Cari lettori di Technogalaxy, oggi parleremo dell’attacco avvenuto qualche giorno fa e che ha mandato i sistemi di TIM in down per diverse ore.

Forse una coincidenza o forse no, la rete TIM down prima e l’attacco hacker ai sistemi informatici nazionali subito dopo poco tempo, nel nostro Paese si sono verificati due eventi gravi che hanno portato l’attenzione pubblica sul tema della sicurezza informatica.

Per alcune ore la connessione internet ha funzionato con una capacità inferiore al 30%, dopo poco tempo un attacco hacker di portata addirittura internazionale ha coinvolto anche il nostro Paese. Attacco sfruttato grazie ad una falla (era già stata rilasciata una patch di sicurezza due anni fa, nel lontano febbraio del 2021).

Fortunatamente sembrerebbe che il numero di sistemi aziendali che sono stati compromessi è inferiore rispetto a quello che si pensava inizialmente, anche la gravità dei problemi causati sembrerebbe essere attorno alla ventina di compagnie coinvolte.

La cosa gravissima è che la patch non fosse stata installata quando rilasciata avrebbe causato danni gravissimi a migliaia di aziende.

Purtroppo in Italia ci si accorge del problema con la cybersicurezza solo quando finisce sui giornali, aziende private purtroppo non sanno cosa fare, proprio per questo motivo ci vorrebbero della campagne di sensibilizzazione poco teoriche e molto pratiche, dove vengono simulati e fatti vedere attacchi reali “come cerco di fare io sul mio canale”.

Ritorniamo all’attacco, intorno alle ore 17:00 del giorno in cui c’è stato il problema l’azienda TIM ha scritto in una nota:

“Dalle verifiche effettuate, il problema ha riguardato il flusso dati su rete internazionale che ha generato un impatto anche in Italia. L’azienda si scusa con i propri clienti per il disagio arrecato”.

Il down è rientrato e il servizio si è stabilizzato alle ore 16:55.

TIM ha specificato che il problema non è stato dovuto a un attacco hacker, ma si è trattato di un problema di interconnessione internazionale che impattava il servizio a livello nazionale.

Entriamo nel dettaglio tecnico dell’attacco

Sul sito del CSIRT (il nuovo centro per la cyber security nazionale), che ha l’obiettivo di ottimizzare l’efficacia della prevenzione e della risposta del Paese agli attacchi cyber a danno di soggetti pubblici e privati,

Monitorando e analizzando gli incidenti, divulgando informazioni e intervenendo in caso di emergenza, è possibile trovare la notizia uscita il 4/02/2023 alle ore 22:23 che allertava un possibile attacco massicio che sfrtuttava questa vulnerabilità al fine di rilasciare un ramsure.

Link CSIRT: https://www.csirt.gov.it/contenuti/risolte-vulnerabilita-in-prodotti-vmware-al02-230125-csirt-ita

La vulnerabilità sfruttata era sui prodotti VMware che ha rilasciato aggiornamenti di sicurezza per sanare 4 vulnerabilità, di cui 2 con gravità “critica”, nel prodotto vRealize Log Insight.

Il giorno 07/02/2023 il vendor afferma che un exploit per le vulnerabilità risulta disponibile in rete.

La stima d’impatto della vulnerabilità sulla comunità di riferimento è:

ALTO/ARANCIONE (66,41/100)1.

Tipologia

  • Denial of Service
  • Remote Code Execution

I prodotti e le versioni affette di VMware sono:

  • VMware vRealize Log Insight 8.x, versioni precedenti alla 8.10.2
  • VMware Cloud Foundation (VMware vRealize Log Insight)
  • 4.x
  • 3.x

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si consiglia di applicare le mitigazioni disponibili seguendo le indicazioni riportate nel bollettino di sicurezza nella sezione Riferimenti.

Riferimenti

Cos’è il Denial of service?

Nel campo della sicurezza informatica, un attacco denial-of-service o attacco DoS indica un malfunzionamento dovuto a un attacco informatico in cui si fanno esaurire deliberatamente le risorse di un server.

Facendo un esempio semplice, immaginate un server che viene contattato da diversi computer che fanno delle richiete, il server da delle risposte, se queste richieste sono supponiamo 100 alla volta il server rispobde tranquillamente, ma se le richieste sono 1.000.000 e i compiuter che le fanno sono 100.000 potete immaginare cosa succedee al server che deve dare tutte queste risposte, arriva ad un punto che va in Buffer overflow.

(In informatica è una condizione di errore che si verifica a runtime quando in un buffer di una data dimensione vengono scritti dati di dimensioni maggiori).

Cos’è il Remote Code Execution?

In sicurezza informatica, l’arbitrary code execution è una terminologia usata per descrivere l’abilità di un attaccante ad eseguire qualsiasi comando su un potenziale obiettivo, sia un calcolatore che un processo eseguito su di esso.

Quando un obiettivo informatico è compromesso e la falla sfruttata perrmette il Remote Code Executiom, il cyber criminale può far eseguire sulla macchina compromessa e da remoto,  codice malevolo installando backdoor, ransomware,  etc…

ACN e Polizia Postale stanno indagando su quanto accaduto, gli esperti informatici stanno anche cercando di identificare tutit i soggetti potenzialmente vulnerabili, l’elenco dei 19 server italiani trovato sul web ad oggi sono:

  1. Basiano – Lombardia – Irideos Spa – KPNQwest Italia S.p.a.
  2. Pescara – Abruzzo – Netsons s.r.l. – Netsons s.r.l. (*vedi aggiornamento in testa all’articolo)
  3. Pozzuoli – Campania – Vodafone
  4. Rende – Calabria – INTERBUSINESS
  5. Lagonegro – Basilicata – Fastweb Networks
  6. Milano – Lombardi – Seflow S.N.C. Di Marco Bramé &C. – Seflow
  7. Mazara del Vallo – Sicilia – Speed-net S.R.L – Speednetsrl
  8. Milano – Lombardia – SoftLayer – SoftLayer Technologies, Inc
  9. Pescara – Abruzzo – Netsons s.r.l – Netsons s.r.l.
  10. Arezzo – Toscana – Aruba S.p.A. Network – Aruba S.p.A.
  11. Roma – Lazio – INTERBUSINESS – Sistemi Avanzati srl
  12. Arezzo – Toscana – Aruba S.p.A. – Aruba S.p.A.
  13. Pomigliano d’Arco – Campania – THREEMINDS
  14. Daverio – Lombardia – 11-xDSL-CUST STATIC Aruba S.p.A. Network – InternetONE SRL
  15. Arezzo – Toscana – Aruba S.p.A. Network – Aruba S.p.A.
  16. Pescara – Abruzzo – Netsons s.r.l – Netsons s.r.l.
  17. Pescara – Abruzzo – Netsons s.r.l – Netsons s.r.l.
  18. Selci – Lazio – StiAdsl srl – StiAdsl
  19. Verona – Veneto – DIGISAT Main.

Rimane sempre importante tenere aggiornati i propri sistemi con gli aggiornamenti e le patch rilasciate.

Al prossimo articolo 😊

Non dimenticarti di iscriverti al canale Youtube.

Giorgio Perego

IT Manager

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.