Attacco hacker, cosa è successo? Come difendersi? La falla scoperta nel 2021. Essenziale aggiornare i sistemi

Portata e conseguenze sono ancora tutte da verificare. Con la consapevolezza di fondo che, con un po’ di attenzione in più ai processi informatici, l’attacco avrebbe potuto essere scongiurato. Cerchiamo di capire, domanda dopo domanda, cosa è successo e perché. E, soprattutto, cosa potrebbe succedere nelle prossime ore. 

Attacco hacker in Italia e nel mondo, Acn: «Compromesse decine di sistemi nazionali». Domani vertice a Palazzo Chigi

COS’È SUCCESSO?

Dalla serata di ieri è in corso un attacco hacker indirizzato ad alcuni server di pa e aziende su cui è presente una specifica vulnerabilità. Per usare una metafora, è come se tutti gli abitanti di un condominio fossero andati via chiudendo la porta di casa, per scoprire poi che tutte le serrature sono difettose. E adesso c’è chi sta cercando di entrare per poter occupare quelle case. Parliamo di “abitazioni” istituzionali, quindi server di università, ministeri e aziende pubbliche e private, per ora in un numero non meglio precisato di qualche decina.

COME SI È SVOLTO L’ATTACCO?

Gli hacker stanno scandagliando la rete alla ricerca di server suscettibili a un determinato tipo di attacco informatico. Quando li trovano, li infettano con un malware che – a seconda del livello di minaccia – può risultare più o meno complicato da rimuovere. Una volta infettata la macchina, si può operare in diversi modi. Alcuni di questi server sono stati colpiti da ransomware, cioè una richiesta di riscatto per riavere indietro i dati sottratti durante l’attacco. Ma non ci sono ancora state rivendicazioni da parte dei collettivi hacker più in vista e non è stata resa nota nessuna negoziazione.

L’ALLARME PUÒ ALLARGARSI?

Il problema principale – e il motivo per cui l’Acn ha dato l’allarme – non riguarda solo i server già colpiti ma tutti quelli che ancora non hanno aggiornato i loro sistemi per risolvere il problema della “serratura difettosa”. Una falla che nell’ambiente è nota già da due anni, ed è stata risolta ma i proprietari dei sistemi non hanno applicato la correzione. I sistemi a rischio adesso sono più di 500.

COME CI SI DIFENDE?

La soluzione più intuitiva è quella di aggiornare i sistemi coinvolti con la patch rilasciata a febbraio 2021. Ma non sempre è così semplice, perché introdurre – come presumibilmente verrà fatto nelle prossime ore – un aggiornamento in corsa, senza cioè effettuare una fase più o meno lunga di collaudo sulla macchina interessata, si rischia di creare incompatibilità con gli altri software installati su quella stessa macchina. Una patch porta sempre un certo grado di instabilità nei sistemi in cui viene applicata, ed è per questo che le aziende spesso optano per trovare delle soluzioni alternative, quelli che in gergo vengono chiamati “workaround”. 

QUANDO DI POTRÀ DIRE CHE TUTTO È RISOLTO?

In realtà la specifica falla sui server ESXi che stanno cercando gli hacker è stata già “tappata” nel febbraio 2021, si tratta solo di estendere l’aggiornamento sulle macchine oggi a rischio. Impossibile però sapere quanto tempo ci vorrà. Intanto per la complessità e i contenuti dei sistemi interessati, alcuni dei quali, trattandosi della pa, contengono anche i dati sensibili dei cittadini. Ma anche perché per molti dei sistemi esposti, quelli cioè a rischio ma non ancora compromessi, non è stato ancora possibile risalire al proprietario. 

‼️Rilevata una #campagna di sfruttamento massivo della CVE-2021–21974 - con impatto su soggetti nazionali - relativa ai prodotti #VMWare #ESXi

Rischio: 🟠

🔗 https://t.co/qdJvloTJC4

⚠ Importante aggiornare i prodotti interessati pic.twitter.com/2cgDWBsa60

— CSIRT Italia (@csirt_it) February 4, 2023

PERCHÉ ALCUNI SERVER NON SONO STATI AGGIORNATI?

Quando viene rilasciata una patch spesso i proprietari tendono a temporeggiare, per tutta una serie di motivi. Intanto per il problema dell’incompatibilità di cui abbiamo accennato: quando viene aggiornato un sistema, inevitabilmente smette di funzionare qualche applicazione e si crea instabilità. C’è poi la tendenza, specie in Italia, a prendere tempo, nell’idea che attacchi simili non capiteranno mai ai nostri sistemi. Alcune organizzazioni inoltre non verificano con la dovuta costanza la presenza di determinate vulnerabilità sulle applicazioni. Ed è così che il ciclo di vita delle vulnerabilità e dei relativi exploit (cioè la serie di passi necessari a sfruttarla) ha raggiunto il triste record dei 7 anni.