla funzione javax.naming.Context.lookup, che consente il caricamento remoto del codice".
Due notizie al volo su questo problema, la prima meno carina è che il database H2 è incluso in un numero enorme di altri pacchetti e app, quindi gli effetti di questo difetto potrebbero essere diffusi.
La seconda, finalmente una buona notizia (ma non buonissima!), è che si sono alcuni fattori attenuanti in questa situazione, primo fra tutti il fatto che la console H2 è accessibile solo localmente per impostazione predefinita. Gli utenti possono modificare tale configurazione se lo desiderano, ma l'opzione predefinita è solo l'accesso locale. Questo mitiga molto il problema (in ambito mass).
Si corre agli armamenti
Sappiamo ormai bene che il campo della sicurezza informatica è in forte espansione e che, d'altro canto, le violazioni non sembrano mostrare segni di cedimento, anzi. Ogni giorno, pubblico e privato, fanno passi di trasformazione digitale spostando i propri interessi sempre più nel cloud. In uno scenario così in ampia evoluzione aziende ed enti non sembra abbiano alternative differenti dall'investire in sicurezza per affrontare tali dinamiche e colmare determinati gap. Mentre il pubblico sperimenta e osserva come uno spettatore (anche in Italia la situazione è questa), il privato si muove e mette mano al portafoglio talvolta anche in maniera consistente. Il 4 gennaio abbiamo assistito a un esempio molto calzante di tutto ciò, provenire da Google: l'acquisizione di Siemplify.
La decisione è seria e l'operazione è grossa, apre sicuramente un grande spunto di riflessione, motivo per cui decido di riportarla. Non si conosce l'importo ufficiale della trattattiva e dell'accordo stipulato, ma fonti vicine all'operazione parlano senza problemi in qualcosa che si avvicina a 500 milioni di dollari.
Siemplify è una startup di sicurezza informatica con sede (e fondazione) in Israele specializzata in servizi di sicurezza end-to-end per le imprese, che opera oggi anche negli Stati Uniti grazie a un quartier generale a New York. Google decide di acquisirla, implementando e potenziando i suoi strumenti dal punto di vista cyber sicurezza e verrà integrata in Google Cloud per mezzo di Chronicle (società di sicurezza informatica già parte di Google Cloud).
Sono operazioni come queste che fanno riflettere su una vera e propria corsa agli armamenti, nella quale chi resta indietro, rischia veramente di finire male. Immagino si debba imparare molto anche seguendo le mosse aziendali di un certo tipo, quando si parla di educazione digitale. E immagino le pubbliche amministrazioni possano imparare molto osservando i privati. Spostando lo sguardo in Italia mi verrebbe da pensare che copiare dall'America McDonald's, Chewing gum e qualche format televisivo, non sembra abbiano fatto chissà quale bene, forse però potremo iniziare a pensare, non dico di copiare, ma almeno prendere spunto da questo genere di privato organizzato e concentrato sull'obiettivo, per migliorare almeno il nostro pubblico che, a seguire il dibattito, non offre grandi sprint particolari al netto di ambiziosi progetti dalla realizzazione proiettata in un futuro che non colma gap già parte del presente.
La rivolta che passa per il Bitcoin
In Kazakistan è in corso una grande rivolta di Stato per protesta sull'effetto dell'aumento dei prezzi dell'energia, presumibilmente con crescente responsabilità dell'ex capo di stato Nursultan Nazarbayev. Caso vuole che uno dei posti preferiti per gli appassionati di criptovaluta, sia proprio il Kazakistan, scelto come meta per le operazioni di mining. Perché? Per estrarre Bitcoin ci vuole energia, e in Kazakistan l'energia costava poco e ce n'è tanta.
Prezzi dell'energia aumentano --> il Paese è in rivolta con guerriglia violenta e sanguinaria (tanto da far scendere in campo l'esercito russo, inviato appostitamente sul posto con missione di "peacekeeping" per circa un mese, tramite l'accordo della Comunità degli Stati Indipendenti, per contribuire a mettere in sicurezza le strutture strategiche) --> senza energia il Bitcoin deve interrompere una grossa fetta mondiale di miners --> il prezzo del Bitcoin crolla (con un calo del 40%).
E' proprio quello che è successo in questi giorni. Mi sembrava doveroso scriverne anche perché il tutto è ancora in atto e le vittime aumentano con migliaia di feriti tra le manifestazioni.
Il problema sta avendo ripercussioni gravi a tutti i livelli della nazione, tanto che le maggiori compagnie di telecomunicazione hanno ricevuto ordine, da mercoledì, di staccare la spina di Internet in tutto il Paese. Ma anche questa misura non sembra calmare gli animi che, possiamo solo immaginare quanti strascichi possa lasciare un'azione di questo tipo anche lato cyber sicurezza.
Se ci pensiamo infatti si riportano saccheggiamenti di bancomat (ATM), oltre che presa dell'aeroporto di Almaty, distruzione degli uffici degli studi televisivi Mir 24 e incendi agli edifici del governo e all'ex residenza presidenziale. Tutti i punti strategici del Paese si trovano sotto i ferri a cuore aperto, solo che non c'è un medico ma solo ferri in mani prive di controllo.
Strumenti utili della settimana
Infine voglio segnalare alcuni strumenti che ho trovato utili:
tool online utile se stai facendo testing o esperimenti con DNS, ma non vuoi fare caos in produzione, Messwithdns;
utile repo per chi vuole studiare il ransomware dal di dentro, Annabelle Ransomware;
qui c'è una Mind-Map quasi per tutto ciò che riguarda pentesters e security professionals / bug hunters.
Anche questo sabato mattina non posso far altro che ringraziarvi per avermi letto. Il numero degli iscritti a questa newsletter (nonostante la tenera età di NINAsec) sta crescendo ogni settimana di più e seppure stai leggendo questi contenuti come ospite, nessun problema, è sempre tutto disponibile. Se ti piace e vuoi maggiore comodità, in ogni caso sappi che puoi iscriverti lasciando il tuo indirizzo email e la riceverai ogni sabato mattina direttamente in INBOX.