Hacker all’attacco: di cosa si tratta?
Alcune considerazioni sugli avvenimenti di queste ore che hanno coinvolto diversi Paesi.
Abbiamo posto alcune domande a Vincenzo Mauro, Senior Solution Architect di R1 Group, sugli attacchi hacker che in queste ore hanno colpito diversi Paesi e le relative infrastrutture.
Quali sono le informazioni attualmente disponibili sull'attacco di hacking internazionale delle ultime ore?
Le ultime notizie riportano di vulnerabilità che sono state rese pubbliche da VMware già tra il 2020 ed il 2021. Sul sito internet del brand, si trovano tutte le informazioni necessarie che servono a mitigare definitivamente questa falla. Si visualizzano anche le istruzioni di workaround necessarie alla mitigazione temporanea della stessa, per assicurare in termini di tempo una finestra che permetta un’analisi, per affrontare tutti gli aggiornamenti del caso, rapportata alle matrici di compatibilità necessarie a prevedere malfunzionamenti post installazione ed ottenere un effetto contrario.
Dal punto di vista tecnico, come è stato portato avanti questo attacco e come si configura nello scenario delle minacce?
La tipologia di attacco entra in quello che si può considerare come “Internal Attack”, ovvero un attacco per il quale l’attaccante è già riuscito in qualche modo ad avere accesso alla rete LAN. Questo specifico attacco si basa su vulnerabilità di esecuzione di codice remoto e di pre-autenticazione, che vengono classificate come critiche. C’è da considerare che i servizi in oggetto afferiscono alla porzione di management plane della infrastruttura, porzione di piano che non dovrebbe essere esposta pubblicamente.
Solo in rarissimi casi questo attacco riesce ad avere efficacia direttamente da Internet, quando per qualche motivo non sono state seguite le buone norme di sicurezza. A questo punto sposterei il focus su questo tema.
Quanto l'Italia è effettivamente coinvolta?
In base alle evidenze posso immaginare uno scenario non così catastrofico come sembra, considerata l’attenzione che i player italiani pongono già da svariati anni al tema della sicurezza. Con questo non affermo che tutti i customer sono al sicuro, ma procedendo con le knowledge base messe a disposizione si può contrastare questo attacco efficacemente. Una buona percentuale delle aziende nazionali ha organizzato la propria infrastruttura IT in modo da prevedere zone sicure protette da firewall, come DMZ e la suddivisione tra rete di access e rete di core per esempio. Molte aziende adottano come must l’isolamento del piano di management dal resto dei servizi e creano in questo modo un layer di security ulteriore.
Quali sono i suggerimenti che si possono dare per contrastare azioni di questo tipo in termini di best practice, procedure e organizzazione?
Il suggerimento principale è quello di eseguire velocemente una valutazione del grado di esposizione a questa vulnerabilità, facendo riferimento al design dell’architettura networking e security in essere. Poi è bene procedere a disabilitare tutti quei servizi impattati nel caso specifico, ed in fine procedere con gli upgrade consigliati. Tutte le azioni per contrastare questa intrusione sono disponibili sul sito internet del brand. Suggerirei anche di programmare un assesment di sicurezza con degli esperti, per individuare eventuali gap ed apportare tutti gli adjustments e le remediation necessari alla infrastruttura, per renderla sicura non solo per questo exploit specifico ma in un’ottica di visione più ampia nel futuro.
