Un aggiornamento dimenticato ha messo a rischio le reti private di 300 tra società e uffici pubblici in Italia

La società di cybersecurity Yarix ha monitorato una sequela di attacchi di origine extra-Ue. Csirt e Cert di Agid hanno messo subito al riparo le infrastrutture pubbliche

Hacker (Getty Images)
Hacker (Getty Images)

Sono più di trecento le organizzazioni private e pubbliche italiane finite nel mirino di anonimi attaccanti informatici, che hanno trovato le porte delle loro infrastrutture spalancate a causa di un aggiornamento mai installato. Lo ha reso noto l’azienda di sicurezza informatica Yarix, con sede nel trevigiano, che per prima in Italia ha pubblicamente denunciato la presenza su internet di una lista contenente oltre 50mila indirizzi Ipdi cui 18mila italiani – puntati su altrettante infrastrutture che funzionavano sulla base di una versione non aggiornata della rete privata virtuale (vpn) di Fortinet

Sempre più diffusa soprattutto in ambito aziendale, questa tecnologia permette a chiunque di stabilire una connessione privata con i propri sistemi, passando attraverso la normale rete internet. Preziosissime per garantire che i dati trasmessi siano illeggibili a chiunque non sia autorizzato, le vpn hanno visto una particolare diffusione soprattutto nel periodo della pandemia, durante la quale hanno permesso a dipendenti in tutto il mondo di accedere in modo sicuro ai sistemi delle organizzazioni per le quali lavorano. A patto che queste si premurino di controllarne gli aggiornamenti

Il problema tecnico

La vulnerabilità di Fortinet (Cve-2018-13379) è nota dal 2018, quando dei ricercatori taiwanesi hanno scoperto di poterla sfruttare per acquisire le credenziali di accesso di un utente, pur senza essere autorizzati. Una soluzione tecnicamente semplice (basta un browser e poche righe di codice) che vanifica completamente lo scopo della vpn stessa. “Eppure l’azienda aveva fornito una soluzione tempestiva a tutti i suoi clienti, raccomandando che installassero gli aggiornamenti”, ha spiegato a Wired Mirko Gatto, amministratore delegato e fondatore di Yarix: “Ma moltissimi hanno lasciato correre, fino a che qualche attaccante non si è organizzato per trarne vantaggio”

Così è stato: il 19 novembre di quest’anno il profilo Twitter @bank_security ha dato notizia che un attaccante che utilizza lo pseudonimo pumpedkicks aveva pubblicato una lista contenente gli indirizzi Ip di tutte le infrastrutture sulle quali era possibile esercitare questo tipo di attacco, ricavandola probabilmente grazie a un banale software capace di scansionare la rete alla ricerca di installazioni non aggiornate, e rivendicando di essere in possesso anche di una lista di tutte le credenziali in chiaro (password e nome utente) relative alle medesime infrastrutture. Sono bastati pochi giorni affinché un altro utente, arendee2018, rendesse pubblica una sua versione della lista, completa di password e nomi utente, nella quale comparivano anche importanti infrastrutture informatiche italiane.  

La cavalleria era già arrivata

Tra queste, scrive Cybersecurity360, la presidenza del Consiglio dei ministri, Roma Capitale, l’Università di Bologna, l’Azienda Sanitaria di Napoli e la Provincia di Bologna. Tutti bersagli fragili, dai quali un attaccante avrebbe potuto acquisire informazioni strategiche e sensibili, oppure condurre attacchi mirati alla diffusione di ransomware (software malevoli che bloccano dispositivi e reti fintanto che non si paga un riscatto). Come rivelato da Yarix, che ha monitorato la rete fin dai primi momenti dopo la diffusione della lista, almeno 300 attacchi “di origine extraeuropea”, sono stati condotti contro bersagli italiani. 

Tuttavia, le autorità nazionali (Csirt e Cert-Agid) si erano già mosse due giorni prima dalla pubblicazione della seconda lista, come spiegato a Wired da fonti qualificate. In questo modo è stato possibile anticipare alcuni degli attacchi e procedere all’aggiornamento delle vpn, mettendo in sicurezza gli asset strategici del Paese entro le 20 del 25 novembre, momento nel quale il ministero dell’Interno ha autorizzato la pubblicazione dell’informazione sulla vulnerabilità attraverso i canali preposti. 

Come chiudere la falla

Ora rimangono esposte tutte le altre organizzazioni e realtà aziendali, qualora non abbiano ancora installato l’aggiornamento rilasciato a maggio del 2019 da Fortinet e le cui password potrebbero essere esposte alla mercé del miglior offerente. Una posizione ancora più grave se si pensa che lo scorso luglio la stessa azienda aveva rinnovato per l’ennesima volta l’invito a mettere in sicurezza le reti, dopo aver scoperto che degli attaccanti russi avevano usato proprio quella vulnerabilità contro un centro di sviluppo per vaccini Covid-19 in Canada, come già riportato da Silicon Angle. Gli avvisi non sono certo mancati, ma la risposta continua a tardare.

Leggi anche

Potrebbe interessarti anche

loading...

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.