Ondata di attacchi hacker: i fatti

Domenica 5 febbraio 2023 l’Italia si è svegliata sotto uno splendido sole d’inverno in un clima d’attesa del grande freddo in arrivo.

Ma, mentre la perturbazione NìKola si fa attendere, a mezzogiorno arrivano le sorprese. Prima la rete TIM che va a singhiozzi, restando inutilizzabile fino alle 18, poi, in serata, l’annuncio dell’Agenzia per la Cybersicurezza Nazionale (ACN) che, rilanciando un bollettino del CSIRT del 4 febbraio, segnala un massiccio attacco hacker che sta colpendo obiettivi in molte nazioni, tra cui l’Italia.

Cosa sta succedendo?

In tanti se lo sono chiesti. Analizzando i fatti scopriamo che l’annuncio dell’ACN è giunto casualmente in un clima già teso per il fatto che, già dal mattino, molti cittadini erano tagliati fuori dalla rete a causa di presunti problemi imputabili, secondo TIM, ad un guasto ad apparati della dorsale Seabone di Sparkle (dorsale globale di transito IP Tier-1 che fornisce accesso a Internet ad alta velocità a Isp e content provider in tutto il mondo).

Dunque, quello di TIM è solo un guasto. Ma l’attacco hacker?

Si tratta dello sfruttamento, ad opera di ignoti, di una vulnerabilità già nota e risolta da anni, per la precisione a fine febbraio 2021.

Un “disastro” annunciato che si poteva evitare informando molti mesi prima.

In realtà, nel tempo, sono stati diramati svariati bollettini che informavano gli utenti, suggerendo un aggiornamento tempestivo per evitare il peggio.

Ultimo in ordine di tempo quello del CERT-FR, pubblicato alle 19 del 3 febbraio perché molti server francesi erano già colpiti.

Occorre comprendere

L’attacco hacker in questione altro non è che lo sfruttamento della vulnerabilità classificata con CVE-2021-21974, rilevata e corretta da VMware il 23 febbraio 2021.

Il fatto è che molti utenti e organizzazioni, trascurando gli aspetti legati alla sicurezza, non provvedono all’applicazione degli aggiornamenti, lasciando anche i server pubblicamente esposti.

Una semplice ricerca su portali specializzati, come Shodan, Censys o ZoomEye fa comprendere la portata del fenomeno che non è affatto nuovo e, probabilmente, non richiede neppure tanto clamore a distanza di ben due anni dal “fattaccio”.

La vulnerabilità sfruttata

L’occasione, si sa, fa l’uomo ladro, e gli esiti si sono fatti attendere anche troppo.

Gli hacker hanno iniziato a sfruttare la CVE-2021-21974 su grande scala, tramite un exploit che porta all’esecuzione remota di codice grazie ad un Heap Buffer Overflow su OpenSLP.

Tradotto: si riesce ad eseguire codice sui server remoti, grazie a una libreria Open Source relativa al protocollo SLP (Service Location Protocol), vulnerabile per una carenza di controlli nella allocazione di zone di memoria.

Chi sono le vittime

Principalmente aziende e organizzazioni che operano server su piattaforma di virtualizzazione ESXi non aggiornata.

Possiamo immaginare che tali organizzazioni, non avendo apposto le patch del febbraio 2021, siano ferme anche con quelle pubblicate sino ad oggi, e siano pertanto esposte a nuovi e differenti attacchi.

Non è dunque questione di fare allarmismi sporadici, quanto di informare ed informarsi, attribuendo la giusta importanza alla nostra sicurezza e quella delle nostre informazioni.

Autore: Marco Marra