Cybersecurity: allerta globale per vulnerabilità Microsoft SharePoint e attacco ransomware VMware ESXi

L'Agenzia per la Cybersicurezza Nazionale ha diramato un avviso urgente dopo la scoperta di una falla critica in Microsoft SharePoint. Contemporaneamente, un a…

Contenuto

Cybersecurity: allerta globale per vulnerabilità Microsoft SharePoint e attacco ransomware VMware ESXi

Scopri anche

Cybersecurity: allerta globale per vulnerabilità Microsoft SharePoint e attacco ransomware VMware ESXi

Cybersecurity: allerta globale per vulnerabilità Microsoft SharePoint e attacco ransomware VMware ESXi

In questo articolo:

L'Italia si trova al centro di un'ondata di attacchi informatici che ha colpito migliaia di server in tutto il mondo. L'Agenzia per la Cybersicurezza Nazionale (ACN) ha diramato un avviso urgente alle 10:30 di lunedì 21 luglio, invitando tutti gli enti potenzialmente esposti ad aggiornare immediatamente i sistemi SharePoint secondo le istruzioni fornite da Microsoft. Il contesto vede anche un attacco ransomware su larga scala contro server VMware ESXi, partito dalla Francia e diffusosi in Finlandia, Italia, Canada e Stati Uniti.

La vulnerabilità critica in Microsoft SharePoint

⬆ Torna su

Un gruppo hacker ha sfruttato una vulnerabilità in Microsoft SharePoint, classificata con un livello di rischio altissimo: 9.8 su 10, uno dei punteggi più elevati nelle valutazioni di sicurezza informatica. La falla, identificata con il codice CVE-2025-53770, permette a chiunque, anche senza possedere password o accessi, di inviare una richiesta truccata al server. Se la richiesta viene accettata, il server esegue il codice inserito dall'hacker come se fosse legittimo, consentendo il controllo completo del sistema.

Il punto debole si trova in una pagina tecnica di SharePoint chiamata /ToolPane, dove vengono salvati dati nascosti per ricordare le modifiche fatte dall'utente. È proprio in questa pagina che l'hacker inserisce il codice malevolo, sfruttando l'assenza di controlli. Il problema colpisce almeno tre versioni di SharePoint: Server 2016, Server 2019 e SharePoint Subscription Edition.

Gli esperti di cybersicurezza avvertono che senza un aggiornamento immediato, le aziende potrebbero subire perdita di dati, interruzioni dei servizi interni e diffusione di malware in tutta la rete aziendale. Diversi esperti temono che le correzioni rilasciate fino a oggi non siano ancora sufficienti a proteggere completamente i sistemi.

La risposta dell'Agenzia per la Cybersicurezza Nazionale

⬆ Torna su

L'ACN ha censito diverse decine di sistemi nazionali verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi. Secondo l'agenzia, rimangono ancora alcuni sistemi esposti, non compromessi, dei quali non è stato possibile risalire al soggetto proprietario. Questi ultimi sono chiamati ad aggiornare immediatamente i loro sistemi.

Arturo Di Corinto, Public affairs and Communication Advisor dell'ACN, ha utilizzato una metafora per spiegare la situazione: "È come se tutti gli abitanti di un condominio fossero andati via chiudendo la porta di casa, ma tutte le serrature sono risultate difettose. E adesso c'è chi sta cercando di entrare. E in qualche caso, per qualche decina di realtà italiane, gli hacker sono riusciti a sfondare".

Secondo Di Corinto, il problema riguarda tutti i server che "hanno ancora questa serratura difettosa ormai da due anni. Il produttore li aveva avvisati, ma non hanno fatto nulla. E ce ne sono almeno 500 a rischio, per questo abbiamo dovuto dare l'allarme".

L'attacco ransomware su VMware ESXi

⬆ Torna su

Contestualmente, un massiccio attacco tramite ransomware è stato rilevato dal Computer Security Incident Response Team Italia dell'ACN. L'attacco, partito venerdì scorso in Francia, ha preso di mira i server VMware ESXi, sfruttando una vulnerabilità già corretta nel 2021 dal produttore del software. Tuttavia, come spiegato dall'ACN, "non tutti coloro che usano i sistemi attualmente interessati l'hanno risolta", e i server privi delle correzioni adeguate "possono aprire le porte agli hacker impegnati a sfruttarla in queste ore".

Il rischio è definito dagli esperti "alto-arancione". I criminali informatici hanno utilizzato strumenti automatizzati per scansionare i dispositivi alla ricerca di quelli con impostazioni invariate, inoculando virus che rendono inutilizzabili i dati per poi chiedere un riscatto al proprietario del server. I soggetti colpiti sono diversificati: dalle aziende private di ogni settore a quelle pubbliche, inclusi server di università e ministeri.

Il caso Acea e la disinformazione

⬆ Torna su

Tra le aziende vittime di attacchi hacker in questi giorni figura anche Acea. L'azienda ha comunicato che è stata ripristinata la funzionalità dei sistemi informatici dopo l'attacco cyber avvenuto il 2 febbraio ad opera del gruppo ransomware Black Basta. I siti internet del gruppo e le piattaforme online per la gestione degli aspetti commerciali delle forniture di acqua, elettricità e gas risultano operativi. Le analisi statiche e dinamiche della minaccia non hanno evidenziato compromissione dei dati personali, e il disservizio informatico non ha interessato i servizi essenziali di distribuzione elettrica ed idrica.

Gli esperti hanno chiarito che l'attacco hacker sarebbe scollegato dai disservizi rilevati sulla rete Tim, con oltre 7.500 segnalazioni, problemi che l'azienda ha risolto in gran parte nella serata.

Il problema della gestione dei firewall nelle PMI

⬆ Torna su

Le piccole e medie imprese (PMI), che rappresentano il 99% del totale delle aziende italiane, spesso considerano il firewall un acquisto una tantum, qualcosa che viene installato, acceso e dimenticato. Secondo Integrity360, un firewall non è uno scudo statico, ma un controllo dinamico che deve evolvere con il cambiamento delle minacce e delle tecnologie. Quando viene trascurato, configurato in modo errato oppure lasciato in esecuzione con firmware obsoleto, diventa silenziosamente un punto di accesso per gli aggressori.

Molte PMI utilizzano le impostazioni predefinite di fabbrica, saltano gli aggiornamenti del firmware oppure dipendono esclusivamente dal firewall di base integrato nel router Internet. Le credenziali di amministratore predefinite, le porte aperte e le regole obsolete sono ciò che cercano i criminali informatici, che usano strumenti automatizzati per scansionare i dispositivi alla ricerca di quelli con impostazioni invariate.

Le conseguenze degli errori di configurazione

⬆ Torna su

Le conseguenze possono essere devastanti: dal ransomware che blocca l'azienda alle violazioni dei dati che minano la fiducia dei clienti e attirano sanzioni normative. Molte PMI in svariati settori – produzione, vendita, servizi professionali – sono state colpite a causa di semplici errori di configurazione che avrebbero potuto essere evitati. Il danno finanziario e reputazionale spesso supera di dieci volte il costo di una protezione adeguata.

Il problema non è la mancanza di consapevolezza, ma la mancanza di tempo e di competenze. Le PMI sono comprensibilmente preoccupate dall'applicazione delle patch, che può causare tempi di inattività o interrompere le operazioni, e abilitano un ampio accesso remoto per comodità, presumendo che se non c'è nulla di visibilmente sbagliato, tutto vada bene. La sicurezza fallisce silenziosamente, e un firewall obsoleto o un account VPN dimenticato possono passare inosservati fino al giorno in cui vengono usati da un aggressore come punto di ingresso.

La vulnerabilità Zerologon e l'allarme Microsoft

⬆ Torna su

Precedentemente, Microsoft aveva lanciato un allarme per Zerologon (CVE-2020-1472), una falla di sicurezza individuata da Secura e resa pubblica l'11 settembre 2020. La vulnerabilità affligge il sistema di autenticazione Microsoft Netlogon e consente di ottenere l'accesso con credenziali di amministratore all'interno di un dominio Active Directory, prendendone di fatto il controllo.

Il problema è dovuto alle modalità di implementazione del sistema crittografico AES-128-CFB8. L'algoritmo è stato utilizzato in una versione semplificata, in cui i vettori di inizializzazione (IV) sono pari a zero. Un pirata informatico può "ingannare" Netlogon inviando una richiesta di collegamento in cui i dati per la creazione della chiave crittografica sono composti da soli zero. A causa delle impostazioni di AES-128-CFB8 in Netlogon, la Netlogon Credential Computation sarà composta di soli zero con una probabilità di una volta su 256, sufficiente per avviare un attacco di brute forcing che permette di ottenere l'accesso come amministratore.

Su Internet sono comparsi nel giro di pochi giorni numerosi PoC (Proof of Concept) che permettono di sfruttare la falla di sicurezza in maniera piuttosto elementare. Gruppi di cyber criminali stanno attivamente utilizzando gli exploit. L'aggiornamento che corregge la vulnerabilità è stato distribuito da Microsoft con la tornata di update dell'agosto 2020, ma l'inerzia nell'esecuzione delle operazioni di patch lascia pensare che molti sistemi siano ancora vulnerabili.

Le vulnerabilità in HPE Aruba Networking

⬆ Torna su

Sono stati rilasciati aggiornamenti per risolvere 5 vulnerabilità di sicurezza in HPE Aruba Networking AOS-CX, di cui una con gravità "critica" e 3 con gravità "alta". Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente remoto malintenzionato di eseguire codice arbitrario ed eludere i meccanismi di autenticazione sui sistemi interessati. Il vendor specifica che le versioni software di AOS-CX attualmente fuori supporto si presumono vulnerabili, salvo diversa indicazione.

Il ruolo delle patch e la mentalità da cambiare

⬆ Torna su

Alessandro Curioni, esperto di cybersecurity, sottolinea che "dire che c'è la patch non vuol dire aver risolto il problema, perché, finché le organizzazioni non la installano, è come se non esistesse. E non la installano perché ancora prevale la mentalità del 'lo faccio dopo, tanto a me certe cose non succedono'. Sbagliatissimo".

La situazione era stata oggetto di un'informativa da parte del presidente Giorgia Meloni in sede di Consiglio dei ministri, accompagnata dall'invito a uno stretto raccordo fra le strutture istituzionali e l'ACN. Il sottosegretario Alfredo Mantovano, autorità delegata dal governo per la cybersicurezza, ha incontrato il direttore dell'Agenzia per la cybersicurezza nazionale Roberto Baldoni e la direttrice del Dipartimento informazione e sicurezza Elisabetta Belloni per fare un primo bilancio dei danni provocati dagli attacchi e confermare la promozione della adeguata strategia di protezione.

La gestione del servizio Sorveglianza Host di Microsoft

⬆ Torna su

Per le organizzazioni che utilizzano infrastrutture sorvegliate con Windows Server, la documentazione Microsoft descrive le risoluzioni dei problemi più comuni riscontrati durante la distribuzione o il funzionamento di un server di servizio Sorveglianza host (HGS). Il servizio richiede diversi certificati, tra cui il certificato di crittografia e di firma configurato dall'amministratore e un certificato di attestazione gestito dal servizio stesso. Se questi certificati sono configurati in modo non corretto, HGS non è in grado di gestire le richieste dagli host Hyper-V.

L'account del servizio gestito del gruppo che esegue il servizio Sorveglianza host deve poter accedere alle chiavi. La modalità di concessione dell'accesso dipende dalla posizione in cui è archiviata la chiave: nel computer come file di certificato locale, in un modulo di protezione hardware (HSM) o tramite un provider di archiviazione chiavi di terze parti personalizzato.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La convergenza temporale di due minacce distinte accentua la pressione sulle infrastrutture italiane. Le organizzazioni che hanno rinviato gli aggiornamenti potrebbero trovarsi esposte a rischi concatenati, con perdite di dati e interruzioni operative.

  • Scenario 1: le entità che applicano tempestivamente le patch SharePoint riducono l'esposizione, ma rimangono vulnerabili se non aggiornano anche le vecchie correzioni VMware ESXi del 2021.
  • Scenario 2: le PMI con firewall obsoleti o mal configurati diventano bersagli privilegiati per strumenti automatizzati, con impatti finanziari e reputazionali difficilmente recuperabili.
  • Scenario 3: i server esposti di cui non è stato possibile identificare il proprietario rimangono potenziali vettori di propaguzione verso reti interconnesse.

Cosa monitorare

⬆ Torna su
  • L'effettiva riduzione dei sistemi SharePoint ancora esposti nei prossimi giorni.
  • Possibili evoluzioni del ransomware verso varianti più aggressive.
  • Segnalazioni di nuove vulnerabilità correlate a configurazioni predefinite.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

In breve

  • cybersecurity
  • vulnerabilita
  • microsoft
  • ransomware

Link utili

Apri l'articolo su DeafNews