Attacco hacker alla Sanità: sfruttata una vulnerabilità nei firewall Fortinet

Condividi su facebook
Condividi su linkedin
Trovata una lista di quasi 50 mila obiettivi sensibili a livello globale pubblicata nel dark web. Tra i soggetti coinvolti anche istituzioni e aziende di primissimo piano del Life Science italiano

Una lista di obiettivi spiattellata nel dark web, una delle più remote anse dell’universo cibernetico. A farlo un gruppo di hacker che lo scorso anno ha attaccato enti pubblici e privati in tutto il mondo. E il 19 novembre ha reso pubblici gli indirizzi Ip degli stessi rendendo possibile per chiunque, tecnicamente, approfittare della soffiata e rubare materiale sensibile. L’healthcare non è stato risparmiato dato che utilizza molti dispositivi di sicurezza Fortinet risultati vulnerabili. La Polizia postale e le autorità competenti stanno facendo i dovuti accertamenti.

Come accedere al darkweb
Il darkweb è un luogo poco raccomandabile

Obiettivi italiani

L’attacco globale (di cui si era a conoscenza da tempo) ha colpito l’accesso Vpn di circa 50 mila società pubbliche e private sfruttando il mancato aggiornamento dei sistemi di protezione. Ecco perchè noi consigliamo sempre di avere dei sistemi di protezione perimetrale adeguati (vedi qui nostro articolo “Il firewall non è un soprammobile”)

La novità non sta quindi tanto nel data breach in sé, quanto nella possibilità da parte di chiunque di reperire gli estremi per effettuare altre azioni criminali ai software. Recentemente anche grazie a Telegram nelle cui chat hanno iniziato a circolare le informazioni. A essere stati rubati, infatti, sono stati dati di accesso e password alle Vpn. In Italia sono stati circa 1800 gli obiettivi sensibili. Yarix, società di consulenza informatica e di cybersicurezza, ha filtrato la lista mettendo in risalto le vittime del nostro Paese. Tra di esse purtroppo risultano esserci istituzioni di rilevanza nazionale tra cui la Presidenza del Consiglio dei ministri e grandi multinazionali. Anche il comparto della salute in Italia è stato colpito con associazioni di settore tra cui Farmindustria, oltre ad aziende farmaceutiche di primo piano.

La lista

L’elenco è costituito da elementi sufficientemente criptici, almeno per un occhio inesperto. Quelli del darkweb sono furbi. Non hanno messo in chiaro i nomi dei proprietari delle reti attaccate, bensì solo ed esclusivamente gli estremi Ip. Ai nomi si è risaliti attraverso controllo incrociati. Alcuni di questi appartenevano ad aziende ospedaliere, società farmaceutiche, istituzioni, enti di rappresentanza, studi legali o associazioni di volontariato.

“Alla data di pubblicazione della lista nel dark web – spiega Diego Marson, Chief security di Yarix – pochissimi utenti si erano mossi. Purtroppo questi episodi accadono spesso quando il processo di risk management non è strutturato. Noi abbiamo segnalato il tutto al ministero dell’Interno e alla Polizia postale e abbiamo preparato la documentazione per evidenziare lo stato delle cose”.

Come hanno fatto ?

È Yarix stessa a fare chiarezza sulla vicenda. Parliamo di una vulnerabilità CVE-2018-13379, di tipo path traversal che riguarda dispositivi Fortinet SSL VPN. È ben nota (anche agli attaccanti) e facilmente sfruttabile (è sufficiente un browser) e consente di ottenere in chiaro username e password di utenti Vpn. Il firmware di aggiornamento contro il rischio di data breach Fortinet l’ha rilasciato il 26 novembre 2019 ma a un anno esatto da allora ci sono ancora soggetti che non hanno aggiornato i propri sistemi di difesa e risultano ancora vulnerabili alla CVE-2018-13379.

Quanto accaduto conferma come molte società ed enti pubblici non diano ancora la dovuta importanza alla protezione cibernetica e come la Vpn. Soprattutto in questo periodo con il forte incremento di utilizzo causa Covid. “Lo scenario è fluido – continua Marson – ed è essenziale il processo di verifica delle misure opportune da compiere. Un problema non indifferente, tra l’altro, è la grande saturazione del mercato di dispositivi potenzialmente suscettibili di attacchi hacker”. Inoltre l’aggiornamento per la Vpn che non è stato adoperato dalle aziende colpite è disponibile già da un anno. Possiamo dire che proprio l’incapacità o la mancata consapevolezza di ricorrere a upgrading dei propri sistemi informatici ha causato la falla. La sensazione, come conferma lo stesso esperto di Yarix, è la difficoltà di stare al passo con la velocità di aggiornamento dei software.

Meditate gente, meditate, ma aggiornate anche i vostri sistemi di sicurezza 😉

Se vuoi delle informazioni aggiuntive in merito a questo articolo, Clicca qui e scrivici !

Systemtec

Systemtec

Un partner affidabile per il tuo business

Lascia un commento

systemtec?

Un partner affidabile con tempi di intervento rapidi e sicuri per il ripristino on site della tua infrastruttura informatica, ma anche un consulente IT che conosce realmente “cosa fai” e ti propone sempre prodotti giusti “per farlo bene”.

Ultimi post

Seguici

video del mese

Iscriviti alla nostra Newsletter

Iscriviti e rimani aggiornato su tutti i  nostri nuovi articoli.   

Torna su