Bugs in JsonWebToken e spyware su phishing anche in Italia
Buon sabato e ben ritrovato caro cyber User. Siamo alla seconda settimana di questo 2023, ma l'anno è iniziato sicuramente con un passo abbastanza accelerato, lato cyber crime.
La neonata Dashboard Ransomware Monitor ha già collezionato 71 attacchi dall'inizio del mese di gennaio 2023.
Bug in JsonWebToken mette a rischio 22 mila software
Auth0 ha corretto una vulnerabilità RCE nella popolare libreria open source JsonWebToken, che è stata utilizzata da oltre 22.000 progetti e scaricata più di 36 milioni di volte al mese su NPM.
JsonWebToken è una libreria open source utilizzata per generare, firmare e convalidare token Web JSON, utilizzata da progetti che coinvolgono Microsoft, Twilio, Salesforce, Intuit, Box, IBM, Docusign, Slack, SAP e molti altri. La libreria è sviluppata e gestita da Okta.
La vulnerabilità è monitorata da CVE-2022-23529 e interessa (https://www.npmjs.com/package/jsonwebtoken) le versioni di JsonWebToken precedenti alla 9.0.0. Il suo sfruttamento, qualora riuscito, può consentire agli aggressori di aggirare i meccanismi di autenticazione, ottenere l'accesso a informazioni riservate e rubare o modificare dati.
La vulnerabilità non è critica e ha un punteggio CVSS di 7,6 perché richiederebbe a un utente malintenzionato di compromettere il processo di gestione della comunicazione tra l'applicazione e il server JsonWebToken, rendendolo così più difficile da sfruttare.
CVE-2022-23529 è stato scoperto (https://unit42.paloaltonetworks.com/jsonwebtoken-vulnerability-cve-2022-23529/) il 13 luglio 2022 dai ricercatori dell'Unità 42 di Palo Alto Networks a seguito della convalida di un token JWS dannoso.
I ricercatori hanno scoperto che gli aggressori possono eseguire codice in remoto sui server grazie al metodo describe() (https://www.npmjs.com/package/jsonwebtoken#:~:text=jwt.verify(token%2C%20secretOrPublicKey%2C% 20% 5Boptions%2C%20callback%5D)) utilizzato per convalidare il JWT e restituire le informazioni decodificate.
A causa della mancanza di convalida di uno dei parametri secretOrPublicKey, gli aggressori possono inviare un oggetto appositamente predisposto per eseguire la scrittura di file arbitraria sulla macchina di destinazione.
Allo stesso tempo, utilizzando la stessa vulnerabilità, ma con un payload diverso nella richiesta, si può praticamente ottenere l'esecuzione di codice in modalità remota.
Il team Auth0 ha confermato il problema nell'agosto 2022 e, dopo aver lavorato sodo per risolverlo, ha rilasciato una patch con JsonWebToken versione 9.0.0 il 21 dicembre 2022.
La correzione include l'implementazione di controlli aggiuntivi per il parametro difettoso.
Nonostante la complessità dello sfruttamento pratico, la vulnerabilità rappresenterà una seria minaccia per la catena di approvvigionamento per un lungo periodo di tempo fino a quando la maggior parte dei progetti non verrà aggiornata a una versione sicura. Il problema delle dipendenze (come questa), interne ad un progetto, magari non più mantenuto, è che può capire anche di non sapere più se il proprio progetto usa o meno una tale libreria, da qui il problema di sicurezza. Pensate ad esempio a tutti quei progetti ancora operativi, ma per i quali gli sviluppatori non sono più operanti.
Inoltre, data l'ampia popolarità di JsonWebToken e il numero di potenziali bersagli, non è certo da sottovalutare il potenziale criminale e l'entusiasmo degli attaccanti.
Malware info-stealer prende di mira gli utenti italiani
Il team di ricerca di Uptycs Threat ha scoperto una nuova minaccia informatica che prende di mira l'Italia, attraverso una campagna di phishing che distribuisce un malware che ruba informazioni sui sistemi Windows delle vittime. Questo software dannoso è progettato per rubare informazioni sensibili come dettagli di sistema, informazioni sui wallet di criptovaluta, cronologie del browser, cookie e credenziali di accesso dei portafogli crittografici.
Alcuni dettagli
La sequenza di infezione in più fasi inizia con un'e-mail di phishing contenente un collegamento che scarica un file di archivio ZIP protetto da password con due file: un file di collegamento (.LNK) e un file batch (.BAT).
L'apertura di uno dei file avvia la stessa catena di attacco, che recupera uno script batch che installa un payload dello spyware da un repository GitHub.
Il payload viene installato sfruttando un binario PowerShell legittimo recuperato anch'esso da GitHub.
Una volta installato, il malware basato su C# raccoglie metadati e informazioni di sistema da più browser Web e portafogli di criptovaluta, che vengono trasmessi ad un dominio controllato dall'attore criminale.
Cosa raccoglie il malware
lo stealer di informazioni raccoglie informazioni di sistema come numeri di serie, informazioni sul volume di sistema, BIOS, unità disco e processore.
Nelle informazioni del browser, ruba segnalibri, carte di credito, cookie, credenziali e download confrontando l'elenco dei browser codificati.
I portafogli crittografici presi di mira dal malware includono Bitcoin, Ethereum, Monero, Exodus, Dash, Zcash, Litecoin, Coinbase, BitClip e Jaxx Liberty.
Ci sono alcuni spyware molto attivi nell'ultimo periodo, anche differenti ma per i quali conviene prestare attenzione.
Lo Stealer Vidar (ne ho parlato proprio questa settimana) è riemerso con tecniche sofisticate per abusare delle popolari piattaforme di social media, tra cui Telegram, Mastodon, TikTok e Steam.
Nel dicembre 2022, è stato scoperto un numero enorme di ladri di informazioni che prendevano di mira il repository PyPI. Sono state osservate dieci diverse varianti di stealer distribuite tramite 16 pacchetti che sono stati scaricati più di cento volte.
Il mondo del crimine informatico è in continua evoluzione e una delle forme di malware più pericolose e dirompenti in circolazione oggi è l'info-stealer.
Come un ladro digitale furtivo, questi programmi dannosi si insinuano nei tuoi dispositivi e reti per rubare informazioni sensibili, lasciandoti vulnerabile a furti di identità, frodi finanziarie e altre conseguenze devastanti. In conclusione, per combattere gli attacchi di malware come l'info-stealer, è importante aggiornare regolarmente le password e implementare forti controlli di sicurezza con visibilità a più livelli.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.