La Repubblica

Allarme arancione in Italia. L’Agenzia Cyber elenca 70 vulnerabilità da correggere

Cosa dice il documento

“Considerando anche la recrudescenza delle campagne di attacco degli ultimi giorni sui siti nazionali rivendicati da attori di matrice russa e il possibile passaggio a campagne di attacchi più complesse – così inizia il rapporto -, il presente documento individua un insieme di vulnerabilità che dovrebbero essere risolte con urgenza e in via prioritaria all’interno di un processo di gestione del rischio da parte degli operatori più esposti (inclusi i gestori di infrastrutture critiche). Esse risultano, infatti, quelle maggiormente utilizzate nell’ambito delle campagne di attacco pubblicamente attribuite ad attori malevoli legati alla Federazione Russa’”. Il caso

Un documento di 10 pagine che elenca circa 70 vulnerabilità critiche presenti sui sistemi Microsoft, Apple, Cisco e altri, che le truppe digitali di Mosca e i loro simpatizzanti potrebbero sfruttare per condurre attacchi informatici disastrosi. Si tratta di problemi noti di Windows, che possono permettere una “privilege escalation” cioè prendere il controllo della macchina, di severità alta o critica; oppure di altri difetti che nel caso di MS Exchange Server e Office, dei prodotti VMware, Oracle, Cisco, Citrix, SonicWall, Fortinet, possono consentire un accesso iniziale all’attaccante e quelli sfruttabili per i cosiddetti movimenti laterali, come nel caso del famoso Log4J di Apache.

Settantuno vulnerabilità su un totale di oltre 170.000 CVE (Common Vulnerabilities and Exposures) note a partire dal 1999, la cui conoscenza potrebbe fare la differenza se associata a quella del modus operandi dei paramilitari cibernetici e degli hacker del Cremlino. Cybersicurezza

Le contromisure dell’agenzia

Certo si tratta di vulnerabilità note a tutti gli addetti ai lavori e allo Csirt dell’Acn lo sanno bene, ma non possono non ribadirne la pericolosità mettendo in guardia tutte le organizzazioni interessate suggerendo “le relative azioni di mitigazione, la cui implementazione si rende ancor più necessaria alla luce della situazione internazionale in atto”.

È questo è uno dei punti più interessanti del rapporto che suggerisce l’analisi delle vulnerabilità, l’adozione di programmi di threat intelligence, la segmentazione delle reti, l’autenticazione multifattore, la limitazione degli accessi, l’isolamento delle applicazioni e l’aggiornamento del software “per diventare resilienti”, come ama dire il direttore dell’Agenzia, il professor Roberto Baldoni.

L’avviso di protezione, divulgato inizialmente col codice arancione a circa 200 realtà che già si trovano sotto l’ombrello di protezione del Perimetro Nazionale di Sicurezza Cibernetica, adesso va conosciuto da tutti quelli che presidiano servizi utili per la collettività e il cui aggiramento potrebbe riversarsi a cascata sulle più piccole attività quotidiane, come telefonare, mettere le benzina o pagare una pizza con la carta di credito.

In Ucraina è già successo, nel 2015, quando un attacco informatico lasciò senza corrente 225 mila cittadini. Ed è successo anche in America quando nel maggio 2021 ad essere bloccati furono gli oleodotti texani. E infatti, secondo il documento: “La quasi totalità delle CVE rilevate sono classificate di livello grave o critico. In particolare, la maggior parte di esse sono sfruttate dagli attori malevoli per ottenere l’accesso iniziale ai sistemi target e sono relative prevalentemente a servizi infrastrutturali, di accesso remoto o di networking”, e che permettono l’erogazione di servizi critici e la produzione di beni essenziali.

Per questo l’allerta non è un esercizio accademico, quanto il senso di una missione che il Presidente Mario Draghi ha fortemente voluto firmando la nascita dell’Agenzia in “un’ottica di innalzamento della resilienza, [volta] a preservare le infrastrutture digitali nazionali da possibili attacchi che utilizzano vulnerabilità di sicurezza note”. Non sarà facile. La Pubblica Amministrazione italiana ha da sempre un problema di lock-in tecnologico, di software datati e non aggiornabili, mentre le strutture para-pubbliche spesso non hanno le risorse umane e finanziare per gli aggiornamenti, e troppe volte scelte sbagliate hanno consentito acquisti inutili e un parco enorme di macchine esposte su Internet e difficili da presidiare anche per assenza di consapevolezza del rischio.