In questi giorni l’Agenzia italiana per la Cybersicurezza ha inviato un avviso urgente attraverso canali interni verso amministratori pubblici, enti istituzionali e infrastrutture critiche. Lo CSIRT (Computer Security Incident Response Team) ha già sollevato da giorni l’allarme, incoraggiando le aziende e gli enti più esposti a porre particolare attenzione ad aggiornamenti, backup, difese periferiche e tentativi di phishing.
Ora, però, abbiamo un dettaglio in più: a partire da Domenica 6 Marzo, i cyberattacchi potrebbero mettere l’Italia nel mirino.
Questo alert è strettamente collegato all’attuale situazione politica internazionale, si consiglia, pertanto, di implementare quanto prima i suggerimenti riportati di seguito, prestando massima attenzione a:
- Disponibilità e Verifica dei sistemi di backup;
- Possibili attacchi di Phishing e Smishing;
- Aggiornamento dei sistemi esposti su Internet e/o incremento delle protezioni degli stessi;
- Riduzione delle superfici di attacco, mettendo offline i sistemi non strettamente necessari, ed incrementando i controlli e le protezioni sugli altri.
Approfittiamo per riportare altre informazioni provenienti dagli Stati Uniti, dove la CISA (Cybersecurity and Infrastructure Security Agency) e l’FBI hanno emesso un avviso congiunto per allertare le organizzazioni su vulnerabilità e malware distruttivi utilizzati attivamente.
Il malware, WhisperGate e HermeticWiper, viene utilizzato per distruggere i sistemi informatici e renderli inutilizzabili. Secondo i ricercatori, HermeticWiper prende di mira i dispositivi Windows.
L’avviso riporta: “il malware distruttivo può rappresentare una minaccia diretta per le operazioni quotidiane di un’organizzazione, con un impatto sulla disponibilità di risorse e dati critici. È probabile che si verifichino ulteriori attacchi informatici dirompenti contro le organizzazioni in Ucraina che potrebbero involontariamente estendersi alle organizzazioni di altri paesi. Le organizzazioni dovrebbero aumentare la vigilanza e valutare le proprie capacità che comprendono pianificazione, preparazione, rilevamento e risposta per un tale evento”.
Le azioni su cui CISA/FBI sollecitano le aziende ad agire oggi includono:
- Imposta programmi antivirus e antimalware per eseguire scansioni regolari.
- Abilita potenti filtri antispam per impedire alle e-mail di phishing di raggiungere gli utenti finali.
- Filtra il traffico di rete.
- Aggiorna il software.
- Abilita l’autenticazione a più fattori.
I dettagli tecnici, le azioni di mitigazione e le considerazioni sulla pianificazione sono forniti in dettaglio nell’avviso. Il punto è che la Russia utilizzerà tutti i suoi strumenti per sconvolgere non solo l’Ucraina, ma anche gli altri suoi avversari quando verranno attuate sanzioni, compresi gli attacchi informatici. Rimanere al passo con gli avvisi della CISA e dell’FBI è importante per aiutare a comprendere i rischi e prevenirli.
Inoltre la CISA ha aggiunto 95 vulnerabilità al suo elenco di problemi di sicurezza sfruttati attivamente. Nonostante alcuni di loro siano noti da quasi due decenni. Per ridurre il rischio di vulnerabilità note, alle agenzie federali vengono concesse poco più di tre settimane per correggere i 95 difetti di sicurezza appena aggiunti. 27 delle quali hanno una scadenza più breve, principalmente perché sono più recenti ed interessano i sistemi che danno accesso a informazioni sensibili. Otto di questi bug hanno un punteggio di gravità critica elevato di almeno 9,8:
| CVE | Vendor/Project | Product |
| CVE-2022-20708 | Cisco | Small Business RV160, RV260, RV340, and RV345 Series Routers |
| CVE-2022-20703 | Cisco | Small Business RV160, RV260, RV340, and RV345 Series Routers |
| CVE-2022-20701 | Cisco | Small Business RV160, RV260, RV340, and RV345 Series Routers |
| CVE-2022-20700 | Cisco | Small Business RV160, RV260, RV340, and RV345 Series Routers |
| CVE-2022-20699 | Cisco | Small Business RV160, RV260, RV340, and RV345 Series Routers |
| CVE-2020-1938 | Apache | Tomcat |
| CVE-2019-16928 | Exim | Exim Internet Mailer |
| CVE-2018-0151 | Cisco | IOS and IOS XE Software |
La tabella seguente elenca le 10 vulnerabilità più vecchie che CISA ha aggiunto questa settimana al suo catalogo delle vulnerabilità sfruttate:
| CVE | Fornitore/Progetto | Prodotto | Nome della vulnerabilità | breve descrizione |
| CVE-2011-0611 | Adobe | Flash Player | Adobe Flash Player Remote Code Execution Vulnerability | Adobe Flash Player contiene una vulnerabilità che consente agli aggressori remoti di eseguire codice arbitrario o causare un Denial of Service (arresto anomalo dell’applicazione) tramite contenuto Flash creato. |
| CVE-2010-3333 | Microsoft | Office | Microsoft Office Stack-based Buffer Overflow Vulnerability | Esiste una vulnerabilità di overflow del buffer basata sullo stack nell’analisi dei dati RTF in Microsoft Office e le versioni precedenti consentono a un utente malintenzionato di eseguire l’esecuzione di codice in modalità remota. |
| CVE-2010-0232 | Microsoft | Windows Kernel | Microsoft Windows Kernel Exception Handler Vulnerability | Il kernel in Microsoft Windows, quando l’accesso alle applicazioni a 16 bit è abilitato su una piattaforma x86 a 32 bit, non convalida correttamente alcune chiamate BIOS, il che consente agli utenti locali di ottenere privilegi. |
| CVE-2010-0188 | Adobe | Reader and Acrobat | Adobe Reader and Acrobat Arbitrary Code Execution Vulnerability | Una vulnerabilità non specificata in Adobe Reader e Acrobat consente agli aggressori di causare un Denial of Service o eventualmente di eseguire codice arbitrario. |
| CVE-2009-3129 | Microsoft | Excel | Microsoft Excel Featheader Record Memory Corruption Vulnerability | Microsoft Office Excel consente agli aggressori remoti di eseguire codice arbitrario tramite un foglio di calcolo con un record FEATHEADER contenente un elemento di dimensione cbHdrData non valido che influisce sull’offset del puntatore. |
| CVE-2009-1123 | Microsoft | Windows | Microsoft Windows Improper Input Validation Vulnerability | Il kernel in Microsoft Windows non convalida correttamente le modifiche agli oggetti del kernel non specificati, il che consente agli utenti locali di ottenere privilegi tramite un’applicazione predisposta. |
| CVE-2008-3431 | Oracle | VirtualBox | Oracle VirtualBox Insufficient Input Validation Vulnerability | Esiste una vulnerabilità di convalida dell’input nel driver VBoxDrv.sys di Sun xVM VirtualBox che consente agli aggressori di eseguire localmente codice arbitrario. |
| CVE-2008-2992 | Adobe | Acrobat e Reader | Adobe Reader and Acrobat Input Validation Vulnerability | Adobe Acrobat e Reader contengono un problema di convalida dell’input in un metodo JavaScript che potrebbe potenzialmente portare all’esecuzione di codice in modalità remota. |
| CVE-2004-0210 | Microsoft | Windows | Microsoft Windows Privilege Escalation Vulnerability | Esiste una vulnerabilità legata all’elevazione dei privilegi nel sottosistema POSIX. Questa vulnerabilità potrebbe consentire a un utente connesso di assumere il controllo completo del sistema. |
| CVE-2002-0367 | Microsoft | Windows | Microsoft Windows Privilege Escalation Vulnerability | Il sottosistema di debug smss.exe in Microsoft Windows non autentica correttamente i programmi che si connettono ad altri programmi, il che consente agli utenti locali di ottenere privilegi di amministratore o di SISTEMA. |
Con le 95 vulnerabilità aggiunte questa settimana , il catalogo redatto dalla CISA ha un totale di 478 voci.