Il Bollettino pubblicato da CSIRT Italia in data 30.06.2020 allerta le aziende e le organizzazioni pubbliche della diffusione di attacchi Ransomware perpetrati attraverso i sistemi di accesso remoto che utilizzano il protocollo desktop remoto (RDP) o le reti private virtuali (VPN). L’analisi dei recenti attacchi ha rilevato una loro stretta correlazione con prodotti Citrix, Application Delivery Controller, Gateway e SD-WANOP – ancora vulnerabili al CVE-2019-19781 (Score CVSSV2 7.5), nonostante il rilascio di software correttivo reso disponibili dal produttore alla fine del mese di gennaio 2020. È necessario, pertanto, prestare molta attenzione a dette versioni potenzialmente “infette”.

Le Aziende, pubbliche e private, soprattutto nell’ultimo periodo emergenziale sono state costrette ad implementare i collegamenti di accesso da remoto, per consentire, laddove possibile, il prosieguo dell’attività lavorativa. I sistemi (RDP/VPN) più colpiti sono quelli configurati con password deboli, senza l’autenticazione a più fattori, e non adeguatamente protetti ed aggiornati. In tal modo, i malintenzionati, appena ottengono l’accesso alla rete, riescono a carpire altre credenziali, ad installare un codice ransomware nei sistemi interni di rete, ed in alcuni casi più gravi, minacciano di rendere pubblici i dati dell’azienda, oppure monetizzano direttamente l’attacco con la diffusione dei dati nel mercato nero.

CSRIT consiglia l’implementazione dei sistemi di accesso da remoto con le seguenti misure: – aggiornamento costante all’ultima versione, e nel contempo, verifica della disponibilità di patch di sicurezza; – prevedere l’autenticazione robusta basata su password complesse e, dove possibile, l’autenticazione a più fattori; – evitare di esporre sulla rete servizi non necessari o non più utilizzati; – applicare una segmentazione di rete (ad esempio creando separazioni tra i vari dispositivi, per quelli che contengono dati sensibili o per sistemi di produzione, configurando strumenti di controllo accessi per i vari segmenti). Il Bollettino di CSRIT consiglia, indicando specifici strumenti ed i rispettivi link: – in riferimento alla CVE-2019-19781, di consultare l’avviso CTX267027 emesso dal produttore Citrix e di applicare le mitigazioni suggerite dal produttore; – di utilizzare lo strumento rilasciato da Citrix per verificare se presente la vulnerabilità, o in alternativa strumenti open-source per verificare se vi è la compromissione; – di aggiornare il firmware regolarmente sottoscrivendosi al servizio di allerta di Citrix; – di risolvere le vulnerabilità applicando i software correttivi ivi indicati.