di Silvia Signore
Il Computer Security Incident Response Team Italia (Csirt-IT) dell’Agenzia per la Cybersicurezza Nazionale, ACN, ha rilevato un massiccio attacco hacker tramite un ransomware già in circolazione. Massiccio attacco, con migliaia di server compromessi in tutto il mondo, colpita anche l’Italia. L’attacco – si spiega in una nota – prende di mira i server VMware ESXi. La vulnerabilità individuata dalle recenti analisi come CVE-2021-21974 (già sanata dal vendor nel febbraio 2021), riguarda i sistemi esposti su internet che offrono servizi di virtualizzazione basati sul prodotto VMWare ESXi, e ha un impatto elevato, stimato dalla comunità tecnica come “rischio alto/arancione” (70,25/100). E tuttavia non si esclude che anche altre vulnerabilità possono essere sfruttate da attori malevoli.
‼️Rilevata una #campagna di sfruttamento massivo della CVE-2021–21974 – con impatto su soggetti nazionali – relativa ai prodotti #VMWare #ESXi
Rischio: 🟠
⚠ Importante aggiornare i prodotti interessati pic.twitter.com/2cgDWBsa60
— CSIRT Italia (@csirt_it) February 4, 2023
A questo riguardo, l’Agenzia per la Cybersicurezza Nazionale, attraverso lo CSIRT Italia, ha pubblicato nella giornata di ieri uno specifico bollettino sul portale pubblico https://csirt.gov.it, che include anche le procedure per risolvere la vulnerabilità, ai quali i responsabili tecnici dei servizi IT pubblici e privati sono invitati a fare riferimento.
La vulnerabilità sfruttata dagli attaccanti per distribuire il ransomware è già stata corretta nel passato dal produttore, ma non tutti coloro che usano i sistemi attualmente interessati l’hanno risolta. I server presi di mira, se privi delle patch, cioè delle “correzioni” adeguate, possono aprire le porte agli hacker impegnati a sfruttarla in queste ore dopo la forte crescita di attacchi registrata nel weekend.
“I primi ad accorgersene sono stati i francesi, probabilmente per via dell’ampio numero di infezioni registrato sui sistemi di alcuni provider in Francia. Successivamente l’ondata di attacchi si è spostata su altri Paesi tra cui l’Italia. In questo momento – spiega l’ACN – sono qualche migliaio i server compromessi in tutto il mondo, dai Paesi europei come Francia – Paese più colpito – Finlandia e Italia, fino al Nord America, in Canada e negli Stati Uniti”.
L’autorità nazionale per la sicurezza informatica ribadisce nella nota “che è prioritario per chiunque chiudere le falle individuate e sviluppare un’adeguata strategia di protezione“. Per i tecnici dell’ACN, infatti, “siamo stati in grado di censire diverse decine di sistemi nazionali verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi. Tuttavia, rimangono ancora alcuni sistemi esposti, non compromessi, dei quali non è stato possibile risalire al soggetto proprietario. Questi sono chiamati immediatamente ad aggiornare i loro sistemi”. conclude la nota.
Quanto accaduto non è collegato ai problemi avuti oggi dalla rete fissa di Tim con segnalazioni relative all’accesso internet da tutta Italia, da nord a sud. Le segnalazioni sono migliaia – come evidenzia anche il monitoraggio del sito downdetector.it – e riguardano l’accesso a internet da postazione fissa e, in parte, anche da mobile. Problemi sono stati segnalati da tutta Italia, da Roma a Napoli passando per Pavia, Reggio Emilia, Torino, Treviso, Modena, Milano, Bologna. Gli esperti spiegano infatti che l’attacco hacker sarebbe scollegato dai disservizi rilevati da mercoledì e fino alla giornata di ieri sulla rete Tim, con oltre 7.500 segnalazioni. L’azienda è riuscita a risolvere gran parte dei problemi legati alla rete nazionale spiegando che il disservizio è stato causato problema di interconnessione internazionale, problemi rientrati nel pomeriggio.
“Con riferimento al disservizio che si è verificato oggi, Tim comunica che il problema è rientrato e il servizio si è stabilizzato alle ore 16:55. Dalle verifiche effettuate, il problema ha riguardato il flusso dati su rete internazionale che ha generato un impatto anche in Italia. L’azienda si scusa con i propri clienti per il disagio arrecato” ha fatto sapere Tim con un comunicato emesso intorno alle 20. Secondo quanto ha reso noto un portavoce dell’azienda, sulla rete Tim “è stato rilevato un problema di interconnessione internazionale e sono in corso le analisi per la risoluzione del problema. Il problema ovviamente impatta sul servizio a livello nazionale“.
Per Netblock, che monitora il traffico Internet globale, l’Italia è scesa al 26% della sua connettività consueta (vedi sopra). Un dato che spiegherebbe perché nel pomeriggio di domenica – secondo i grafici di Downdetector, (vedi sotto) – le segnalazioni di disservizi si sono allargati a diversi altri operatori e servizi.
⚠️ Confirmed: #Italy is in the midst of a major internet outage with high impact to leading operator Telecom Italia; real-time network data show national connectivity at 26% of ordinary levels; incident ongoing 📉 #TIMDown pic.twitter.com/Ypo8UBuxeV
— NetBlocks (@netblocks) February 5, 2023
Tra le tante aziende vittime di attacchi hacker in questi giorni, c’è anche Acea. “Ma è già stata ripristinata la funzionalità dei sistemi informatici, dopo l’attacco cyber che ha interessato l’azienda lo scorso 2 febbraio ad opera del gruppo ransomware Black Basta – si legge in una nota -. I siti internet del gruppo e delle piattaforme online per la gestione degli aspetti commerciali delle forniture di acqua, elettricità e gas risultano operativi, così come – dalla giornata di sabato – per i clienti il servizio di contact center delle società. Allo stato attuale, le analisi statiche e dinamiche della minaccia non hanno evidenziato compromissione dei dati personali. L’azienda ribadisce che il disservizio informatico generato dall’attacco cyber non ha interessato i servizi essenziali di distribuzione elettrica ed idrica che sono stati sempre regolarmente garantiti“.
Che si tratti di una cosa seria lo conferma il vertice convocato da palazzo Chigi che si terrà nelle prossime ore per fare un primo bilancio dei danni provocati e mettere in campo le adeguate contromisure. All’incontro ci saranno il sottosegretario Alfredo Mantovano, il direttore dell’Agenzia Roberto Baldoni e la direttrice del Dis, il Dipartimento informazioni e sicurezza Elisabetta Belloni. Il premier Giorgia Meloni tra l’altro, aveva fatto nelle scorse settimane in Consiglio dei ministri un’informativa proprio sulla necessità di contrastare la vulnerabilità dei sistemi informatici.