Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

Il Ministero della salute è stato hackerato? Ecco le prove.

Redazione RHC : 3 Novembre 2021 17:48

Ieri notte abbiamo appreso dal noto forum underground RaidForums, che un black hacker dal nick “ItalyIsMafia”, ha pubblicato un post nel quale riportava una storia paradossale relativamente ad una violazione dei sistemi del ministero della salute.

Cosa è successo

A parte la storia che sembra paradossale (che potete leggere integralmente nel post di ieri), ci siamo soffermati sul finale, nel quale venivano riportate delle conclusioni veramente allarmanti ma allo stesso tempo sconfortanti sulla sicurezza dei sistemi della pubblica amministrazione italiana.


Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


“Non prendete di mira i sistemi italiani perché sono poveri scimpanzé ritardati. Questo poveretto ha sprecato 15k dollari nella speranza che dato che milioni di persone sono state hackerate, potesse pubblicare una dichiarazione di violazione e quindi informare i milioni di utenti coinvolti e citare la sua azienda per averli avvisati… Ha imparato a sue spese che l’Italia non è un paese ma una mafia, dal momento che non ho mai visto un paese legittimo come la Germania o la Danimarca, che un ministero informato di una violazione informatica abbia ricattato la persona che glielo aveva fatto sapere affinché queste informazioni non divenissero pubbliche.”

Le evidenze della violazione

Oggi, 03/11/2021, intorno alle 16:40, all’interno del thread del post su RaidForums, l’utente “ItalyIsMafia” (dopo una serie di commenti che chiedevano delle evidenze che sostenessero l’hack svolto verso i sistemi del ministero della salute), ha pubblicato una risposta con dei file protetti da password che contengono delle evidenze dell’avvenuto hack al sito del ministero.

RHChg ha scaricato questo file, e abbiamo analizzato le evidenze in esso contenute le quali riportano una serie di informazioni interessanti:

  • Informazioni relative alla componente JBOSS 4.2.3 (in end of life dal 18/Jul/2008) del sottodominio nsis.sanita.it , ovvero il sito che ospita la form di login che permette l’accesso alle applicazioni del Nuovo Sistema Informativo Sanitario (NSIS) e del Ministero della Salute, integrate nella piattaforma NSIS (come si legge nella pagina web);
  • Una serie di scambi email tra l’analista di sicurezza che ha acquistato l’accesso dal black hacker e il sistema sanitario nazionale, attraverso la casella di posta “[email protected];
  • Una serie di evidenze di classi Java che risultano provenire dal server del sistema informatico della salute;
  • La password di root per l’accesso SSH ad un server (porta 22), presumibilmente il jump-host dell’attaccante;
  • Una serie di file di LOG ed altre informazioni che forniscono indicazioni sulla falla sfruttata dal black hacker per accedere al sistema;
  • Una print screen che riporta l’accesso ai file del sistema attraverso shell in SSH.


IP address presumibilmente del jump-host dell’attaccante

Cosa potrebbe essere successo

Dalle analisi svolte fino ad ora (le stiamo ancora analizzando), sembrerebbe che l’accesso sia avvenuto utilizzando delle falle sul middleware JBOSS obsoleto, o un account predicibile banale. Dalle directory di installazione risulta essere presente la versione “/bin/ls /opt/jboss-4.2.3.GA/IDEASPlatformEnv/properties/”

Questa versione di JBOSS risulta in End Of Life da moltissimo tempo.


Un sample che riporta la directory di residenza di JBOSS e la versione.

Si parla del 18/Jul/2008, ciò vuol dire che la communuty open source non rilascia più fix di sicurezza su tale versione del prodotto da molto tempo, pertanto le vulnerabilità si stratificano nel tempo e non vengono sistemate, pertanto possono essere sfruttate per un attacco informatico.

Le comunicazioni

Il file delle evidenze riportate dal black-hacker, a parte le comunicazioni con il ricercatore di sicurezza, riportano due mail scambiate tra il ricercatore e il ministero della salute.

Da quanto riportato, risulta evidente che il ricercatore di sicurezza ha informato il ministero il 13 settembre scorso in modo etico, facendo al ministero una serie di domande che riportiamo di seguito:


Mail del ricercatore di sicurezza al Ministero della salute.

Mail in risposta al ricercatore di sicurezza da parte del ministero

Conclusioni

Sicuramente dai tasselli che stiamo acquisendo rispetto a questa vicenda, sembrerebbe che la storia riportata da “ItalyIsMafia”, potrebbe essere autentica.

Dalle prime analisi, potrebbe essere stata sfruttata una CVE del 2010, ovvero la CVE-2010-0738la quale descrizione sul National Vulnerability Database riporta:

L’applicazione web JMX-Console in JBossAs in Red Hat JBoss Enterprise Application Platform (alias JBoss EAP o JBEAP) 4.2 prima del 4.2.0.CP09 e 4.3 prima del 4.3.0.CP08 esegue il controllo dell’accesso solo per i metodi GET e POST, che consente aggressori remoti per inviare richieste al gestore GET di questa applicazione utilizzando un metodo diverso.

Inoltre, potrebbe essere stata sottratta da questa falla, anche la chiave privata per l’emissione dei green-pass e la situazione potrebbe essere anche molto più grave di quello che si possa immaginare.

A questo punto risulta essenziale che il Ministero della salute Italiana, emani rapidamente un comunicato relativo alla vicenda, in modo da comprendere appieno se quanto riportato nel forum underground risulta vero e quali possano essere gli impatti causati dell’accesso illecito al sistema.

In questo incidente ci troviamo nel caso opposto rispetto allo standard degli incidenti informatici italiani (regione Lazio, san Giovanni addolorata, siae) ovvero sappiamo come sono entrati ma non sappiamo cosa hanno sottratto.

RedHotCyber continua a monitorare la situazione in modo da aggiornare questo articolo qualora ci siano novità sulla questione.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Vibe Coding fuori controllo. L’IA Genera codice vulnerabile, ma tutti se ne fregano
Di Redazione RHC - 02/08/2025

L’intelligenza artificiale sta diventando sempre più un assistente per i programmatori, ma uno studio di Veracode ha dimostrato che la praticità comporta un rischio per la sicurezza. ...

Exploit RCE 0day/0click su iOS in vendita. Scopriamo il mercato delle armi cibernetiche per lo spionaggio
Di Redazione RHC - 01/08/2025

Un annuncio apparso su un forum online, datato 26 luglio 2025, ha catturato la nostra attenzione: un utente di nome “Bucad” pubblicizza la vendita di un “iOS RCE Exploit 0day | Ze...

Lovense scrive a Red Hot Cyber. Il CEO manda dei chiarimenti sulle vulnerabilità sicurezza
Di Redazione RHC - 01/08/2025

In relazione al nostro precedente articolo relativo ai bug di sicurezza rilevati sui dispositivi Lovesense (azienda leader leader nel settore dei dispositivi tecnologici per l’intimità), l...

Che cos’è il vibe coding? Scopriamo la nuova frontiera della Programmazione
Di Diego Corbi - 31/07/2025

“Ho bisogno di un sistema per gestire gli eventi della mia chiesa: volontari, iscrizioni, organizzazione degli eventi per la comunità”. Due settimane dopo aver scritto questo prompt...

Nokia sotto attacco: su DarkForums spunta in vendita il database di quasi 100.000 dipendenti
Di Redazione RHC - 31/07/2025

Un utente con il nickname Tsar0Byte ha pubblicato su DarkForums, uno dei forum underground più noti nell’ambiente cybercrime, un annuncio scioccante: la presunta compromissione di dati sen...

Iscriviti alla nostra newsletter

Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.

 
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006