Nella giornata di ieri, domenica 5 febbraio 2023, due notizie di tecnologia hanno ricevuto gli onori della cronaca generale: un malfunzionamento della rete TIM, che ha causato molti problemi di navigazione agli utenti, impattando anche il derby Inter – Milan, e un vasto attacco ransomware ai danni del sistema di virtualizzazione VMware.

L’attacco ransomware sta avendo un impatto molto vasto, soprattutto nel continente Europeo, tanto che sia l’agenzia di sicurezza informatica italiana ACN che quella francese, hanno emanato degli avvisi pubblici, così da allertare il maggior numero di utenti possibile.

L’avviso si riferisce al bollettino di sicurezza CVE-2021-21974, emanato a febbraio 2021, per cui il produttore VMware ha rilasciato un aggiornamento risolutivo nel mese stesso. Quello a cui stiamo assistendo in questi giorni, è un attacco su vasta scala per un errore conosciuto e risolto da parecchio tempo.

Sembra che la Francia sia stata una delle nazioni più colpite perché molti dei server attaccati sono ospitati dal provider di servizi cloud OVH. Sebbene i propri sistemi interni (gestiti) non siano soggetti al problema, OVH ha molti clienti con server in housing.
Data l’entità dell’attacco, il 3 febbraio OVH ha rilasciato un comunicato avvisando i propri clienti di mettere in sicurezza i propri server ospitati su OVH. Molti di questi avevano infatti esposto il sistema di gestione VMware sulla rete pubblica, senza alcuna restrizione o controllo.

Questo tipo di attacchi su vasta scala, così come altri più mirati, possono essere mitigati ma soprattutto resi inefficaci adottando procedure e tecnologie in grado di proteggere i server.

YetOpen mette a disposizione la propria competenza per attuare le seguenti procedure dai propri clienti:

• MONITORAGGIO COSTANTE DEI BOLLETTINI DI SICUREZZA
  YetOpen controlla regolarmente gli avvisi di sicurezza dei vendor, e notifica i clienti in caso di necessità, concordando le azioni correttive necessarie a mantenere un elevato livello di sicurezza.
• ATTIVITÀ PIANIFICATE DI AGGIORNAMENTO
  YetOpen propone ai propri clienti delle sessioni periodiche di aggiornamento dei sistemi installati, al fine di assicurare la stabilità dei servizi e la presenza delle necessarie correzioni di sicurezza.
• VALUTAZIONE DELLE NECESSITÀ E PUBBLICAZIONE DEI SOLI SERVIZI INDISPENSABILI
  Soprattutto per i server ospitati in cloud, è indispensabile definire delle regole di accesso che espongano al pubblico solamente i servizi indispensabili, riducendo al minimo la superficie di esposizione ad attacchi. I server installati e gestiti da YetOpen hanno attivi solamente i servizi necessari, e sono dotati di una configurazione firewall per consentire l’accesso di alcuni solo via VPN e di altri tramite indirizzo pubblico.
• PROGETTAZIONE DI RETE CON SEGMENTAZIONE DEGLI ACCESSI
  In una rete strutturata, così come per i server in cloud, è importante suddividere la rete in comparti diversi, così da poter limitare gli accessi unicamente per quanto di competenza e necessità.
  Un utente del reparto commerciale non avrà esigenza di accedere alla console di amministrazione di VMware, mentre il reparto IT si. Un fornitore collegato alla rete wireless ospiti non avrà necessità di accedere al gestionale aziendale. YetOpen può aiutarvi a delineare la struttura logica della rete, e a definire le regole di accesso tra i diversi segmenti.
• PROCEDURE DI BACKUP E RIPRISTINO
  In caso di attacchi più sofisticati in grado di aggirare le procedure di sicurezza, è fondamentale farsi trovare pronti a un ripristino dei dati e dei servizi. YetOpen offre ai propri clienti diverse soluzioni di backup: locali su NAS sempre in linea per ripristino “veloce”, offsite (cloud o remoto) cifrati, su dischi a rotazione da tenere scollegati in cassaforte.
• AGGIORNAMENTO CONTINUO SU PROCEDURE E NOTIZIE
  YetOpen si mantiene in costante aggiornamento, seguendo media di settore e divulgatori esperti in sicurezza informatica, per offrire un servizio sempre all’avanguardia ai propri clienti.

Anche se le esigenze informatiche di una azienda non sono le stesse di una grossa corporation, è sempre importante adottare le procedure corrette. Di seguito alcuni casi reali da noi gestiti:

1. segmentazione della rete: consulente esterno a cui viene dato accesso alla rete wireless aziendale, ha installato un virus che effettua attacchi di forza bruta per guadagnare accesso ssh a un server interno;
2. supporto proattivo: a dicembre 2022 viene rilasciato il bollettino di sicurezza FG-IR-22-398 da parte di Fortigate. YetOpen ha notificato tempestivamente un cliente con 6 firewall affetti dal bug, e ha pianificato l’aggiornamento degli stessi nei giorni successivi;
3. controllo accessi: i server che gestiscono servizi web-based preparati da YetOpen non hanno mai l’accesso ssh pubblico, e quando viene espressamente richiesto è abilitato solo con chiave. In alcuni casi vengono anche limitati URL specifici a indirizzi IP singoli, o via VPN;
4. segmentazione rete e servizi: gli utenti di lavoro non devono avere privilegi amministrativi, vanno creati accessi dedicati per le procedure di amministrazione così che anche il furto delle credenziali di un collaboratore non sia garanzia di accesso alla gestione;
5. procedure di backup avanzate: per un cliente abbiamo realizzato un server di backup isolato che preleva i dati e li memorizza su dischi hot swap. Questo garantisce che la compromissione del server principale non vada a impattare i backup (ai quali non ha accesso), e la sicurezza di poter avere una copia integrale dei dati scollegati fisicamente dalla rete.

 

Immagine di copertina di FLY:D da Unsplash. Immagine lungo il testo di Art Wall – Kittenprint da Unsplash.