Un enorme data leak ha investito in questi giorni e in queste ore diverse migliaia di organizzazioni pubbliche e private di primo piano in Italia e nel mondo, che ora stanno cercando di correre ai ripari. Tra i nomi spiccano la Presidenza Consiglio dei Ministri, Roma Capitale.
Su una chat di Telegram stanno cominciando a essere pubblicati i dati sottratti dai criminali, in queste ore; perlopiù credenziali di accesso ai sistemi.
Lo hanno scoperto gli analisti di Yarix, divisione Cybersecurity di Var Group, secondo cui per sferrare l’attacco i criminal hacker hanno sfruttato la vulnerabilità CVE-2018-13379, di tipo path traversal, individuata nei dispositivi FortiOS SSL VPN.
Si tratta, dunque, di una tipologia di attacco già nota e utilizzata in passato, per la quale tra l’altro esistono anche dei sistemi di protezione.
La gravità di quanto sta succedendo in queste ore è data dal fatto che circa 50.000 organizzazioni pubbliche e private nel mondo non hanno adeguato i propri sistemi e i criminal hacker hanno quindi pensato bene di rendere pubblico l’elenco di queste aziende e istituzioni che ora sono di fatto alla mercé di chiunque sappia – cosa tutt’altro che improbabile – sfruttare la falla di sicurezza e violare così i sistemi e rubare credenziali di accesso e dati personali.
Un elenco in chiaro e accessibile a chiunque su un forum underground del Dark Web.
Indice degli argomenti
I soggetti colpiti
In Italia, secondo il Ministero dell’Interno (che ovviamente sta lavorando per mettere in sicurezza i sistemi), tra i soggetti colpiti compaiono, tra gli altri:
la Presidenza Consiglio dei Ministri, Roma Capitale, l’Università di Bologna, l’Azienda Sanitaria di Napoli e la Provincia di Bologna.
Una vecchia vulnerabilità ha dato accesso a sistemi non protetti
In particolare, il varco che gli attaccanti potrebbero sfruttare per esfiltrare dati e informazioni riservate su chiunque utilizza l’accesso VPN che tutti quanti noi utilizziamo ogni giorno per lavorare in remoto da casa.
La vulnerabilità nei dispositivi FortiOS SSL VPN è ben nota (anche agli attaccanti) e facilmente sfruttabile: è infatti sufficiente utilizzare un browser per realizzare l’exploiting che consente di ottenere in chiaro le credenziali di accesso (username e password) degli utenti che accedono da remoto ai sistemi interni aziendali come se ci si trovasse in rete locale.
È evidente che chiunque riesce ad entrare in possesso di queste informazioni avrebbe libero accesso alle infrastrutture dell’organizzazione target.
La patch è disponibile, ma le aziende non l’hanno installata
Fortinet, la casa produttrice del sistema VPN, è stata molto sollecita nel rilasciare un’allerta a maggio 2019 con cui segnalava il problema, indicando come mitigare il rischio, fino alla soluzione definitiva, costituita dal rilascio di un firmware aggiornato il 26 novembre 2019.
Nonostante la soluzione alla vulnerabilità fosse disponibile, lo scorso 19 novembre un ricercatore di sicurezza indipendente pubblica su Twitter la notizia che nei forum underground un threat actor ha condiviso una lista di 49.577 IP ancora vulnerabili.
Si tratta, dunque, di migliaia di aziende (il numero potrebbe essere inferiore a quello indicato dal ricercatore, tenendo conto del fatto che molti indirizzi IP potrebbero essere, in realtà, honeypot) che per circa un anno hanno lasciato che “visitatori” non autorizzati abbiano avuto accesso alle loro infrastrutture critiche usando privilegi di utenti che lecitamente potevano accedere.
In pratica, fanno notare gli analisti Yarix, è come se qualcuno ha dato le proprie chiavi di casa ai ladruncoli del quartiere che poi con quelle chiavi sono entrati e, indisturbati, hanno rovistato dovunque.
Cosa può accadere ora? Il parere degli esperti
Quanto accaduto è molto grave: è quanto ci dice Luca Bechelli, Information & Cyber Security Advisor presso P4I – Partners4Innovation. Secondo l’analista “in questo modo è possibile ottenere le credenziali di accesso via VPN degli utenti, che spesso sono le stesse credenziali del domino e quindi di accesso a tutti i servizi aziendali”.
“Ancora più grave”, continua Bechelli, “il fatto che non siamo di fronte solo ad una vulnerabilità, ma anche di un elenco di bersagli vulnerabili, quindi è praticamente come sapere che passerà la diligenza piena di lingotti d’oro, che non ci sarà la scorta, basta solo andarsi a prendere la refurtiva”.
La vendita dei dati e la chat di Telegram
In effetti è quello che sta succedendo: ieri sera, a quanto risulta, qualcuno ha fatto scan di queste vulnerabilità e ha cominciato a mettere in vendita le credenziali. Una chat di Telegram ha cominciato in queste ore a pubblicare i dati.
Dunque, un aspetto di tutta la faccenda che merita un’attenta valutazione è il purtroppo endemico riuso delle password da parte degli utenti: le credenziali trafugate, adesso, costituiranno una eccellente base per fare attacchi di password spraying.
Quand’anche le password fossero diverse, “non bisogna sottovalutare”, fa notare ancora Bechelli, “che altri attacchi in passato hanno permesso di costruire, nel Dark Web, grandissimi elenchi di utenze di centinaia di migliaia di organizzazioni. Incrociando questi dati (username) con i target dell’elenco, utilizzando la vulnerabilità della VPN, è possibile ottenere la password e poi accedere ai sistemi della vittima. Da sottolineare che le VPN sono utilizzate, in molti contesti, solo per gli accessi amministrativi ai sistemi. Stiamo quindi parlando, in molti casi presumibilmente, della possibilità di violare gli account più pericolosi, che possono consentire poi il furto diretto di dati dai file system o dai database delle aziende e organizzazioni vittime”.
La gravità del data leak è confermata anche da Paolo Dal Checco, esperto di informatica forense: “soprattutto qualora gli attaccanti fossero riusciti anche ad entrare nei sistemi delle organizzazioni target dal firewall. Sfruttando la falla nei sistemi VPN, potrebbero avere avuto accesso alla rete interna dell’azienda o quantomeno al server di frontiera. Si tratta di un’operazione non immediata, ma la vulnerabilità potrebbe essere stata sfruttata anche per quello”.
“È ora importante capire”, continua Dal Checco, “se gli attaccanti si siano realmente limitati a rendere pubblica solo la lista delle istituzioni e delle aziende vulnerabili o abbiano anche pubblicato dati riservati”.
Come mitigare i rischi di un attacco
Adesso la domanda interessante è: quanti di quei 49.577 sistemi vulnerabili appartengono ad organizzazioni italiane? A quanto hanno appreso gli analisti Yarix, sarebbero poco più di 1.800. Tanti? Pochi? Dipende. Ma più che alla quantità guardiamo alla “qualità”: in mezzo a quelle organizzazioni ci sono strutture governative, ospedali, multinazionali, aziende di servizi (anche informatici) che potenzialmente hanno avuto gli “ospiti” in casa o magari un incidente ransomware iniziato proprio dallo sfruttamento di quella vulnerabilità.
Tutto questo porta quindi a sottolineare, ancora una volta, l’importanza di costruire un asset inventory dei propri sistemi, in particolar modo quelli esposti, e di tenere sempre sotto controllo i bollettini di vulnerabilità che i produttori di soluzioni hardware e software pubblicano periodicamente, associando poi queste attività di monitoraggio ad efficaci politiche di patching associate ad un processo di change management organico.
