L'ANALISI TECNICA

Maxi furto dati da istituzioni italiane, per falla VPN: il leak su Telegram e Dark Web

Sono 49mila le organizzazioni pubbliche e private nel mondo, tra cui importanti istituzioni e imprese italiane, attualmente sotto attacco hacker: Presidenza Consiglio dei Ministri, Roma Capitale, Asl di Napoli, tra gli altri. A causa di una vecchia vulnerabilità nei sistemi VPN non corretta. Dati già in vendita e pubblicati su una chat di Telegram. Il rischio, secondo gli esperti di Yarix e P4I, è un enorme furto di dati delle organizzazioni vittime. Ecco cosa c’è da sapere

25 Nov 2020
Paolo Tarsitano

Editor Cybersecurity360.it

Un enorme data leak ha investito in questi giorni e in queste ore diverse migliaia di organizzazioni pubbliche e private di primo piano in Italia e nel mondo, che ora stanno cercando di correre ai ripari. Tra i nomi spiccano la Presidenza Consiglio dei Ministri, Roma Capitale.

Su una chat di Telegram stanno cominciando a essere pubblicati i dati sottratti dai criminali, in queste ore; perlopiù credenziali di accesso ai sistemi.

Lo hanno scoperto gli analisti di Yarix, divisione Cybersecurity di Var Group, secondo cui per sferrare l’attacco i criminal hacker hanno sfruttato la vulnerabilità CVE-2018-13379, di tipo path traversal, individuata nei dispositivi FortiOS SSL VPN.

Si tratta, dunque, di una tipologia di attacco già nota e utilizzata in passato, per la quale tra l’altro esistono anche dei sistemi di protezione.

La gravità di quanto sta succedendo in queste ore è data dal fatto che circa 50.000 organizzazioni pubbliche e private nel mondo non hanno adeguato i propri sistemi e i criminal hacker hanno quindi pensato bene di rendere pubblico l’elenco di queste aziende e istituzioni che ora sono di fatto alla mercé di chiunque sappia – cosa tutt’altro che improbabile – sfruttare la falla di sicurezza e violare così i sistemi e rubare credenziali di accesso e dati personali.

Un elenco in chiaro e accessibile a chiunque su un forum underground del Dark Web.

I soggetti colpiti

In Italia, secondo il Ministero dell’Interno (che ovviamente sta lavorando per mettere in sicurezza i sistemi), tra i soggetti colpiti compaiono, tra gli altri:

WHITEPAPER
Mobilità sostenibile: una guida a progetti, incentivi e ruolo chiave di sharing e veicoli elettrici

la Presidenza Consiglio dei Ministri, Roma Capitale, l’Università di Bologna, l’Azienda Sanitaria di Napoli e la Provincia di Bologna.

Una vecchia vulnerabilità ha dato accesso a sistemi non protetti

In particolare, il varco che gli attaccanti potrebbero sfruttare per esfiltrare dati e informazioni riservate su chiunque utilizza l’accesso VPN che tutti quanti noi utilizziamo ogni giorno per lavorare in remoto da casa.

La vulnerabilità nei dispositivi FortiOS SSL VPN è ben nota (anche agli attaccanti) e facilmente sfruttabile: è infatti sufficiente utilizzare un browser per realizzare l’exploiting che consente di ottenere in chiaro le credenziali di accesso (username e password) degli utenti che accedono da remoto ai sistemi interni aziendali come se ci si trovasse in rete locale.

È evidente che chiunque riesce ad entrare in possesso di queste informazioni avrebbe libero accesso alle infrastrutture dell’organizzazione target.

La patch è disponibile, ma le aziende non l’hanno installata

Fortinet, la casa produttrice del sistema VPN, è stata molto sollecita nel rilasciare un’allerta a maggio 2019 con cui segnalava il problema, indicando come mitigare il rischio, fino alla soluzione definitiva, costituita dal rilascio di un firmware aggiornato il 26 novembre 2019.

Nonostante la soluzione alla vulnerabilità fosse disponibile, lo scorso 19 novembre un ricercatore di sicurezza indipendente pubblica su Twitter la notizia che nei forum underground un threat actor ha condiviso una lista di 49.577 IP ancora vulnerabili.

Si tratta, dunque, di migliaia di aziende (il numero potrebbe essere inferiore a quello indicato dal ricercatore, tenendo conto del fatto che molti indirizzi IP potrebbero essere, in realtà, honeypot) che per circa un anno hanno lasciato che “visitatori” non autorizzati abbiano avuto accesso alle loro infrastrutture critiche usando privilegi di utenti che lecitamente potevano accedere.

In pratica, fanno notare gli analisti Yarix, è come se qualcuno ha dato le proprie chiavi di casa ai ladruncoli del quartiere che poi con quelle chiavi sono entrati e, indisturbati, hanno rovistato dovunque.

Cosa può accadere ora? Il parere degli esperti

Quanto accaduto è molto grave: è quanto ci dice Luca Bechelli, Information & Cyber Security Advisor presso P4I – Partners4Innovation. Secondo l’analista “in questo modo è possibile ottenere le credenziali di accesso via VPN degli utenti, che spesso sono le stesse credenziali del domino e quindi di accesso a tutti i servizi aziendali”.

“Ancora più grave”, continua Bechelli, “il fatto che non siamo di fronte solo ad una vulnerabilità, ma anche di un elenco di bersagli vulnerabili, quindi è praticamente come sapere che passerà la diligenza piena di lingotti d’oro, che non ci sarà la scorta, basta solo andarsi a prendere la refurtiva”.

La vendita dei dati e la chat di Telegram

In effetti è quello che sta succedendo: ieri sera, a quanto risulta, qualcuno ha fatto scan di queste vulnerabilità e ha cominciato a mettere in vendita le credenziali. Una chat di Telegram ha cominciato in queste ore a pubblicare i dati.

Dunque, un aspetto di tutta la faccenda che merita un’attenta valutazione è il purtroppo endemico riuso delle password da parte degli utenti: le credenziali trafugate, adesso, costituiranno una eccellente base per fare attacchi di password spraying.

Quand’anche le password fossero diverse, “non bisogna sottovalutare”, fa notare ancora Bechelli, “che altri attacchi in passato hanno permesso di costruire, nel Dark Web, grandissimi elenchi di utenze di centinaia di migliaia di organizzazioni. Incrociando questi dati (username) con i target dell’elenco, utilizzando la vulnerabilità della VPN, è possibile ottenere la password e poi accedere ai sistemi della vittima. Da sottolineare che le VPN sono utilizzate, in molti contesti, solo per gli accessi amministrativi ai sistemi. Stiamo quindi parlando, in molti casi presumibilmente, della possibilità di violare gli account più pericolosi, che possono consentire poi il furto diretto di dati dai file system o dai database delle aziende e organizzazioni vittime”.

La gravità del data leak è confermata anche da Paolo Dal Checco, esperto di informatica forense: “soprattutto qualora gli attaccanti fossero riusciti anche ad entrare nei sistemi delle organizzazioni target dal firewall. Sfruttando la falla nei sistemi VPN, potrebbero avere avuto accesso alla rete interna dell’azienda o quantomeno al server di frontiera. Si tratta di un’operazione non immediata, ma la vulnerabilità potrebbe essere stata sfruttata anche per quello”.

“È ora importante capire”, continua Dal Checco, “se gli attaccanti si siano realmente limitati a rendere pubblica solo la lista delle istituzioni e delle aziende vulnerabili o abbiano anche pubblicato dati riservati”.

Come mitigare i rischi di un attacco

Adesso la domanda interessante è: quanti di quei 49.577 sistemi vulnerabili appartengono ad organizzazioni italiane? A quanto hanno appreso gli analisti Yarix, sarebbero poco più di 1.800. Tanti? Pochi? Dipende. Ma più che alla quantità guardiamo alla “qualità”: in mezzo a quelle organizzazioni ci sono strutture governative, ospedali, multinazionali, aziende di servizi (anche informatici) che potenzialmente hanno avuto gli “ospiti” in casa o magari un incidente ransomware iniziato proprio dallo sfruttamento di quella vulnerabilità.

Tutto questo porta quindi a sottolineare, ancora una volta, l’importanza di costruire un asset inventory dei propri sistemi, in particolar modo quelli esposti, e di tenere sempre sotto controllo i bollettini di vulnerabilità che i produttori di soluzioni hardware e software pubblicano periodicamente, associando poi queste attività di monitoraggio ad efficaci politiche di patching associate ad un processo di change management organico.

WHITEPAPER
Ottieni una pianificazione veloce e affidabile nel tuo marketing: scopri come!
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr