Linux: Kaspersky Embedded Systems Security ora lo supporta

 
 
Tratto da www.lineaedp.it
Redazione: Redazione LineaEDP – 19/07/2023
 

Kaspersky ha presentato una soluzione specifica per dispositivi Linux-base

 

linux

 

Kaspersky ha aggiunto il supporto per Linux a Kaspersky Embedded Systems Security. Questa soluzione adattabile e multi-livello offre una protezione ottimizzata per sistemi, dispositivi e ambienti integrati basati su Linux, in conformità con i rigorosi standard normativi spesso applicabili a questi sistemi. Il prodotto garantisce una protezione ottimale a tutti i dispositivi – a prescindere dal livello di potenza – contro le ultime minacce informatiche che colpiscono gli attuali sistemi Linux. Secondo un recente report di Fortune Business Insights, il mercato globale di Linux valeva 5,33 miliardi di dollari nel 2021, ma si prevede in crescita fino a raggiungere 22,15 miliardi di dollari entro il 2029, con un tasso di incremento annuo composito del 19,8%. Concorrenziale dal punto di vista dei costi e capace di funzionare su un’ampia gamma di dispositivi hardware, Linux ha acquisito popolarità tra i sistemi embedded commerciali delle grandi aziende e delle infrastrutture critiche, tra cui banche, punti vendita al dettaglio e strutture sanitarie, e si prevede che la sua adozione crescerà significativamente nei prossimi anni.

Questa crescente diffusione sta attirando l’attenzione dei criminali informatici, che stanno sviluppando nuovi malware specializzati per queste piattaforme. Kaspersky ha registrato più di 14,5 milioni di attacchi automatici network-based su Linux nella prima metà del 2023. Questi attacchi – risultato di malware auto-distribuiti che si diffondono attraverso la rete – sono i preferiti dagli aggressori che vogliono sfruttare le vulnerabilità interne dei sistemi embedded. Nello stesso periodo, Kaspersky ha scoperto 260.000 nuovi file unici malevoli, pari a una media di oltre 1.400 nuovi file distribuiti dagli hacker ogni giorno. È chiaro che le aziende debbano impegnarsi a proteggere i propri dispositivi embedded basati su Linux.

Kaspersky ora offre un’ampia gamma di funzioni di sicurezza per rispondere alle specifiche piattaforme embedded Linux-based. Una protezione rigorosa per i dispositivi embedded autonomi (ATM, distributori automatici, ecc.) si combina con ulteriori livelli configurabili in modo flessibile, progettati per gestire le maggiori superfici di attacco dei sistemi embedded con livelli di potenza più elevati, come elettronici digitalizzati e sistemi sanitari.

Questo approccio di protezione multilivello consente di modificare l’implementazione in base a configurazioni e scenari specifici, ottimizzando le prestazioni con protezione su misura per gli scenari di minaccia rilevanti per ogni caso d’uso specifico. Il rischio di attacchi con infezione diretta su dispositivi accessibili al pubblico è contrastato da efficaci funzionalità di autoprotezione e di Integrity Monitoring. Inoltre, gli Application e Device Control prevengono gli attacchi basati sull’uso di periferiche e applicazioni non richieste e l’esecuzione di strumenti illegali. L’Integrity Monitoring, insieme alla gestione centralizzata degli eventi e all’integrazione di capacità SIEM di terze parti, aiuta le aziende che lavorano con dati finanziari e personali preziosi e sensibili a soddisfare i requisiti di compatibilità e responsabilità imposti da normative come PCI/DSS, SWIFT CSCF HIPAA, ecc.

Per ulteriori informazioni: dircom@argonavis.it

20 Luglio 2023

Le vulnerabilità di Open Management Infrastructure minacciano i dispositivi virtuali Linux su Microsoft Azure

 
Tratto da Blog Kaspersky
Autore: Hugh Aver – 20/09/2021
 
 

L’agente Open Management Infrastructure, che contiene quattro vulnerabilità, viene installato automaticamente sulle macchine Linux virtuali su Microsoft Azure

 

 
 
 

È emersa la notizia di una pratica piuttosto pericolosa in Microsoft Azure, secondo la quale quando un utente crea una macchina virtuale Linux e abilita alcuni servizi Azure, la piattaforma Azure installa automaticamente l’agente Open Management Infrastructure (OMI) sul dispositivo, senza che l’utente se ne accorga.

Anche se un’installazione “furtiva” potrebbe sembrare una cattiva idea a priori, in realtà non sarebbe così male se non fosse per due problemi: in primo luogo, l’agente ha vulnerabilità note e, in secondo luogo, non ha un meccanismo di aggiornamento automatico su Azure. Finché Microsoft non risolverà questo problema, le aziende che utilizzano dispositivi virtuali Linux su Azure dovranno prendere provvedimenti.

Vulnerabilità nell’infrastruttura di Open Management e come possono essere sfruttate dai cybercriminali

Nel Patch Tuesday di settembre, Microsoft ha rilasciato aggiornamenti di sicurezza per quattro vulnerabilità presenti nell’agente Open Management Infrastructure. Una di esse, CVE-2021-38647, permette l’esecuzione di un codice da remoto (RCE) ed è critica, mentre le altre tre, CVE-2021-38648, CVE-2021-38645, CVE-2021-38649, possono essere utilizzate per ottenere  maggiori privilegi  di accesso (LPE – Local Privilege Escalation) in attacchi multifase. Ciò è possibile nel caso in cui i criminali informatici si siano intrufolati previamente nella rete della vittima. Queste tre vulnerabilità hanno un punteggio elevato nel CVSS.

Quando gli utenti di Microsoft Azure creano una macchina virtuale Linux e abilitano una serie di servizi, OMI (e le sue vulnerabilità) si distribuisce automaticamente nel sistema. I servizi includono Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management e Azure Diagnostics, un elenco che purtroppo è tutt’altro che completo. L’agente Open Management Infrastructure da solo ha i privilegi più alti nel sistema, e poiché i suoi compiti includono la raccolta di statistiche e la sincronizzazione delle configurazioni, è generalmente accessibile da Internet attraverso varie porte HTTP, a seconda dei servizi abilitati.

Per esempio, se la porta di ascolto è la 5986, i cybercriminali potrebbero potenzialmente sfruttare la vulnerabilità CVE-2021-38647 ed eseguire un codice dannoso da remoto. Se OMI è disponibile per la gestione remota (attraverso le porte 5986, 5985, o 1270), i cybercriminali possono sfruttare la stessa vulnerabilità per ottenere l’accesso all’intera rete locale in Azure. Gli esperti sostengono che la vulnerabilità sia molto facile da sfruttare.

 

 

Finora non sono stati segnalati attacchi in the wild, ma con le tante informazioni disponibili su come potrebbe essere facile sfruttare queste vulnerabilità, probabilmente non ci vorrà molto.

Come difendersi

Microsoft ha rilasciato delle patch per tutte e quattro le vulnerabilità. Tuttavia, OMI non si aggiorna sempre automaticamente, quindi dovrete controllare quale versione è presente sulla vostra macchina virtuale Linux. Se la versione è precedente alla 1.6.8.1, aggiornate l’agente Open Management Infrastructure. Per sapere come, potete consultare la descrizione della vulnerabilità CVE-2021-38647.

Gli esperti raccomandano anche di limitare l’accesso alla rete alle porte 5985, 5986 e 1270 per impedire a chiunque di eseguire attacch di esecuzione del codice da remoto (RCE, Remote Code Execution).

21 Settembre 2021

Linux.Encoder.1 il primo ransomware per Linux

Nel mese di novembre è stato segnalato Linux.Encoder.1, il primo ransomware per Linux.linux

Quando viene avviato con privilegi di amministrazione, il programma carica in memoria due file che contengono le istruzioni per l’attacco:

  • ./readme.crypto
  • ./index.crypto

Dopo questo il ransomware riceve la chiave pubblica RSA ed avvia il processo di crittografia solo dei file alcune estensioni.

Il malware cerca di colpire le cartelle personali dell’utente, database, webserver e pagine web operando sulle directory:

  • /home
  • /root
  • /var/lib/mysql
  • /var/www
  • /etc/nginx
  • /etc/apache2
  • /var/log
  • public_html
  • www
  • webapp
  • backup
  • .git
  • .svn

Mentre invece non effettua la crittografia delle seguenti directory:

  • /
  • /root/
  • .ssh
  • /usr/bin
  • /bin
  • /etc/ssh

Linux.Encoder.1 usa la crittografia asimmetrica RSA e la crittografia AES a 128 bit, ai file crittografati viene aggiunta l’estensione “.encrypted”

Il malware usa la funzionalità rand() della libreria libc che usa il timestamp come seme per generare le chiavi crittografiche.

Questo dettaglio è stato presto scoperto ed ha reso “prevedibile” la chiave utilizzata per la crittografia, dando l’opportunità ai tool di decodificare il contenuto dei file senza dover “pagare” per riscattare i file.

7 Aprile 2016

Servizio di protezione anti-malware per piccole aziende

Abbiamo già affrontato il tema della protezione nelle aziende Quale soluzione anti-malware per la mia azienda ed analizzato come le piccole aziende siano da un certo punto di vista più vulnerabili rispetto alle grandi aziende.

Questa vulnerabilità nasce oltre che da scelte di strumenti per la mitigazione (Come agire di fronte al rischio informatico) del rischio spesso non adeguati, anche da una cattiva gestione di questi strumenti.

Gli strumenti anti-malware moderni, sono strumenti molto complessi, che devono essere adeguatemente configurati e costantemente monitorati, affinché possano assolvere a pieno il loro compito.

Purtroppo aziende di piccole dimensioni, hanno budget veramente ridotti per la sicurezza informatica, e quasi mai hanno delle persone dedicate a seguire questi aspetti e che comunque abbiano competenze sui problemi e sulle soluzioni implementate.

Il risultato è che le soluzioni vengono installate, utilizzate con configurazioni di default, e mai più verificate. In questa maniera il rischio di subire attacchi è veramente elevato, non per l’inadeguatezza dello strumento, ma per la mancata messa a punto e revisione.

Argonavis propone una soluzione dedicata alle piccole aziende, offre la possibilità di impiegare gli avanzati sistemi di rilevamento e rimozione del malware Kaspersky, delegando alla struttura tecnica Argonavis la gestione della protezione, il controllo e la risoluzione dei problemi che possono venirsi a creare.

La soluzione prevede l’installazione dei normali software di protezione aziendale KasperskyLab: Kaspersky Endpoint Security for Windows, for Mac o for Linux, sia su client che su server senza nessuna limitazione, inoltre viene installato un piccolo agente: Kaspersky Network Agent, che dialoga con un server nel datacenter di Argonavis.ksc

Il Network Agent ha il compito di inviare sul server Argonavis, tutti gli eventi generati da Kaspersky Endpoint Security, permettendo una analisi dell’installazione e la ricerca di eventuali problemi.

Il reparto tecnico Argonavis ha tecnici certificati KasperskyLAB e molta esperienza sulle installazioni Kaspersky, su grandi e piccoli clienti, ed è in grado di analizzare e risolvere gli eventuali problemi dovessero sorgere.

E’ sufficiente un endpoint che non effettua l’aggiornamento delle firme e dell’applicazione per richiare di compromettere l’intera rete aziendale.

Argonavis ti offre allo stesso prezzo della licenza Kaspersky, la possibilità di utilizzare lo stesso prodotto ed il servizio di consulenza sul prodotto anti-malware Kaspersky.

Affidati alla competenza ed esperienza di Argonavis per ottenere il massimo della protezione per la tua struttura aziendale anche quando non hai abbastanza risorse da dedicare alla sicurezza informatica.

Richiedi Informazioni

26 Agosto 2015

Collegare un pc direttamente all’antenna di EOLO

In alcuni casi (ad esempio quando ci vogliamo determinare con precisione la banda realmente disponibile) occorre collegare un PC direttamente all’antenna di EOLO.

Dopo aver collegato secondo lo schema, la scheda di rete del PC all’interfaccia ethernet sull’alimentatore dell’antenna, tramite un tramite cavo di rete “cross” (incrociato)

collegare antenna eolo

occorre configurare una connessione PPPoE sul proprio PC.

Windows XP

  • Click su Start;
  • Click su Pannello di controllo;
  • Click su “Passa alla visualizzazione classica” in alto a sinistra. Se è presenta la voce “Passa alla visualizzazione per categorie” il cambio non è necessario;
  • Click su Connessioni di Rete;
  • Click su “Crea una nuova connessione” a sinistra;
  • Click su “Connessione ad Internet”;
  • Click su “Imposta connessione manualmente”;
  • Click su “Connessione a banda larga con immissione di nome utente e password”;
  • Scegliere il nome della connessione (ad esempio “EOLO”) tramite la voce “ISP”;
  • Compilare il campo “nome utente” con la login della connessione;
  • Compilare il campo “password” rispettando maiuscole e minuscole;
  • Per creare un collegamento rapido alla connessione selezionare “Aggiungi collegamento a questa connessione sul desktop”.
    Per le successive autenticazioni click sull’icona appena creata sul desktop

Windows Seven

  • Click su “Start”;
  • Click su “Pannello di controllo”;
  • Click su “Rete e Internet”;
  • Click su “Centro connessioni di rete e condivisioni”;
  • Click su “Configura nuova connessione o rete”;
  • Click su “Connessione a Internet”;
  • Click su “Banda Larga (PPPoE)”
  • Compilare il campo “nome utente” con la login della connessione;
  • Compilare il campo “password” rispettando maiuscole e minuscole;
  • Selezionare “Memorizza password”;
  • Scegliere il nome della connessione (ad esempio “EOLO”);
    Per le successive autenticazioni click sull’icona delle reti disponibili (in forma di computer stilizzato) in basso a destra (a fianco dell’orologio).

MacOSX

  • Click sulla “mela” in alto;
  • Click su “Preferenze di Sistema”;
  • Click su “Network”;
  • Click su “Ethernet integrata”;
  • Click su “Configura” e su “Crea servizio PPPoE”;
  • Compilare il campo “Nome servizio PPPoE” (ad esempio “EOLO”);
  • Compilare il campo “nome utente” con la login della connessione;
  • Compilare il campo “password” rispettando maiuscole e minuscole;
  • Click su “applica”;
  • Chiudere “Preferenze di Sistema”;
    Per le successive autenticazioni click sull’icona nella barra dei menu e su “connetti”.

Linux

  • Digitare da terminale “sudo pppoeconf”, comando che porta alla procedura guidata di
    configurazione;
  • Viene ricercata la scheda di rete che sarà utilizzata per la connessione;
  • Inserire la login e la password della connessione, rispettando maiuscole e minuscole;
  • Selezionare “Sì” a tutte le successive domande;
    In questo modo la connessione è impostata come automatica. Per attivarla manualmente invece, utilizzare il comando “sudo pon dsl-provider”, mentre per chiuderla “sudo poff dsl-provider”.

Scopri se la tua azienda è già coperta dal servizio di connettività a banda Ultralarga EOLO e contattaci per ottenere l’offerta commerciale più adatta alle esigenze della tua azienda

Verifica di copertura

 

29 Maggio 2015

Blog & News

Categorie