Ultime notizie

Ondata di attacchi hacker: i fatti

Domenica 5 febbraio 2023 l’Italia si è svegliata sotto uno splendido sole d’inverno in un clima d’attesa del grande freddo in arrivo.

Ma, mentre la perturbazione NìKola si fa attendere, a mezzogiorno arrivano le sorprese. Prima la rete TIM che va a singhiozzi, restando inutilizzabile fino alle 18, poi, in serata, l’annuncio dell’Agenzia per la Cybersicurezza Nazionale (ACN) che, rilanciando un bollettino del CSIRT del 4 febbraio, segnala un massiccio attacco hacker che sta colpendo obiettivi in molte nazioni, tra cui l’Italia.

Immagine | Pixabay

Cosa sta succedendo?

In tanti se lo sono chiesti. Analizzando i fatti scopriamo che l’annuncio dell’ACN è giunto casualmente in un clima già teso per il fatto che, già dal mattino, molti cittadini erano tagliati fuori dalla rete a causa di presunti problemi imputabili, secondo TIM, ad un guasto ad apparati della dorsale Seabone di Sparkle (dorsale globale di transito IP Tier-1 che fornisce accesso a Internet ad alta velocità a Isp e content provider in tutto il mondo).

Dunque, quello di TIM è solo un guasto. Ma l’attacco hacker?

Si tratta dello sfruttamento, ad opera di ignoti, di una vulnerabilità già nota e risolta da anni, per la precisione a fine febbraio 2021.

Un “disastro” annunciato che si poteva evitare informando molti mesi prima.

In realtà, nel tempo, sono stati diramati svariati bollettini che informavano gli utenti, suggerendo un aggiornamento tempestivo per evitare il peggio.

Ultimo in ordine di tempo quello del CERT-FR, pubblicato alle 19 del 3 febbraio perché molti server francesi erano già colpiti.

Occorre comprendere

L’attacco hacker in questione altro non è che lo sfruttamento della vulnerabilità classificata con CVE-2021-21974, rilevata e corretta da VMware il 23 febbraio 2021.

Il fatto è che molti utenti e organizzazioni, trascurando gli aspetti legati alla sicurezza, non provvedono all’applicazione degli aggiornamenti, lasciando anche i server pubblicamente esposti.

Una semplice ricerca su portali specializzati, come Shodan, Censys o ZoomEye fa comprendere la portata del fenomeno che non è affatto nuovo e, probabilmente, non richiede neppure tanto clamore a distanza di ben due anni dal “fattaccio”.

Immagine | Envato Elements

La vulnerabilità sfruttata

L’occasione, si sa, fa l’uomo ladro, e gli esiti si sono fatti attendere anche troppo.

Gli hacker hanno iniziato a sfruttare la CVE-2021-21974 su grande scala, tramite un exploit che porta all’esecuzione remota di codice grazie ad un Heap Buffer Overflow su OpenSLP.

Tradotto: si riesce ad eseguire codice sui server remoti, grazie a una libreria Open Source relativa al protocollo SLP (Service Location Protocol), vulnerabile per una carenza di controlli nella allocazione di zone di memoria.

Chi sono le vittime

Principalmente aziende e organizzazioni che operano server su piattaforma di virtualizzazione ESXi non aggiornata.

Possiamo immaginare che tali organizzazioni, non avendo apposto le patch del febbraio 2021, siano ferme anche con quelle pubblicate sino ad oggi, e siano pertanto esposte a nuovi e differenti attacchi.

Non è dunque questione di fare allarmismi sporadici, quanto di informare ed informarsi, attribuendo la giusta importanza alla nostra sicurezza e quella delle nostre informazioni.

Marco Marra

Appassionato di tecnologia ed esperto di Cyber Security con molti anni di esperienza nella prevenzione e gestione delle minacce cibernetiche. Altamente qualificato grazie alla continua formazione tecnica ed alle innumerevoli collaborazioni su progetti di sicurezza di importanti dimensioni in aziende italiane e multinazionali. Costantemente impegnato in attività di hacking etico e nella progettazione di sistemi di difesa Cyber Fisici

Recent Posts

Banche, Colombani confermato alla guida di First Cisl

Roma, 13 giugno 2025 – Nel corso del recente Congresso nazionale della First Cisl, Riccardo…

3 giorni ago

OpenAI posticipa il lancio del nuovo modello open-weights: atteso entro fine estate

Milano, 12 giugno 2025 – Il lancio del nuovo modello di intelligenza artificiale di OpenAI,…

4 giorni ago

Android 16 è disponibile sui dispositivi Pixel: le novità introdotte

La feature più rilevante di Android 16 è la modalità "Protezione Avanzata", pensata per utenti…

5 giorni ago

L’AI di Google sta cambiando il traffico online: i siti di news sono sempre meno visitati

L'AI sta cambiando anche il traffico su Internet: ecco come l'intelligenza di Google sta "affossando"…

6 giorni ago

Qualcomm punta forte sull’IA: acquisita Alphawave per 2,4 miliardi di dollari

L'operazione mira a potenziare la tecnologia per l'intelligenza artificiale e si completa nel primo trimestre…

7 giorni ago

Inquinamento e AI: ecco perché l’intelligenza artificiale fa aumentare le emissioni

Le emissioni di carbonio indirette di quattro principali aziende di intelligenza artificiale sono aumentate del…

1 settimana ago