L’82% dei siti dei Comunali risulta facilmente attaccabile da hackers

Su un campione di 150 siti istituzionali di Comuni italiani, ben 123 (l’82%) risultano vulnerabili ad attacchi di brute force.

Sicurezza dei siti dei comuni
Siti comunali esposti a rischi di sicurezza

Il test è stato eseguito con il semplice scopo di individuare la login page che permette di amministrare il sito, nell’82% dei casi il percorso per accedere al pannello di amministrazione era quello di default quindi conoscibile da chiunque (es. /wp-admin per WordPress, /system/login per siti realizzati su OpenCMS ecc.), quindi i files sono stati semplicemente caricati sul server senza alcuna modifica.

open CMS, sicurezza login page

In tutti i casi di installazioni di default non abbiamo rilevato alcun blocco per contrasto di possibili attacchi di brute force (es. con capcha), in altre parole un algoritmo potrebbe tentare di generare admin e password e permettere a terzi non autorizzati di avere il pieno controllo di tutte le funzionalità del sito, inclusa la possibilità di modificare le pagine web ad esempio iniettando malware esponendo quindi tutti i cittadini ad epidemie di infezioni digitali, oppure di utilizzare il webserver per caricare files illegali.

Non è l’unica e nemmeno la più pericolosa vulnerabilità che possiamo riscontrare su un sito web, sicuramente è una delle più semplici da individuare tentando casualmente il percorso di default, ma la scarsa sensibilità alla sicurezza soprattutto su siti di informazione per i cittadini fortemente visitati, dovrebbe far riflettere.

trojan in camscanner

Camscanner infettata da malware (trojan)

Cam Scanner è una delle più popolari app per la scansione dei documenti, installata su più di 100 milioni di dispositivi. L’app in fase di lancio era rilasciata in versione freeware, in un secondo tempo camscanner (www.camscanner.com) ha aggiunto un modulo che mostra banner pubblicitari.

Kaspersky società russa esperta di sicurezza informatica ha rilevato un bug nel modulo adv che ha permesso agli hacker di installare un malware di tipo trojan dropper che installava moduli spia o adware all’insaputa dell’utilizzatore.

Trattasi di una vulnerabilità molto pericolosa, camscanner dichiara di avere ripulito le librerie e in questi giorni google play sta avvisando di rimuovere le vecchie versioni sui dispositivi.

Wordpress update

WordPress aggiornamento di sicurezza 5.2.3

E’ stato rilasciato il 6 settembre 2019 la release 5.2.3 per WordPress.
Cosa c’è di nuovo in questa ultima release ?
Oltre al fixing di bugs nel codice di programmazione, l’aggiornamento installa l’ultima versione di JQuery.
Sono state corrette le seguenti vulnerabilità:

  • Cross site Scripting ( XSS ) vulnerabilità nelle anteprime del modulo commenti
  • Cross site Scripting ( XSS ) vulnerabilità nel modulo commenti salvati
  • Sanitizzazione di URL che possono essere aperti da redirect
  • Cross site scripring riflesso nelle operazioni di upload di files multimediali
  • Cross site Scripting nelle anteprime degli shortcode
  • Cross site Scripting riflesso nel cruscotto del pannello di amministrazione
  • Sanitizzazione di URL che possono portare ad attacchi XSS

E’ altamente consigliato l’update alla nuova release presente anche in lingua italiana.

La lista dei bugs corretti è disponibile sul sito ufficiale al seguente link :
https://core.trac.wordpress.org/query?status=closed&resolution=fixed&milestone=5.2.3&order=priority

Libre office vulnerabilità

Libre office scoperte vulnerabilità

art1

LibreOffice è una suite per ufficio gratuita e open source alternativa ai prodotti Office di Microsoft. Sono state scoperte tre vulnerabilità nel codice di programmazione che possono permettere agli hackers di attaccare i dispositivi nei quali è presente la suite: (CVE-2019-9850, CVE-2019-9851, CVE-2019-9852) questi bugs possono permettere l’esecuzione di codice Python arbitrario.

Per fare il fixing dei bugs è necessario aggiornare il software alla versione 6.3.0.

Per maggiori informazioni su queste vulnerabilità è possibile consultare i seguenti avvisi di sicurezza di LibreOffice (in Inglese):