La Settimana Cibernetica del 10 aprile 2022
Scarica il riepilogo delle notizie pubblicate dallo CSIRT Italia dal 4 al 10 aprile 2022
by CSIRT - http://csirt.gov.it/contenuti/la-settimana-cibernetica-del-10-aprile-2022
Scarica il riepilogo delle notizie pubblicate dallo CSIRT Italia dal 4 al 10 aprile 2022
by CSIRT - http://csirt.gov.it/contenuti/la-settimana-cibernetica-del-10-aprile-2022
Spring4Shell: Analisi dello sfruttamento
(BL01/220411/CSIRT-ITA)
Ricercatori di sicurezza hanno recentemente rilevato attività malevole volte a sfruttare la vulnerabilità del framework Spring – CVE-2022-22965 denominata Spring4Shell – al fine di distribuire codice malevolo.
by CSIRT - http://csirt.gov.it/contenuti/spring4shell-analisi-dello-sfruttamento-bl01-220411-csirt-ita
(BL01/220411/CSIRT-ITA)
Ricercatori di sicurezza hanno recentemente rilevato attività malevole volte a sfruttare la vulnerabilità del framework Spring – CVE-2022-22965 denominata Spring4Shell – al fine di distribuire codice malevolo.
by CSIRT - http://csirt.gov.it/contenuti/spring4shell-analisi-dello-sfruttamento-bl01-220411-csirt-ita
Manuale d’uso del software libero nella PA: ecco perché è un freno all’adozione
Non raggiungeremo mai l’obiettivo di far adottare il software libero alla Pubblica Amministrazione fino a che i manuali saranno scritti da persone che non si sanno immedesimare nel loro lettore, che è quello che dovrebbe capire e soprattutto utilizzare i suggerimenti del manuale stesso.
https://www.agendadigitale.eu/cittadinanza-digitale/manuale-duso-del-software-libero-nella-pa-ecco-perche-e-un-freno-alladozione/
Non raggiungeremo mai l’obiettivo di far adottare il software libero alla Pubblica Amministrazione fino a che i manuali saranno scritti da persone che non si sanno immedesimare nel loro lettore, che è quello che dovrebbe capire e soprattutto utilizzare i suggerimenti del manuale stesso.
https://www.agendadigitale.eu/cittadinanza-digitale/manuale-duso-del-software-libero-nella-pa-ecco-perche-e-un-freno-alladozione/
Agenda Digitale
Manuale d'uso del software libero nella PA: ecco perché è un freno all'adozione - Agenda Digitale
La "Guida allo sviluppo e gestione di software libero” contiene molte pecche e una serie di leggerezze, a partire dall'indice e passando per linguaggio e definizioni. Con questi presupposti, si capisce la fatica degli amministratori a capire e soprattutto…
Sanata vulnerabilità nel prodotto Zoho ManageEngine ADSelfService Plus
(AL01/220411/CSIRT-ITA)
Zoho ha rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità, identificata tramite la CVE-2022-28810, nel prodotto ManageEngine ADSelfService Plus.
by CSIRT - http://csirt.gov.it/contenuti/sanata-vulnerabilita-nel-prodotto-zoho-manageengine-adselfservice-plus-al01-220411-csirt-ita
(AL01/220411/CSIRT-ITA)
Zoho ha rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità, identificata tramite la CVE-2022-28810, nel prodotto ManageEngine ADSelfService Plus.
by CSIRT - http://csirt.gov.it/contenuti/sanata-vulnerabilita-nel-prodotto-zoho-manageengine-adselfservice-plus-al01-220411-csirt-ita
Azioni di mitigazione per vulnerabilità nel prodotto NGINX
(BL01/220412/CSIRT-ITA)
NGINX ha recentemente pubblicato tre azioni di mitigazione relative a diverse vulnerabilità che interessano l’implementazione del modulo di integrazione LDAP
by CSIRT - http://csirt.gov.it/contenuti/azioni-di-mitigazione-per-vulnerabilita-nel-prodotto-nginx-bl01-220412-csirt-ita
(BL01/220412/CSIRT-ITA)
NGINX ha recentemente pubblicato tre azioni di mitigazione relative a diverse vulnerabilità che interessano l’implementazione del modulo di integrazione LDAP
by CSIRT - http://csirt.gov.it/contenuti/azioni-di-mitigazione-per-vulnerabilita-nel-prodotto-nginx-bl01-220412-csirt-ita
👍1
Vulnerabilità in prodotti Schneider Electric
(AL02/220412/CSIRT-ITA)
Sanate 2 vulnerabilità in alcuni dispositivi - anche SCADA - di Schneider Electric, che potrebbero permettere a un utente malintenzionato remoto la compromissione della disponibilità del servizio e l’esecuzione di codice arbitrario sui dispositivi target.
by CSIRT - http://csirt.gov.it/contenuti/vulnerabilita-in-prodotti-schneider-electric-al02-220412-csirt-ita
(AL02/220412/CSIRT-ITA)
Sanate 2 vulnerabilità in alcuni dispositivi - anche SCADA - di Schneider Electric, che potrebbero permettere a un utente malintenzionato remoto la compromissione della disponibilità del servizio e l’esecuzione di codice arbitrario sui dispositivi target.
by CSIRT - http://csirt.gov.it/contenuti/vulnerabilita-in-prodotti-schneider-electric-al02-220412-csirt-ita
Nuova versione di Google Chrome
(AL01/220412/CSIRT-ITA)
Nuovo aggiornamento di Google Chrome per Windows, Mac e Linux corregge 11 vulnerabilità di sicurezza.
by CSIRT - http://csirt.gov.it/contenuti/nuova-versione-di-google-chrome-al01-220412-csirt-ita
(AL01/220412/CSIRT-ITA)
Nuovo aggiornamento di Google Chrome per Windows, Mac e Linux corregge 11 vulnerabilità di sicurezza.
by CSIRT - http://csirt.gov.it/contenuti/nuova-versione-di-google-chrome-al01-220412-csirt-ita
Aggiornamenti per prodotti Siemens
(AL03/220412/CSIRT-ITA)
Siemens ha rilasciato aggiornamenti di sicurezza per correggere nuove vulnerabilità nei propri prodotti, di cui 2 con gravità “critica”.
by CSIRT - http://csirt.gov.it/contenuti/aggiornamenti-per-prodotti-siemens-al03-220412-csirt-ita
(AL03/220412/CSIRT-ITA)
Siemens ha rilasciato aggiornamenti di sicurezza per correggere nuove vulnerabilità nei propri prodotti, di cui 2 con gravità “critica”.
by CSIRT - http://csirt.gov.it/contenuti/aggiornamenti-per-prodotti-siemens-al03-220412-csirt-ita
VMware: PoC pubblico per lo sfruttamento della CVE-2022-22954
(AL05/220412/CSIRT-ITA)
Rilasciato un Proof of Concept (PoC) per la vulnerabilità CVE-2022-22954 che interessa alcuni prodotti VMware.
by CSIRT - http://csirt.gov.it/contenuti/vmware-poc-pubblico-per-lo-sfruttamento-della-cve-2022-22954-al05-220412-csirt-ita
(AL05/220412/CSIRT-ITA)
Rilasciato un Proof of Concept (PoC) per la vulnerabilità CVE-2022-22954 che interessa alcuni prodotti VMware.
by CSIRT - http://csirt.gov.it/contenuti/vmware-poc-pubblico-per-lo-sfruttamento-della-cve-2022-22954-al05-220412-csirt-ita
Aggiornamenti per prodotti Citrix
(AL04/220412/CSIRT-ITA)
Aggiornamenti di sicurezza sanano vulnerabilità presenti in alcuni prodotti Citrix.
by CSIRT - http://csirt.gov.it/contenuti/aggiornamenti-per-prodotti-citrix-al04-220412-csirt-ita
(AL04/220412/CSIRT-ITA)
Aggiornamenti di sicurezza sanano vulnerabilità presenti in alcuni prodotti Citrix.
by CSIRT - http://csirt.gov.it/contenuti/aggiornamenti-per-prodotti-citrix-al04-220412-csirt-ita
Aggiornamenti Mensili Microsoft
(AL01/220413/CSIRT-ITA)
Microsoft ha rilasciato gli aggiornamenti di sicurezza mensili che risolvono un totale di 117 nuove vulnerabilità, di cui 2 di tipo 0-day
by CSIRT - http://csirt.gov.it/contenuti/aggiornamenti-mensili-microsoft-al01-220413-csirt-ita
(AL01/220413/CSIRT-ITA)
Microsoft ha rilasciato gli aggiornamenti di sicurezza mensili che risolvono un totale di 117 nuove vulnerabilità, di cui 2 di tipo 0-day
by CSIRT - http://csirt.gov.it/contenuti/aggiornamenti-mensili-microsoft-al01-220413-csirt-ita
Sanata vulnerabilità in Apache Struts
(AL02/220413/CSIRT-ITA)
Apache Software Foundation ha rilasciato un aggiornamento di sicurezza per il prodotto Struts che sana una vulnerabilità con gravità “alta”
by CSIRT - http://csirt.gov.it/contenuti/sanata-vulnerabilita-in-apache-struts-al02-220413-csirt-ita
(AL02/220413/CSIRT-ITA)
Apache Software Foundation ha rilasciato un aggiornamento di sicurezza per il prodotto Struts che sana una vulnerabilità con gravità “alta”
by CSIRT - http://csirt.gov.it/contenuti/sanata-vulnerabilita-in-apache-struts-al02-220413-csirt-ita
Lavoro agile nella PA: cosa s’intende con “idonea dotazione”. Focus sul tema videoconferenze
Il mondo del lavoro va verso un’organizzazione ibrida. E anche nella PA, pur essendo al momento tornata prevalente la modalità in presenza, è evidente che l’esperienza della pandemia non può andare persa. L’obiettivo dichiarato è uscire dall’adozione emergenziale dello smart working e andare verso una regolamentazione, anche all’interno del contratto [...]
by ForumPA - https://www.forumpa.it/riforma-pa/smart-working/lavoro-agile-nella-pa-cosa-sintende-con-idonea-dotazione-focus-sul-tema-videoconferenze/
Il mondo del lavoro va verso un’organizzazione ibrida. E anche nella PA, pur essendo al momento tornata prevalente la modalità in presenza, è evidente che l’esperienza della pandemia non può andare persa. L’obiettivo dichiarato è uscire dall’adozione emergenziale dello smart working e andare verso una regolamentazione, anche all’interno del contratto [...]
by ForumPA - https://www.forumpa.it/riforma-pa/smart-working/lavoro-agile-nella-pa-cosa-sintende-con-idonea-dotazione-focus-sul-tema-videoconferenze/
FPA
Lavoro agile nella PA: cosa s’intende con “idonea dotazione”
Le “Linee guida per il lavoro agile” mettono in luce una necessità fondamentale dello smart working: l’idonea dotazione. Quali strumenti sono richiesti alle amministrazioni e quali sono le loro caratteristiche tecniche?
Adobe rilascia aggiornamenti per sanare diverse vulnerabilità
(AL01/220414/CSIRT-ITA)
Adobe ha rilasciato aggiornamenti di sicurezza per risolvere vulnerabilità nei prodotti Commerce, Acrobat, After Effects e Photoshop.
by CSIRT - http://csirt.gov.it/contenuti/adobe-rilascia-aggiornamenti-per-sanare-diverse-vulnerabilita-al01-220414-csirt-ita
(AL01/220414/CSIRT-ITA)
Adobe ha rilasciato aggiornamenti di sicurezza per risolvere vulnerabilità nei prodotti Commerce, Acrobat, After Effects e Photoshop.
by CSIRT - http://csirt.gov.it/contenuti/adobe-rilascia-aggiornamenti-per-sanare-diverse-vulnerabilita-al01-220414-csirt-ita
Attività malevole verso dispositivi ICS/SCADA
(BL01/220414/CSIRT-ITA)
Il Dipartimento di Energia statunitense (DOE), la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) e il Federal Bureau of Investigation (FBI) hanno recentemente pubblicato un Cybersecurity Advisory (CSA) congiunto in cui si evidenziano recenti attività malevole che potrebbero interessare dispositivi ICS/SCADA.
by CSIRT - http://csirt.gov.it/contenuti/attivita-malevole-verso-dispositivi-ics-scada-bl01-220414-csirt-ita
(BL01/220414/CSIRT-ITA)
Il Dipartimento di Energia statunitense (DOE), la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) e il Federal Bureau of Investigation (FBI) hanno recentemente pubblicato un Cybersecurity Advisory (CSA) congiunto in cui si evidenziano recenti attività malevole che potrebbero interessare dispositivi ICS/SCADA.
by CSIRT - http://csirt.gov.it/contenuti/attivita-malevole-verso-dispositivi-ics-scada-bl01-220414-csirt-ita
Disponibili aggiornamenti per prodotti CISCO
(AL03/220414/CSIRT-ITA)
Aggiornamenti di sicurezza Cisco sanano vulnerabilità su diversi prodotti, di cui una con gravità “critica”.
by CSIRT - http://csirt.gov.it/contenuti/disponibili-aggiornamenti-per-prodotti-cisco-al03-220414-csirt-ita
(AL03/220414/CSIRT-ITA)
Aggiornamenti di sicurezza Cisco sanano vulnerabilità su diversi prodotti, di cui una con gravità “critica”.
by CSIRT - http://csirt.gov.it/contenuti/disponibili-aggiornamenti-per-prodotti-cisco-al03-220414-csirt-ita
Patch Tuesday: dettagli relativi alla CVE-2022-26809
(AL02/220414/CSIRT-ITA)
Disponibili ulteriori dettagli relativi alla CVE-2022-26809 inserita nel recente Patch Tuesday di aprile.
by CSIRT - http://csirt.gov.it/contenuti/patch-tuesday-dattagli-relativi-alla-cve-2022-26809-al02-220414-csirt-ita
(AL02/220414/CSIRT-ITA)
Disponibili ulteriori dettagli relativi alla CVE-2022-26809 inserita nel recente Patch Tuesday di aprile.
by CSIRT - http://csirt.gov.it/contenuti/patch-tuesday-dattagli-relativi-alla-cve-2022-26809-al02-220414-csirt-ita
Nuova versione di Google Chrome
(AL01/220415/CSIRT-ITA)
Nuovo aggiornamento di Google Chrome per Windows, Mac e Linux corregge 2 vulnerabilità di sicurezza, di cui una di tipo 0-day.
by CSIRT - http://csirt.gov.it/contenuti/nuova-versione-di-google-chrome-al01-220415-csirt-ita
(AL01/220415/CSIRT-ITA)
Nuovo aggiornamento di Google Chrome per Windows, Mac e Linux corregge 2 vulnerabilità di sicurezza, di cui una di tipo 0-day.
by CSIRT - http://csirt.gov.it/contenuti/nuova-versione-di-google-chrome-al01-220415-csirt-ita
Risolta vulnerabilità in VMware Cloud Director
(AL02/220415/CSIRT-ITA)
VMware ha rilasciato aggiornamenti di sicurezza per sanare una vulnerabilità nel prodotto Cloud Director
by CSIRT - http://csirt.gov.it/contenuti/risolta-vulnerabilita-in-vmware-cloud-director-al02-220415-csirt-ita
(AL02/220415/CSIRT-ITA)
VMware ha rilasciato aggiornamenti di sicurezza per sanare una vulnerabilità nel prodotto Cloud Director
by CSIRT - http://csirt.gov.it/contenuti/risolta-vulnerabilita-in-vmware-cloud-director-al02-220415-csirt-ita
Risolte vulnerabilità su McAfee Agent
(AL03/220415/CSIRT-ITA)
McAfee ha pubblicato un bollettino di sicurezza contenente aggiornamenti per sanare 3 vulnerabilità sul prodotto McAfee Agent.
by CSIRT - http://csirt.gov.it/contenuti/risolte-vulnerabilita-su-mcafee-agent-al03-220415-csirt-ita
(AL03/220415/CSIRT-ITA)
McAfee ha pubblicato un bollettino di sicurezza contenente aggiornamenti per sanare 3 vulnerabilità sul prodotto McAfee Agent.
by CSIRT - http://csirt.gov.it/contenuti/risolte-vulnerabilita-su-mcafee-agent-al03-220415-csirt-ita
Sintesi riepilogativa delle campagne malevole nella settimana del 9 – 15 aprile 2022
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 52 campagne malevole, di cui 49 con obiettivi italiani e 3 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1257 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate [...]
by CERT-AgID - https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-9-15-aprile-2022/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 52 campagne malevole, di cui 49 con obiettivi italiani e 3 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1257 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate [...]
by CERT-AgID - https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-9-15-aprile-2022/
CERT-AGID
Sintesi riepilogativa delle campagne malevole nella settimana del 9 – 15 aprile 2022