Si è parlato molto la settimana scorsa di un attacco hacker a servizi web nazionali e internazionali. Più di 1600 i server VMware ESXi compromessi, di cui la maggior parte in Francia, seguita da Germania e Stati Uniti.
L’Italia è stata tra i Paesi meno coinvolti, con solo 19 server colpiti.
Una notizia attorno alla quale si è creato un hype elevato, ma che nasconde in sé un problema ben più grande: un mancato aggiornamento dei sistemi.
Perché questa notizia ha fatto scalpore?
Il grande hype della notizia è dovuto al fatto che VMware ESXi è un software abbastanza noto nel mondo e, solitamente, quando viene scoperta una falla è uno di quegli asset a cui viene data più attenzione in quanto largamente usato per la virtualizzazione enterprise. La maggiore attenzione solitamente va di pari passo con la rapidità nel tenerlo aggiornato, perlomeno quando si parla di patch di sicurezza.
Ebbene oggi così non è stato.
La vulnerabilità CVE-2021-21974 di cui si parla era già nota da due anni e già sanata da VMWare ma, a quanto pare, gli enti e le aziende vittime dell’attacco non l’hanno mai risolta.
Perché? I motivi possono essere molteplici: dalla noncuranza, alla necessità di aggiornamento delle macchine o dei software specifici installati nelle macchine. Queste situazioni evidenziano come, disattendere regole così semplici come l’aggiornamento dei sistemi, possa creare problemi complessi e minare la sicurezza aziendale.
Cosa è successo realmente?
Il 3 febbraio, il Computer Security Incident Response Team (CSIRT) italiano ha segnalato l’utilizzo massiccio della vulnerabilità CVE-2021-21974*.
La vulnerabilità è di tipo “heap buffer overflow”, ovvero un tipo di attacco informatico che si verifica quando un programma scrive più dati di quanti siano previsti in una determinata area di memoria, nota come “heap”. Questa sovrascrittura può causare la corruzione dei dati o, in alcuni casi, eseguire codice arbitrario sul sistema, il che può portare alla compromissione della sicurezza.
Un tipo comune di vulnerabilità di sicurezza nei software che, se sfruttata, permette agli attaccanti di prendere il controllo del sistema o causarne il crash.
È veramente grave?
La vulnerabilità in questione ha un CVSS (Common Vulnerability Score System) di 8.8. Questa unità di misura indica, in una scala da 0 a 10, la gravità di una falla, dove 10 è il valore più alto.
Questa vulnerabilità è considerata quindi ad alto rischio ma non critica (che equivarrebbe dal 9 in su) poiché per avere effetto, l’attacco deve essere effettuato all’interno della stessa rete fisica condivisa (es. Bluetooth, IEEE 802.11) o logica (local IP Subnet). Il CSIRT ha rilevato che attraverso questa falla venivano rilasciati ransomware nei sistemi vittima.
L’infezione da malware di tipo ransomware va a criptare e rendere quindi inaccessibili tutti i file sul computer della vittima, permettendo agli hacker di richiedere un riscatto per decrittografarli, solitamente con pagamento in bitcoin. Ad essere onesti, questo genere di falle è sì potenzialmente dannoso, ma non è assolutamente una falla per cui allarmarsi così tanto. O per meglio dire, dipende.
Il vero problema in Italia – come anche in tanti altri paesi Europei – è che si risponde sempre alla stessa maniera: “bastava patchare (correggere) quel software o quell’altro…”.
Nella sicurezza informatica e più in generale nei processi aziendali, non sempre è possibile. Per questo la gestione del rischio gioca in queste situazioni un ruolo fondamentale.
Un’azienda che investe regolarmente in Cyber Security avrebbe gestito la situazione in maniera differente. Il monitoraggio di tutti i punti, esposti e non, in modo costante avrebbe sicuramente permesso la scoperta di questa falla e, avendo chiaro quale asset è considerato debole e quale no, avrebbe preso la decisione di fissare la falla o mitigarla, oppure accettarne il rischio.
Cosa possiamo imparare da questo?
Prima di tutto che non bisogna aspettare che accadano situazioni come queste per correre al riparo. Proteggere gli asset e i dati sensibili (come dati personali dei clienti, informazioni finanziarie, segreti commerciali e molto altro) dalle minacce online è fondamentale per garantire la Business Continuity, anche in caso di eventuali violazioni della sicurezza.
La Cyber Security non è solo “trova una falla nel sistema e rimuovila/fissala”, è molto di più. Per proteggere le informazioni è importante che le aziende investano in Cyber Security implementando misure di sicurezza come la crittografia dei dati, il controllo degli accessi (IAM), il network monitoring e la formazione del personale.
Ma soprattutto, per avere sempre sotto controllo i digital assets, il miglior modo è quello di gestire e tenere monitorata la superficie d’attacco aziendale nota anche come: “Cyber Asset Attack Surface Management” (CAASM), che permette di individuare eventuali vulnerabilità e di prendere le opportune misure per proteggere i sistemi e i dati aziendali.