Ascension hacked

Cosa è successo.

9 maggio 2024, viene denuciato l'hackeraggio di alcuni sistemi informatici di ASCENSION, uno dei più grandi operatori sanitari statunitensi che gestisce 140 ospedali in 19 stati diversi fornendo, nel solo 2023, servizi di assistenza alle persone indigenti per un valore di 2,2 miliardi di dollari.

L'organizzazione ha informato che dopo aver scoperto attività anomale nel sistema di rete, ha immediatamente assunto un operatore di sicurezza, Mandiant, per gestire il problema e ha informato le forze dell'ordine. Sono ancora in corso le indagini per verificare se vi sia stata sottrazione di dati.

Il blocco di alcuni sistemi, a seguito del rilevamento di attività anomale, ha portato l'organizzazione saniataria ad una temporanea gestione manuale di alcune pratiche, procedura d'emergena che secondo la Ascension, è prevista ed esercitata proprio per occasioni simili.

Molti partner commerciali e fornitori si sono dovuti disconnettere dai sistemi di Ascension, per evitare ulteriori problemi.

Dai primi dati sembra che l'attacco, di tipo ransomware, sia opera della cybergang BlackBasta, la stessa gang che poche settimane prima ha messo in crisi Synlab in Italia. Che vi sia qualche correlazione è presto per dirlo, ciò che è certo è che la sanità è sempre più presa di mira. Questo è l'ennesimo attacco contro sistemi sanitari, e probabilmente non l'ultimo. La sempre maggiore complessità dell'ecosistema sanitario mondiale, la sua diversità, l'enorme superficie d'attacco esposta, la scarsità di personale e l'insufficiente preparazione tecnica dei team di sicurezza, rischiano di compromettere la salute di tutti.

Non stiamo parlando di giochetti tipo defacement di un sito o blocco temporaneo di un servizio online, ma di qualcosa di ben più critico: i dati dei sistemi sanitari di interi stati!

Cosa accadrebbe in Italia se il sistema informatico del 118 venisse hackerato?

Se i dati dei pazienti venissero cancellati o, peggio ancora, modificati ne andrebbero di mezzo vite umane.

Se i sistemi di gestione dei magazzini delle farmacie venissero cifrati per mezzo di un ransomware, i nostri operatori saprebbero passare a procedure manuali?

E che dire delle migliaia di studi dei medici di base distribuiti sul territorio, connessi tra loro, in un modo o nell'altro, spesso inconsapevolmente ?

Ciò che sta accadendo, purtroppo, è la dimostrazione dell'inconsistenza di una società basata sulla interconnessione e digitalizzazione a tutti i costi, senza alcuna attenzione verso la sicurezza.

Dov'è la resilienza? Dove sono i team di esperti nazionali? Dov'è di casa la sicurezza informatica, o cybersecurity che dir si voglia?

Alessandro Rugolo

Sitografia

- Cyberattack forces major US health care network to divert ...

- Ascension Healthcare Network Cyber Attack Disrupts ...

- Ascension St. Vincent affected by cyber attack to its network

- AHA, H-ISAC warn hospitals about Black Basta following ...

- Ascension, owner of 15 Michigan hospitals, confirms ...

- https://www.beckershospitalreview.com/cybersecurity/how-the-ransomware-group-linked-to-ascension-hack-operates.html

 

World of Warships: un po' di storia

World of Warships è un MMO (Massively Multiplayer Online) game sviluppato dalla società cipriota Wargaming e rilasciato al pubblico il 17 settembre 2015, dopo circa quattro anni di studio, sviluppo e test. Il gioco è del tipo  "freemium" (ovvero free + premium) e può essere giocato gratuitamente ma se si vuole è possibile acquistare funzionalità aggiuntive per andare avanti più velocemente.

La Wargaming aveva precedentemente rilasciato altri due giochi dello stesso genere, World of Tanks e World of Warplanes. Con l'uscita di World of Warship viene così completata la trilogia. 

Il gioco era stato inizialmente studiato per il sistema operativo Microsoft Windows ma negli anni seguenti è stato adattato a diversi sistemi operativi, successivi seguirono versioni per iOS, Android, Playstation e Xbox.

Secondo Rajeev Girdhar (il responsabile della produzione) il gioco è ispirato alle meraviglie tecnologiche per guerra navale del ventesimo secolo e le navi sono realizzate sulla base dei documenti e progetti ufficiali.

Attualmente gli utenti del gioco sono stimati in circa cinque milioni di cui 500 mila utenti attivi, ma qualche anno fa sono arrivati ad essere circa 50 milioni.

Il gioco offre l'emozione di scontri navali epici con le armi più potenti mai prodotte, richiedendo un approccio strategico e gioco di squadra per superare gli avversari. 

La modalità di gioco più popolare consiste nel mettere in campo due squadre da 12 giocatori.

Le battaglie spesso si svolgono in mare aperto e ogni mossa deve essere pianificata con attenzione in anticipo per sfruttare al meglio i punti di forza della propria nave. 

 

Per approfondire:

- https://wiki.wargaming.net/en/World_of_Warships

- https://wargaming.com/en/ 

- https://www.redbull.com/au-en/how-world-of-warships-sails-across-history-and-fun

- https://playtracker.net/insight/game/6293

- https://gaming.lenovo.com/us/explore/news/b/news/posts/exclusive-interview-world-of-warships/

- https://worldofwarships.com/it/

ENISA e Cybersecurity skill shortage, facciamo il punto

Secondo quanto riportato nei media occidentali la società digitale stà attraversando un periodo di forte crescita e allo stesso tempo di crisi riguardo l'aspetto sicurezza, ma non si tratta di un nuovo malware ma dello "skill shortage".

Secondo il recente rapporto ENISA, il "Foresight Cybersecurity Threats for 2030", subito dopo gli attacchi alla Supply Chain la minaccia numero due alla società del 2030 è infatti posta dallo skill shortage.

Ma diamo uno sguardo assieme alla top ten:

1. Supply Chain Compromise of Software Dependencies
2. Skill Shortage
3. Human Error and Exploited Legacy Systems Within Cyber-Physical Ecosystems
4. Exploitation of Unpatched and Out-of-date Systems within the Overwhelmed Cross-sector Tech Ecosystem
5. Rise of Digital Surveillance Authoritarianism / Loss of Privacy
6. Cross-border ICT Service Providers as a Single Point of Failure
7. Advanced Disinformation / Influence Operations (IO) Campaigns
8. Rise of Advanced Hybrid Threats
9. Abuse of AI
10. Physical Impact of Natural/Environmental Disruptions on Critical Digital Infrastructure

La situazione non è rosea e quanto riportato nel report rigardo lo skill Shortage non è che l'ennesimo grido di dolore che si può sentire ad ogni conferenza. Il problema è: cosa si sta facendo per risolverlo? Sono tanti i fattori che contribuiscono e non è possibile affrontarli in poche righe. Fatto stà che vi sono paesi in cui è più sentito ed altri in cui sembra non essere ancora compreso. Probabilmente tra questi ultimi c'è l'Italia. Se molti italiani lavorano all'estero per multinazionali del software un motivo ci sarà. Occorrerebbe indagare attentamente sui motivi e cercare di far rientrare chi sta fuori, non è certo la soluzione al problema ma rappresenterebbe un passo avanti per la nostra nazione.

La lettura di questa lista mi spinge ad alcune mie considerazioni:

- lo skill shortage è una minaccia che fino ad ora era sottovalutata. A mio parere merita sicuramente i uno dei primi posti nella classifica. Non sarà facile mettersi alla pari in quanto i sistemi divengono sempre più complessi e gli sviluppatori sono pressati da esigenze di mercato. Le scuole non riescono a tenere il passo coi tempi e spesso sono troppo teoriche e poco pratiche.

- l'AI e i rischi ad essa collegati si trova al nono posto. Se pensiamo agli sviluppi recenti e alla diffusione di strumenti che fanno uso dell'AI non posso che non concordare. A mio parere nel 2030 l'abuso dell'AI sarà la minaccia numero uno!

- i punti 5 e 7 li metterei assieme e sempre secondo il mio parere dovrebbero prendere la posizione numero due, dato che già oggigiorno non vi è praticamente alcune attività nella quale non vi sia una forma di sorveglianza. Per quanto riguarda la disinformazione, lascio ad ognuno le proprie considerazioni.

- subito dopo inserirei invece l'aumento della cattiva programmazione e la sempre crescente disattenzione alla sicurezza da parte dei produttori di software. La frenetica ricerca di novità a scapito della stabilità del prodotto porta soprattutto a sempre nuovi bug con conseguente impatto sulla sicurezza.

Mi fermo qui, consigliandovi la lettura dello studio ENISA, un documento ben fatto e sicuramente interessante, nonostante io non concordi su alcuni aspetti.

Alessandro RUGOLO 

Per approfondire:

- https://www.enisa.europa.eu/news/skills-shortage-and-unpatched-systems-soar-to-high-ranking-2030-cyber-threats

- https://www.weforum.org/agenda/2024/04/cybersecurity-industry-talent-shortage-new-report/

Dropbox Sign hackerata!

Qualche giorno fà su Bloomberg è stata riportata la notizia dell'hackeraggio del prodotto di firma digitale di Dropbox, Dropbox Sign.

Per i meno addentro nel mondo cyber ricordiamo che Dropbox è un servizio di Cloud Storage e Dropbox Sign è la sua soluzione per la firma digitale. I prodotti prendono il nome dalla società Dropbox Inc., fondata nel 2007 da Drew Houston e Arash Ferdowsi, con sede in San Francisco, California. 

Dropbox nel 2023 ha superato i 700 milioni di utenti registrati in 180 paesi del mondo.

Gli hacker sono riusciti ad accedere ad informazioni, tra cui emails, user name e numeri di telefono degli utenti ma non solo, in quanto per un certo numero di essi sono state rubate anche gli hash delle password e informazioni di autenticazione.

La società ha rilasciato le prime informazioni il 1° maggio, riportando che i suoi tecnici si sono accorti dell'attacco il 24 aprile. Secondo quanto riportato l'attaccante è riuscito a compromettere un account di servizio, cioè un tipo di account utilizzato per gestire applicazioni e servizi automatizzati che ha accesso a varie funzionalità del sistema. Tale account era dotato di privilegi particolari all'interno dell'ambiente di produzione di Dropbox Sign e questo ha consentito all'attaccante di compiere azioni di un certo rilievo all'interno del sistema. Da li a passare al database dei clienti dell'azienda Dropbox il passo è stato breve! 

Purtoppo si tratta di un incidente di sicurezza che potrebbe avere conseguenze significative per i clienti e per l'azienda.

Con l'avvento del Cloud questo tipo di incidenti sono sempre più numerosi, nonostante le indubbie capacità gestionali dei grandi provider. Purtroppo la loro dimensione è un vantaggio da una parte ed uno svantaggio sull'altro lato della medaglia in quanto creano enormi concentrazioni di dati appetibili ai malintenzionati.

 

Ancora non è chiaro chi sia l'autore di questo attacco e probabilmente dovremo attendere ancora per avere maggiori informazioni.

Alessandro e Francesco Rugolo

Per approfondire:

- https://www.bnnbloomberg.ca/dropbox-says-hackers-breached-digital-signature-product-1.2067721

- https://sign.dropbox.com/blog/a-recent-security-incident-involving-dropbox-sign

- https://www.dropbox.com/it/features

- https://www.dropbox.com/it/sign

- https://www.statista.com/statistics/819605/number-of-paying-dropbox-users/

- https://techreport.com/statistics/dropbox-statistics/

Adversarial SQLi attack. Solo il nome fa paura!

Ho già parlato in diverse occasioni di attacchi del tipo SQL Injection e questo non è che una evoluzione, ma prima di proseguire e per rinfrescarci la memoria potrebbe essere utile andare a rivedere questi articoli: SQL Injection: di che si tratta?, SQL Injection, sempre attuale nonostante l'età e Come ingannare le difese per fare un attacco SQL con JSON.

Dato che gli attacchi SQLi sono sempre in testa alle classifiche, allo scopo di migliorare le tecniche di difesa, i ricercatori di sicurezza hanno approfondito questo tipo di attacco concentrandosi in particolare su alcune tecniche di detection basate su due paradigmi:

- detection tramite signature;

- Machine Learning detection.

Mentre per le tecniche basate su signature è chiaro che un attacco viene individuato se la signature è presente nel database di firme malevole, per quanto riguarda la detection tramite algoritmi ML c'è molto da dire. 

Quest'ultima categoria infatti cerca di individuare gli attacchi SQLi grazie all'addestramento cui è stato sottoposto l'algoritmo di ML. 

Per cercare di evitare di essere individuati dagli algoritmi di Machine Learning detection gli attaccanti hanno inventato una nuova tecnica di attacco chiamata per l'appunto Adversarial SQLi attack.

Cerchiamo ora di capire che cosa sia un Adversarial SQLi Attack, come funziona un attacco di questo tipo e come lo si può contrastare.

Cominciamo come al solito dall'inizio, la definizione di Adversarial SQLi Attack.

Per Adversarial SQLi Attack si intende un attacco di tipo SQL injection costruito appositamente per non essere individuato da modelli di Machine Learning che si occupano di contrastare attacchi SQLi. 

In pratica si tratta di un tipo di attacco che sfrutta le vulnerabilità dell'addestramento del modello ML impiegato da strumenti come i Web Application Firewall (WAF) per individuare gli attacchi di tipo SQL Injection. 

Consiste nel modificare un payload malevolo (codice malevolo usato per l'attacco SQLi) affinchè il modello di ML utilizzato nei WAF non lo classifichi come tale ma come una richiesta legittima. Ma come è possibile aggirere gli algoritmi di Machine Learning?

Occorre sapere che la maggior parte dei WAF open source, ma spesso anche quelli proprietari, si basano su un set di regole chiamato Core Rule Set (CRS), sviluppato da Open Web Application Security Project (OWASP). OWASP ha anche sviluppato un WAF open source, ModSecurity, che è spesso integrato in altri sistemi. In pratica la maggior parte dei sistemi di detection di SQLi si basa sul CRS. Ma siamo sicuri che ciò sia un bene? 

La risposta sembra essere negativa. Secondo le risultanze di alcuni test le regole CRS portano in alcuni casi ad avere un elevato numero di falsi positivi, in pratica richieste legittime vengono scambiate per attacchi di tipo SQLi, provocando disservizio. Inoltre ModSecurity è altamente vulnerabile a attacchi di tipo Adversarial.

Ma come è possibile difendersi da questo tipo di attacco?

Per cercare di risolvere questi problemi sono stati seguiti diversi approcci tra cui quello conosciuto come AdvModSec, che consiste nell'addestrare il modello ML agli attacchi di tipo Adversarial, ovvero a riconoscere le varianti di un attacco SQLi. Il nuovo modello così addestrato sarà capace di riconoscere gli attacchi SQLi e voro varianti e a ridurre il numero di falsi positivi, avendo in definitiva un sistema di detection più efficace.

Alessandro RUGOLO

Per approfondire:

- https://arxiv.org/abs/2308.04964

- https://owasp.org/www-project-modsecurity/

- https://dl.acm.org/doi/10.1109/TIFS.2024.3350911

- https://davideariu.substack.com/p/the-rise-and-fall-of-modsecurity

- https://www.sciencedirect.com/science/article/abs/pii/S0065245815000649

Attacco XXE injection: cos'è e come prevenirlo

Immagine tratta da https://abu-talha.medium.com/xml-external-entity-xxe-attacks-understanding-and-mitigating-the-threat-e000e4ae385c

Quando si parla di XXE injection si fa riferimento ad una vulnerabilità web molto diffusa che permette ad un hacker di impossessarsi dei dati nei nostri server o di procedere con una cosiddetta “escalation” dell’attacco che potrebbe compromettere il server attaccato e altre infrastrutture ad esso collegate.

Prima di tutto vediamo cosa vuol dire XXEi ossia XML external entity injection. Per spiegare come funziona dobbiamo però sapere cos'è l’XML, acronimo di eXtensible Markup Language.

In breve, in informatica l’XML è un linguaggio usato per definire elementi e il loro significato all’interno di un testo. XML è estensibile ossia permette di definire dei tag personalizzati, tag che organizzano e definiscono ciò che si trova nel nostro documento.

All’interno del documento XML un oggetto può essere rappresentato attraverso una “entità” invece di utilizzare l’oggetto in sé.

Nel file DTD (document type definition) vi sono tutte le specifiche che definiscono le tipologie di dati che il nostro documento XML può contenere, i valori che gli possono essere assegnati ed altro ancora.

XML permette la creazione di entities o la possibilità di importarne di esterne, ed eccoci giunti alla definizione di external entities.

Le external entities sono delle entità non definite dal nostro DTD ma completamente esterne ad esso e vengono specificate attraverso un URL dal quale vengono caricate nell’applicazione.

Ora non è difficile capire i rischi che questa procedura potrebbe comportare verso i nostri sistemi.

Gli attacchi più comuni che sfruttano questa vulnerabilità puntano alla sottrazione di dati e password dai nostri database ma lo scenario più grave si presenta quando questa vulnerabilità viene utilizzata per portare un attacco di tipo Server-Side Request Forgery o in breve SSRF.

L’SSRF è un attacco nel quale una applicazione appartenente al server può venire utilizzata dall’hacker per avviare delle richieste verso qualunque indirizzo web e portare ad una compromissione inizialmente del server attaccato e in seguito di ogni infrastruttura ad esso collegata e potenzialmente vulnerabile.

L’XXEi ha come bersaglio principale le applicazioni che svolgono il parsing (ossia una analisi dei componenti) dell’XML che presentano una configurazione debole, applicazioni che accettano XML da fonti non fidate e applicazioni che non disabilitano l’utilizzo delle external entities.

Per scongiurare la maggior parte degli attacchi esistono tutta una serie di best practices tra le quali possiamo menzionare:

- la procedura di whitelisting a livello server, che ha lo scopo di bloccare ogni input che non rispetta i nostri standard di sicurezza;

- eseguire una validazione del dato XML;

- bloccare l’opzione dei parser XML di accettare entità esterne, ovvia ma spesso non utilizzata.

Con questi semplici accorgimenti è possibile prevenire una grande percentuale degli attacchi di tipo XXE.

Per trovare eventuali vulnerabilità di questo tipo possiamo in ogni caso utilizzare uno strumento molto utile e potente, chiamato Burp Suite, un software in grado di mappare le vulnerabilità di una applicazione web ed analizzarne le caratteristiche.

In ogni caso è sempre utile ricordarsi che la maggior parte degli attacchi è dovuta alla presenza di vulnerabilità nel software, riconducibili ad errori dei programmatori che non sempre sono adeguatamente preparati per lo sviluppo sicuro ecco perchè sempre più spesso si sente parlare di formazione per DevOps e DevSecOps, concetti strettamente legati allo sviluppo software e alla sicurezza.

Francesco RUGOLO

 

Sitografia:

https://owasp.org/www-community/vulnerabilities/XML_External_Entity_(XXE)_Processing

https://portswigger.net/burp/documentation

https://www.redhat.com/it/topics/devops

- https://www.pluribus-one.it/it/servizi/formazione/offerta-formativa-2

- https://owasp.org/www-project-devsecops-guideline

- https://abu-talha.medium.com/xml-external-entity-xxe-attacks-understanding-and-mitigating-the-threat-e000e4ae385c

Cross-Site Request Forgery (CSRF), Explained with Real-World ExampleS

This is an official writeup for the TryHackMe room: Cross-Site Request Forgery. 

In the world of cybersecurity, there's a malicious technique that blends technical prowess with psychological manipulation: it's known as Cross-Site Request Forgery, or CSRF for short.

Let's delve into understanding how this attack operates. Essentially, CSRF involves tricking a user of a website or web service into executing unintended actions on the site where they're already authenticated.

Picture this scenario: a user, perhaps browsing their online banking portal, gets lured into clicking a seemingly innocuous link shared by an attacker. Unbeknownst to them, this click triggers a request to transfer funds from their account to the attacker's. The user, who was authenticated on the banking site, unwittingly becomes an accomplice to the cybercrime.

This type of attack preys on the implicit trust that a website places in actions performed by an authenticated user, utilizing session cookies for authentication without verifying the user's identity for each action. And while this might seem like a remote threat, the consequences can be dire, ranging from financial losses to reputational damage for both users and organizations.

To mitigate this risk, developers employ various techniques:

• Implementing CSRF Tokens: These are unique session tokens appended to each HTTP request, enabling the server to authenticate the user for every action. Without possessing the token, attackers are thwarted from executing CSRF attacks.
• Leveraging SameSite Attributes: By configuring cookies with the "Strict" attribute, browsers refrain from including them in requests originating from other sites, bolstering security.
• Utilizing Nonces: A nonce, or number used once, is a random and unique value generated by the server for specific operations. Users include the received nonce with their requests, which the server verifies for authenticity. If the nonce is invalid or has been previously used, the server rejects the request, safeguarding against CSRF attacks.

While these measures provide a layer of defense, it's crucial for developers not to rely solely on one method. Employing multiple techniques can fortify applications against sophisticated attacks that may circumvent individual safeguards.

Real-world examples of CSRF attacks underscore the importance of understanding and safeguarding against this threat. From compromised banking accounts to unauthorized transactions, the implications are far-reaching and necessitate proactive security measures.

In conclusion, if you're intrigued by the intricacies of CSRF and wish to fortify your applications against such threats, resources like OWASP offer comprehensive guides on understanding, testing, and preventing CSRF attacks. By staying informed and implementing robust security protocols, we can collectively mitigate the risks posed by CSRF and safeguard the integrity of online systems.

Alessandro Rugolo

 

https://www.redhotcyber.com/post/cross-site-request-forgery-spiegato-per-tutti/