Cos'è l'attacco Local File Inclusion (LFI)

Chi si avvicina alla cyber security potrebbe essere disturbato dalle centinaia di termini non certo di uso comune che si troverà di fronte.

Se vi dico "attacco Local File Inclusion" sarà difficile capire di che si tratta solo dal nome, ecco quindi che provo a spiegarlo.

Local File Inclusion, anche abbreviato in LFI, è una vulnerabilità web dovuta ad errori di programmazione presenti nel sito o servizio web. La presenza di questo tipo di vulnerabilità consente all'attaccante di inserire nel sito dei file o applicazioni maligne che potranno essere eseguite successivamente sul sito stesso. Questo tipo di vulnerabilità non è molto comune ma può essere molto pericolosa e in alcuni casi può facilitare altri tipi di attacchi come il Cross Site Scripting o Remote Code Execution.

Ma ora cerchiamo di capire come funzione LFI.

Quando un'applicazione web non implementa adeguati controlli di sicurezza sulle richieste in ingresso, un utente malintenzionato potrebbe sfruttare questa vulnerabilità per passare come input un percorso di file locale o uno script malevolo attraverso una richiesta HTTP. Se l'applicazione non gestisce correttamente questa richiesta e include il file specificato dall'utente senza verificare la sua legittimità, si apre la porta a un attacco di Local File Inclusion. Una volta incluso il file, l'attaccante potrebbe ottenere informazioni sensibili, eseguire codice dannoso o compromettere il sistema. 

Se ci pensate si tratta di un attacco concettualmente simile alle SQL Injection di cui abbiamo parlato tante volte, però non sfrutta SQL come vettore ma HTTP e sfrutta input non adeguatamente validati o filtrati per eseguire azioni non autorizzate.

Come si può prevenire e mitigare questo tipo di attacco?

Esistono diversi metodi per prevenire questo tipo di attacco, vediamo i più comuni:

- Validazione dell'input: verificare che l'applicazione web validi e filtri correttamente gli input degli utenti, inclusi parametri URL, cookie e dati inviati tramite form;

- Limitazione dell'accesso ai file: impostare le autorizzazioni sui file e sulle directory in modo rigoroso, consentendo solo l'accesso necessario all'applicazione e riducendo al minimo i privilegi dei file sensibili;

- Utilizzo di percorsi assoluti anziché relativi: quando l'applicazione include file locali, utilizza percorsi assoluti anziché percorsi relativi. In questo modo, l'applicazione non dipende dal contesto in cui è stata richiamata;

- Whitelisting delle risorse: limitare le risorse che l'applicazione può includere tramite LFI utilizzando un elenco "whitelist";

- Utilizzo di framework e librerie sicure: utilizzare framework e librerie di sviluppo web sicure e aggiornate che integrino misure di sicurezza per prevenire le vulnerabilità più comuni;

- Monitoraggio e logging: implementare un robusto sistema di monitoraggio e logging per registrare le attività sospette o potenzialmente dannose.

- Formazione e consapevolezza: formare gli sviluppatori e il personale IT sulla sicurezza delle applicazioni web e sulle best practices aiuta alla prevenzione;

- Assegnazione di ID: memorizzare i percorsi dei file in un database sicuro e assegnare loro un ID univoco a ciascuno. In questo modo, gli utenti vedono solo l'ID e non hanno accesso diretto ai percorsi dei file, riducendo così il rischio di manipolazione da parte di un aggressore;

- Utilizzo di database: evitare di includere direttamente file sul server web che potrebbero essere compromessi e, invece, memorizzare i dati sensibili o le risorse in un database.

- configurazioni del server: configurare il server in modo che invii automaticamente intestazioni di download per i file anziché eseguirli direttamente nella directory specificata. Questo previene l'esecuzione accidentale di file potenzialmente dannosi e la perdita di dati.

Per finire, utilizzare un Web Application Firewall (WAF) può essere estremamente utile nella mitigazione degli attacchi di Local File Inclusion e in generale nella protezione delle applicazioni web da una grande varietà di minacce. In generale un buon WAF può contribuire a mitigare gli attacchi LFI grazie alle sue capacità di analisi e filtraggio delle richieste HTTP in ingresso, di validazione dell'input e di protezione dei file sensibili.

Implementando queste misure preventive e mantenendo costantemente aggiornate le difese dell'applicazione, è possibile ridurre significativamente il rischio di successo di un attacco di Local File Inclusion.

Qualche caso reale?

Ci si potrebbe aspettare che questo tipo di attacco sia recente, niente di più sbagliato!

Nel 2005 il worm Samy si diffuse su MySpace, una popolare piattaforma di social media, sfruttando una combinazione di cross-site scripting (XSS) e Local File Inclusion (LFI). Samy sfruttò un LFI per includere del codice JavaScript dannoso da un file locale, diffondendo così il malware tra gli utenti di MySpace.

Più recente l'attacco conosciuto come Panama Papers data leak, del 2016, dove sembra sia stata utilizzata una combinazione di diverse tecniche tra cui anche LFI. Con questo attacco furono esfiltrate 4,8 milioni di email, 3 milioni di record di DB e 2 milioni di file PDF., circa 20 volte il più famoso WikiLeaks.

Da allora sono diversi gli attacchi di una certa rilevanza messi in opera con tale tecnica e continuano ancora oggi.

Ecco perchè è così importante implementare controlli di sicurezza robusti per mitigare questo tipo di minaccia.

Alessandro Rugolo

Sitografia

- https://www.acunetix.com/blog/articles/local-file-inclusion-lfi/

- https://brightsec.com/blog/local-file-inclusion-lfi/

- https://www.hackers-arise.com/post/2018/08/01/confessions-of-a-professional-hacker-how-hackers-obtained-the-secrets-of-the-panama-paper

- https://www.hackingarticles.in/comprehensive-guide-to-local-file-inclusion/

- https://seerbox.it/white-paper/

- https://owasp.org/www-project-web-security-testing-guide/v42/4-Web_Application_Security_Testing/07-Input_Validation_Testing/11.1-Testing_for_Local_File_Inclusion

Si riunisce in Italia il gruppo di lavoro Cyber del G7

Nato nel 2015 per dare continuità ai lavori sulle policy e strategie in ambito cyber per il mondo finanziario tra i paesi del G7, il gruppo comprende membri provenienti dal mondo bancario e finanziario di sette paesi:

- Canada (Bank of Canada, Department of Finance Canada,Office of the Superintendent of Financial Institutions);

- Francia (Directorate General of the Treasury, Prudential Supervision and Resolution Authority);

- Germania (Deutsche Bundesbank, Federal Financial Supervisory Authority, Federal Ministry of Finance);

- Italia (Banca d'Italia, CONSOB (Commissione Nazionale per le Societa e la Borsa), Ministero dell'Economia e Finanze);

- Giappone (Bank of Japan, Financial Services Agency, Japanese Ministry of Finance);

- Regno Unito (Bank of England, Financial Conduct Authority, His Majesty’s Treasury);

- Stati Uniti (Department of the Treasury, Federal Reserve Board of Governors,Securities and Exchange Commission).

In aggiunta ai membri del G7, ne fa parte l'Unione Europea (European Banking Authority, European Central Bank, European Commission).

Nei giorni scorsi si è riunito sotto la presidanza di ACN per affrontare alcuni dei temi più importanti del panorama cyber attuale, in particolare:

- interdipendenza tra cybersecurity e intelligenza artificiale. E' infatti di vitale importanza conoscere le opportunità che questa tecnologia offre e governare il rischio che ne deriva;

- policy per rafforzare la sicurezza e la resilienza dell’ecosistema digitale;

- maggiore collaborazione tra i paesi coinvolti, per rafforzare la sicurezza informatica delle infrastrutture in settori critici per la società e l’economia, incluso quello energetico.

Alcune brevi considerazioni:

- si continua a parlare di cyber security nei tavoli di lavoro ad altissimo livello, si continuano a scrivere norme e a dettare obblighi, ma cosa si sta facendo per portare l'argomento sui banchi delle scuole? Cosa si sta facendo per preparare gli insegnanti affinchè possano capire e spiegare le nuove tecnologie e i rischi correlati? Dalle richieste che mi arrivano sempre più frequenti direi niente!

- le problematiche legate alla cyber security sono note ormai da piu di vent'anni e sembra che non siano stati fatti grossi passi avanti, anzi. La sempre maggiore dipendenza della nostra società da strumenti digitali è uno dei principali fattori di rischio. Cosa potrebbe accadere se un giorno ci si svegliasse e non si avesse più a disposizione alcuno strumento digitale? Se un attacco particolarmente potente dovesse mettere in ginocchio contemporaneamente i principali sistemi informatici e di telecomunicazioni per un periodo di 10 giorni, la nostra società sarebbe in grado di garantire la sopravvivenza delle persone? Probabilmente no!

Si tratta di domande provocatorie ma penso che siano le domande giuste da seguire per tracciare la strada per un futuro più sicuro.

Alessandro Rugolo

Per approfondire:

- https://www.cybersecitalia.it/g7-cyber-frattasi-acn-infosharing-su-minacce-e-misure-per-difendere-le-nostre-democrazie/33631/

- https://home.treasury.gov/policy-issues/international/g-7-and-g-20/g7-cyber-expert-group

Ascension hacked

Cosa è successo.

9 maggio 2024, viene denuciato l'hackeraggio di alcuni sistemi informatici di ASCENSION, uno dei più grandi operatori sanitari statunitensi che gestisce 140 ospedali in 19 stati diversi fornendo, nel solo 2023, servizi di assistenza alle persone indigenti per un valore di 2,2 miliardi di dollari.

L'organizzazione ha informato che dopo aver scoperto attività anomale nel sistema di rete, ha immediatamente assunto un operatore di sicurezza, Mandiant, per gestire il problema e ha informato le forze dell'ordine. Sono ancora in corso le indagini per verificare se vi sia stata sottrazione di dati.

Il blocco di alcuni sistemi, a seguito del rilevamento di attività anomale, ha portato l'organizzazione saniataria ad una temporanea gestione manuale di alcune pratiche, procedura d'emergena che secondo la Ascension, è prevista ed esercitata proprio per occasioni simili.

Molti partner commerciali e fornitori si sono dovuti disconnettere dai sistemi di Ascension, per evitare ulteriori problemi.

Dai primi dati sembra che l'attacco, di tipo ransomware, sia opera della cybergang BlackBasta, la stessa gang che poche settimane prima ha messo in crisi Synlab in Italia. Che vi sia qualche correlazione è presto per dirlo, ciò che è certo è che la sanità è sempre più presa di mira. Questo è l'ennesimo attacco contro sistemi sanitari, e probabilmente non l'ultimo. La sempre maggiore complessità dell'ecosistema sanitario mondiale, la sua diversità, l'enorme superficie d'attacco esposta, la scarsità di personale e l'insufficiente preparazione tecnica dei team di sicurezza, rischiano di compromettere la salute di tutti.

Non stiamo parlando di giochetti tipo defacement di un sito o blocco temporaneo di un servizio online, ma di qualcosa di ben più critico: i dati dei sistemi sanitari di interi stati!

Cosa accadrebbe in Italia se il sistema informatico del 118 venisse hackerato?

Se i dati dei pazienti venissero cancellati o, peggio ancora, modificati ne andrebbero di mezzo vite umane.

Se i sistemi di gestione dei magazzini delle farmacie venissero cifrati per mezzo di un ransomware, i nostri operatori saprebbero passare a procedure manuali?

E che dire delle migliaia di studi dei medici di base distribuiti sul territorio, connessi tra loro, in un modo o nell'altro, spesso inconsapevolmente ?

Ciò che sta accadendo, purtroppo, è la dimostrazione dell'inconsistenza di una società basata sulla interconnessione e digitalizzazione a tutti i costi, senza alcuna attenzione verso la sicurezza.

Dov'è la resilienza? Dove sono i team di esperti nazionali? Dov'è di casa la sicurezza informatica, o cybersecurity che dir si voglia?

Alessandro Rugolo

Sitografia

- Cyberattack forces major US health care network to divert ...

- Ascension Healthcare Network Cyber Attack Disrupts ...

- Ascension St. Vincent affected by cyber attack to its network

- AHA, H-ISAC warn hospitals about Black Basta following ...

- Ascension, owner of 15 Michigan hospitals, confirms ...

- https://www.beckershospitalreview.com/cybersecurity/how-the-ransomware-group-linked-to-ascension-hack-operates.html

 

World of Warships: un po' di storia

World of Warships è un MMO (Massively Multiplayer Online) game sviluppato dalla società cipriota Wargaming e rilasciato al pubblico il 17 settembre 2015, dopo circa quattro anni di studio, sviluppo e test. Il gioco è del tipo  "freemium" (ovvero free + premium) e può essere giocato gratuitamente ma se si vuole è possibile acquistare funzionalità aggiuntive per andare avanti più velocemente.

La Wargaming aveva precedentemente rilasciato altri due giochi dello stesso genere, World of Tanks e World of Warplanes. Con l'uscita di World of Warship viene così completata la trilogia. 

Il gioco era stato inizialmente studiato per il sistema operativo Microsoft Windows ma negli anni seguenti è stato adattato a diversi sistemi operativi, successivi seguirono versioni per iOS, Android, Playstation e Xbox.

Secondo Rajeev Girdhar (il responsabile della produzione) il gioco è ispirato alle meraviglie tecnologiche per guerra navale del ventesimo secolo e le navi sono realizzate sulla base dei documenti e progetti ufficiali.

Attualmente gli utenti del gioco sono stimati in circa cinque milioni di cui 500 mila utenti attivi, ma qualche anno fa sono arrivati ad essere circa 50 milioni.

Il gioco offre l'emozione di scontri navali epici con le armi più potenti mai prodotte, richiedendo un approccio strategico e gioco di squadra per superare gli avversari. 

La modalità di gioco più popolare consiste nel mettere in campo due squadre da 12 giocatori.

Le battaglie spesso si svolgono in mare aperto e ogni mossa deve essere pianificata con attenzione in anticipo per sfruttare al meglio i punti di forza della propria nave. 

 

Per approfondire:

- https://wiki.wargaming.net/en/World_of_Warships

- https://wargaming.com/en/ 

- https://www.redbull.com/au-en/how-world-of-warships-sails-across-history-and-fun

- https://playtracker.net/insight/game/6293

- https://gaming.lenovo.com/us/explore/news/b/news/posts/exclusive-interview-world-of-warships/

- https://worldofwarships.com/it/

ENISA e Cybersecurity skill shortage, facciamo il punto

Secondo quanto riportato nei media occidentali la società digitale stà attraversando un periodo di forte crescita e allo stesso tempo di crisi riguardo l'aspetto sicurezza, ma non si tratta di un nuovo malware ma dello "skill shortage".

Secondo il recente rapporto ENISA, il "Foresight Cybersecurity Threats for 2030", subito dopo gli attacchi alla Supply Chain la minaccia numero due alla società del 2030 è infatti posta dallo skill shortage.

Ma diamo uno sguardo assieme alla top ten:

1. Supply Chain Compromise of Software Dependencies
2. Skill Shortage
3. Human Error and Exploited Legacy Systems Within Cyber-Physical Ecosystems
4. Exploitation of Unpatched and Out-of-date Systems within the Overwhelmed Cross-sector Tech Ecosystem
5. Rise of Digital Surveillance Authoritarianism / Loss of Privacy
6. Cross-border ICT Service Providers as a Single Point of Failure
7. Advanced Disinformation / Influence Operations (IO) Campaigns
8. Rise of Advanced Hybrid Threats
9. Abuse of AI
10. Physical Impact of Natural/Environmental Disruptions on Critical Digital Infrastructure

La situazione non è rosea e quanto riportato nel report rigardo lo skill Shortage non è che l'ennesimo grido di dolore che si può sentire ad ogni conferenza. Il problema è: cosa si sta facendo per risolverlo? Sono tanti i fattori che contribuiscono e non è possibile affrontarli in poche righe. Fatto stà che vi sono paesi in cui è più sentito ed altri in cui sembra non essere ancora compreso. Probabilmente tra questi ultimi c'è l'Italia. Se molti italiani lavorano all'estero per multinazionali del software un motivo ci sarà. Occorrerebbe indagare attentamente sui motivi e cercare di far rientrare chi sta fuori, non è certo la soluzione al problema ma rappresenterebbe un passo avanti per la nostra nazione.

La lettura di questa lista mi spinge ad alcune mie considerazioni:

- lo skill shortage è una minaccia che fino ad ora era sottovalutata. A mio parere merita sicuramente i uno dei primi posti nella classifica. Non sarà facile mettersi alla pari in quanto i sistemi divengono sempre più complessi e gli sviluppatori sono pressati da esigenze di mercato. Le scuole non riescono a tenere il passo coi tempi e spesso sono troppo teoriche e poco pratiche.

- l'AI e i rischi ad essa collegati si trova al nono posto. Se pensiamo agli sviluppi recenti e alla diffusione di strumenti che fanno uso dell'AI non posso che non concordare. A mio parere nel 2030 l'abuso dell'AI sarà la minaccia numero uno!

- i punti 5 e 7 li metterei assieme e sempre secondo il mio parere dovrebbero prendere la posizione numero due, dato che già oggigiorno non vi è praticamente alcune attività nella quale non vi sia una forma di sorveglianza. Per quanto riguarda la disinformazione, lascio ad ognuno le proprie considerazioni.

- subito dopo inserirei invece l'aumento della cattiva programmazione e la sempre crescente disattenzione alla sicurezza da parte dei produttori di software. La frenetica ricerca di novità a scapito della stabilità del prodotto porta soprattutto a sempre nuovi bug con conseguente impatto sulla sicurezza.

Mi fermo qui, consigliandovi la lettura dello studio ENISA, un documento ben fatto e sicuramente interessante, nonostante io non concordi su alcuni aspetti.

Alessandro RUGOLO 

Per approfondire:

- https://www.enisa.europa.eu/news/skills-shortage-and-unpatched-systems-soar-to-high-ranking-2030-cyber-threats

- https://www.weforum.org/agenda/2024/04/cybersecurity-industry-talent-shortage-new-report/

Dropbox Sign hackerata!

Qualche giorno fà su Bloomberg è stata riportata la notizia dell'hackeraggio del prodotto di firma digitale di Dropbox, Dropbox Sign.

Per i meno addentro nel mondo cyber ricordiamo che Dropbox è un servizio di Cloud Storage e Dropbox Sign è la sua soluzione per la firma digitale. I prodotti prendono il nome dalla società Dropbox Inc., fondata nel 2007 da Drew Houston e Arash Ferdowsi, con sede in San Francisco, California. 

Dropbox nel 2023 ha superato i 700 milioni di utenti registrati in 180 paesi del mondo.

Gli hacker sono riusciti ad accedere ad informazioni, tra cui emails, user name e numeri di telefono degli utenti ma non solo, in quanto per un certo numero di essi sono state rubate anche gli hash delle password e informazioni di autenticazione.

La società ha rilasciato le prime informazioni il 1° maggio, riportando che i suoi tecnici si sono accorti dell'attacco il 24 aprile. Secondo quanto riportato l'attaccante è riuscito a compromettere un account di servizio, cioè un tipo di account utilizzato per gestire applicazioni e servizi automatizzati che ha accesso a varie funzionalità del sistema. Tale account era dotato di privilegi particolari all'interno dell'ambiente di produzione di Dropbox Sign e questo ha consentito all'attaccante di compiere azioni di un certo rilievo all'interno del sistema. Da li a passare al database dei clienti dell'azienda Dropbox il passo è stato breve! 

Purtoppo si tratta di un incidente di sicurezza che potrebbe avere conseguenze significative per i clienti e per l'azienda.

Con l'avvento del Cloud questo tipo di incidenti sono sempre più numerosi, nonostante le indubbie capacità gestionali dei grandi provider. Purtroppo la loro dimensione è un vantaggio da una parte ed uno svantaggio sull'altro lato della medaglia in quanto creano enormi concentrazioni di dati appetibili ai malintenzionati.

 

Ancora non è chiaro chi sia l'autore di questo attacco e probabilmente dovremo attendere ancora per avere maggiori informazioni.

Alessandro e Francesco Rugolo

Per approfondire:

- https://www.bnnbloomberg.ca/dropbox-says-hackers-breached-digital-signature-product-1.2067721

- https://sign.dropbox.com/blog/a-recent-security-incident-involving-dropbox-sign

- https://www.dropbox.com/it/features

- https://www.dropbox.com/it/sign

- https://www.statista.com/statistics/819605/number-of-paying-dropbox-users/

- https://techreport.com/statistics/dropbox-statistics/

Adversarial SQLi attack. Solo il nome fa paura!

Ho già parlato in diverse occasioni di attacchi del tipo SQL Injection e questo non è che una evoluzione, ma prima di proseguire e per rinfrescarci la memoria potrebbe essere utile andare a rivedere questi articoli: SQL Injection: di che si tratta?, SQL Injection, sempre attuale nonostante l'età e Come ingannare le difese per fare un attacco SQL con JSON.

Dato che gli attacchi SQLi sono sempre in testa alle classifiche, allo scopo di migliorare le tecniche di difesa, i ricercatori di sicurezza hanno approfondito questo tipo di attacco concentrandosi in particolare su alcune tecniche di detection basate su due paradigmi:

- detection tramite signature;

- Machine Learning detection.

Mentre per le tecniche basate su signature è chiaro che un attacco viene individuato se la signature è presente nel database di firme malevole, per quanto riguarda la detection tramite algoritmi ML c'è molto da dire. 

Quest'ultima categoria infatti cerca di individuare gli attacchi SQLi grazie all'addestramento cui è stato sottoposto l'algoritmo di ML. 

Per cercare di evitare di essere individuati dagli algoritmi di Machine Learning detection gli attaccanti hanno inventato una nuova tecnica di attacco chiamata per l'appunto Adversarial SQLi attack.

Cerchiamo ora di capire che cosa sia un Adversarial SQLi Attack, come funziona un attacco di questo tipo e come lo si può contrastare.

Cominciamo come al solito dall'inizio, la definizione di Adversarial SQLi Attack.

Per Adversarial SQLi Attack si intende un attacco di tipo SQL injection costruito appositamente per non essere individuato da modelli di Machine Learning che si occupano di contrastare attacchi SQLi. 

In pratica si tratta di un tipo di attacco che sfrutta le vulnerabilità dell'addestramento del modello ML impiegato da strumenti come i Web Application Firewall (WAF) per individuare gli attacchi di tipo SQL Injection. 

Consiste nel modificare un payload malevolo (codice malevolo usato per l'attacco SQLi) affinchè il modello di ML utilizzato nei WAF non lo classifichi come tale ma come una richiesta legittima. Ma come è possibile aggirere gli algoritmi di Machine Learning?

Occorre sapere che la maggior parte dei WAF open source, ma spesso anche quelli proprietari, si basano su un set di regole chiamato Core Rule Set (CRS), sviluppato da Open Web Application Security Project (OWASP). OWASP ha anche sviluppato un WAF open source, ModSecurity, che è spesso integrato in altri sistemi. In pratica la maggior parte dei sistemi di detection di SQLi si basa sul CRS. Ma siamo sicuri che ciò sia un bene? 

La risposta sembra essere negativa. Secondo le risultanze di alcuni test le regole CRS portano in alcuni casi ad avere un elevato numero di falsi positivi, in pratica richieste legittime vengono scambiate per attacchi di tipo SQLi, provocando disservizio. Inoltre ModSecurity è altamente vulnerabile a attacchi di tipo Adversarial.

Ma come è possibile difendersi da questo tipo di attacco?

Per cercare di risolvere questi problemi sono stati seguiti diversi approcci tra cui quello conosciuto come AdvModSec, che consiste nell'addestrare il modello ML agli attacchi di tipo Adversarial, ovvero a riconoscere le varianti di un attacco SQLi. Il nuovo modello così addestrato sarà capace di riconoscere gli attacchi SQLi e voro varianti e a ridurre il numero di falsi positivi, avendo in definitiva un sistema di detection più efficace.

Alessandro RUGOLO

Per approfondire:

- https://arxiv.org/abs/2308.04964

- https://owasp.org/www-project-modsecurity/

- https://dl.acm.org/doi/10.1109/TIFS.2024.3350911

- https://davideariu.substack.com/p/the-rise-and-fall-of-modsecurity

- https://www.sciencedirect.com/science/article/abs/pii/S0065245815000649