Domenica 5 febbraio 2023 l’Italia si è svegliata sotto uno splendido sole d’inverno in un clima d’attesa del grande freddo in arrivo.
Ma, mentre la perturbazione NìKola si fa attendere, a mezzogiorno arrivano le sorprese. Prima la rete TIM che va a singhiozzi, restando inutilizzabile fino alle 18, poi, in serata, l’annuncio dell’Agenzia per la Cybersicurezza Nazionale (ACN) che, rilanciando un bollettino del CSIRT del 4 febbraio, segnala un massiccio attacco hacker che sta colpendo obiettivi in molte nazioni, tra cui l’Italia.
In tanti se lo sono chiesti. Analizzando i fatti scopriamo che l’annuncio dell’ACN è giunto casualmente in un clima già teso per il fatto che, già dal mattino, molti cittadini erano tagliati fuori dalla rete a causa di presunti problemi imputabili, secondo TIM, ad un guasto ad apparati della dorsale Seabone di Sparkle (dorsale globale di transito IP Tier-1 che fornisce accesso a Internet ad alta velocità a Isp e content provider in tutto il mondo).
Si tratta dello sfruttamento, ad opera di ignoti, di una vulnerabilità già nota e risolta da anni, per la precisione a fine febbraio 2021.
Un “disastro” annunciato che si poteva evitare informando molti mesi prima.
In realtà, nel tempo, sono stati diramati svariati bollettini che informavano gli utenti, suggerendo un aggiornamento tempestivo per evitare il peggio.
Ultimo in ordine di tempo quello del CERT-FR, pubblicato alle 19 del 3 febbraio perché molti server francesi erano già colpiti.
L’attacco hacker in questione altro non è che lo sfruttamento della vulnerabilità classificata con CVE-2021-21974, rilevata e corretta da VMware il 23 febbraio 2021.
Il fatto è che molti utenti e organizzazioni, trascurando gli aspetti legati alla sicurezza, non provvedono all’applicazione degli aggiornamenti, lasciando anche i server pubblicamente esposti.
Una semplice ricerca su portali specializzati, come Shodan, Censys o ZoomEye fa comprendere la portata del fenomeno che non è affatto nuovo e, probabilmente, non richiede neppure tanto clamore a distanza di ben due anni dal “fattaccio”.
L’occasione, si sa, fa l’uomo ladro, e gli esiti si sono fatti attendere anche troppo.
Gli hacker hanno iniziato a sfruttare la CVE-2021-21974 su grande scala, tramite un exploit che porta all’esecuzione remota di codice grazie ad un Heap Buffer Overflow su OpenSLP.
Tradotto: si riesce ad eseguire codice sui server remoti, grazie a una libreria Open Source relativa al protocollo SLP (Service Location Protocol), vulnerabile per una carenza di controlli nella allocazione di zone di memoria.
Chi sono le vittime
Principalmente aziende e organizzazioni che operano server su piattaforma di virtualizzazione ESXi non aggiornata.
Possiamo immaginare che tali organizzazioni, non avendo apposto le patch del febbraio 2021, siano ferme anche con quelle pubblicate sino ad oggi, e siano pertanto esposte a nuovi e differenti attacchi.
Non è dunque questione di fare allarmismi sporadici, quanto di informare ed informarsi, attribuendo la giusta importanza alla nostra sicurezza e quella delle nostre informazioni.
Autore: Marco Marra
Sciopero ATM Milano, chiude M2 e una tratta della M5 Regolari le altre linee e…
Champions League, Gasperini in conferenza stampa post Atalanta-Arsenal Il tecnico nerazzurro dopo il primo match…
Spagna, Mattarella visita la casa museo di Colombo e il centro storico di Las Palmas…
Vannacci attacca L'Ue e la Von der Leyene: "Vogliono che torniamo alle paludi e alla…
Vannacci contro la stampa di italiana: "Devo molto a loro, soprattutto a Pucciarelli" Poi rincara:…
Firenze, convegno Codau. Il presidente Scuttari: "Attenzione a digitalizzazione e formazione" Presenti 80 università e…