Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora
  • English

Talking Cricket Report 4: Le vulnerabilità delle Regioni Italiane

Autore: Simone Valenti (Ancharia Srl)

Secondo l’ultimo rapporto CLUSIT – Associazione Italiana per la Sicurezza Informatica – pubblicato a Marzo 2022, in Italia i settori più colpiti si confermano essere quelli della Finance/Insurance e della Pubblica Amministrazione, che, insieme, costituiscono circa il 50% dei casi.

Sempre secondo il CLUSIT, come mostrato nel grafico sottostante, le tecniche di attacco che hanno fatto registrare un importante aumento tra il 2020 e il 2021 risultano essere basate sullo sfruttamento di vulnerabilità note e sugli attacchi ai servizi/applicazioni web. 

Obiettivi

Questa rubrica ha come principale obiettivo quello di sensibilizzare le Istituzioni e la Pubblica Amministrazione rendendole consapevoli dei rischi e delle minacce informatiche a cui sono soggette.

Advertisements

Mediante l’analisi svolta è stato possibile quantificare il livello di rischio cyber al quale sono esposte le regioni Italiane. A partire dalla raccolta di informazioni pubblicamente accessibili in rete sono stati analizzati ed esaminati i dati per ciascuna regione. 

Quali dati sono stati raccolti per l’analisi?

Sono state catalogate diverse informazioni provenienti da fonti aperte, disponibili in rete grazie all’analisi passiva che alcune web application svolgono in maniera continuativa. Nello specifico, per ogni regione Italiana sono stati raccolti i seguenti elementi:

  • Indirizzi IP sui quali si appoggiano alcuni servizi web regionali;
  • Eventuali vulnerabilità associate a ciascun indirizzo IP raccolto;
  • Livello di gravità (CVSS) di ciascuna vulnerabilità raccolta;
  • Eventuali exploit pubblicamente disponibili associati alle vulnerabilità raccolte.

Va premesso che le fonti di Open Source INTelligence (OSINT) dalle quali sono state raccolte tali informazioni potrebbero presentare dei falsi positivi. Allo stesso modo tali strumenti non garantiscono l’identificazione della totalità delle vulnerabilità esistenti.

Ricordiamo che in passato Red Hot Cyber ha pubblicato sempre per le rubrica Talking Cricket, l’articolo “le botnet delle regioni italiane”, dove analizzava la minaccia informatica da un’altra angolazione, utilizzando analisi OSINT/CLOSINT, per individuare eventuali botnet collegate alle infrastrutture delle regioni italiane.

Advertisements

Si precisa che non è stata svolta alcuna attività di Vulnerability Assessment o Penetration Test sugli indirizzi IP analizzati. L’analisi svolta si è basata sulla raccolta di informazioni passive (OSINT) in cui queste ultime sono state poste in evidenza utilizzando risorse pubbliche disponibili a chiunque, come ad esempio ad un ipotetico attaccante.

Inoltre è possibile che siano presenti sia falsi positivi che falsi negativi, dovuti alla metodologia che si basa sulla raccolta passiva di informazioni dalle fonti pubbliche e non da scansioni realtime.

Vulnerabilità, CVE e CVSS

Le vulnerabilità informatiche sono veicolate da malfunzionamenti, mancati aggiornamenti e configurazioni non corrette e/o errori non gestiti presenti nei software. 

NVD è acronimo di National Vulnerability Database, e rappresenta un database pubblico gestito dagli Stati Uniti D’America dove all’interno vengono costantemente caricate delle liste contenenti le più recenti vulnerabilità. Quando si fa riferimento ad un Common Vulnerability and Exposures (CVE), si intende in genere una falla di sicurezza a cui è stato assegnato un numero identificativo (ID). Per ulteriori approfondimenti si rimanda qui.

Advertisements

Ogni vulnerabilità inserita all’interno di NVD presenta dei parametri di classificazione; uno dei più importanti è il CVSS ovvero il Common Vulnerability Scoring System, uno standard utilizzato per quantificare l’effettivo rischio di una vulnerabilità informatica tramite un punteggio che va da 0 a 10. Questa metrica fornisce informazioni relative al grado di complessità ed alle competenze necessarie affinché un attaccante possa effettivamente procedere a creare o ad utilizzare un effettivo exploit.

Il punteggio di base è composto da due gruppi di metriche: exploitability ed impact dove le prime rappresentano le caratteristiche del componente vulnerabile, solitamente un’applicazione software, e le seconde identificano le conseguenze di un exploit eseguito con successo sul componente interessato analizzando parametri come l’impatto relativo alla confidenzialità, integrità e disponibilità di dati e sistemi.

Attualmente la versione in vigore è la 3.1 tuttavia in questa specifica analisi è stata utilizzata la versione 2.0 in quanto non tutte le CVE hanno un CVSS v3.1 associato.

La seguente tabella rappresenta l’associazione tra il livello di gravità di una vulnerabilità (basso, medio, alto) e lo score CVSS v2.0 associato

Advertisements

Ad esempio, alla vulnerabilità identificata come CVE-2020-1472 e denominata “ZeroLogon”, è stato associato un livello di gravità pari a 9.3 (HIGH) dal sistema CVSS v2.0.

Esempio di classificazione sul National Vulnerability Database (NVD)

Difatti essa presenta un indice di impatto massimo (10 su 10) e un indice di sfruttabilità molto elevato (8.6 su 10).

Calcolatrice per lo score (Versione 2)

Exploit

L’exploit rappresenta quel codice e/o quella procedura che permette di trarre vantaggio da una o più vulnerabilità. Una volta identificata e classificata una falla, è possibile verificare se esiste un exploit in grado di sfruttarla all’interno di alcuni siti che ospitano dei Database contenenti queste informazioni.

È importante notare che per una stessa vulnerabilità possono esserci diversi exploit con un’affidabilità differente, scritti in diversi linguaggi e dal funzionamento subordinato al verificarsi di specifiche condizioni.

Advertisements

Nell’ immagine sottostante si può osservare la presenza di un exploit atto a sfruttare la vulnerabilità denominata ZeroLogon, liberamente scaricabile dal sito Exploit Database.

Risultati

I dati raccolti sono stati dapprima controllati, esaminati e successivamente utilizzati per calcolare un indice di rischio denominato Cyber Risk Index in grado di descrivere e confrontare l’attuale situazione di pericolo in cui si trovano le regioni italiane.

Analisi dei dati

Si vuole precisare che i risultati ottenuti rappresentano una fotografia attuale (Luglio 2022) della situazione italiana, tenendo conto del fatto che:

  • Il numero totale di indirizzi IP identificati ed analizzati è pari a 1.908;
  • Il numero di indirizzi IP analizzati non è lo stesso per ogni regione (ad esempio per le Marche sono stati analizzati 168 indirizzi IP mentre per la Puglia 115);
  • Il numero di indirizzi IP raccolti rappresenta ovviamente solo una parte di quelli totali.

Di seguito viene riportata una tabella in cui sono presenti, per ciascuna regione, alcune informazioni ottenute a partire dai dati raccolti. 

Advertisements
RegioneIP vulnerabili su IP analizzati [%]Exploit pubblici [%]CVSS v2.0 High [%]CVSS v2.0 Medium [%]CVSS v2.0 Low [%]
Abruzzo30,6116,9622,2272,325,46
Basilicata63,8916,1116,7177,35,99
Calabria28,0012,0317,0677,625,31
Campania46,0015,3517,4477,295,27
Emilia Romagna1,027,1460,7132,147,14
Friuli-Venezia Giulia14,2917,6919,7574,725,53
Lazio5,567,1415,71804,29
Liguria20,2515,8020,0574,535,42
Lombardia4,8218,9220,0074,595,41
Marche28,5716,8424,4170,714,88
Molise11,768,3315,2879,175,56
Piemonte1,3516,8816,8877,505,63
Puglia29,5713,8018,4776,505,02
Sardegna18,649,3920,0075,514,49
Sicilia27,0316,3519,6975,734,58
Toscana11,1412,2417,7577,015,23
Trentino Alto Adige40,0011,6320,9373,645,43
Umbria48,987,7016,5977,545,87
Valla d’Aosta10,6112,1218,9476,524,55
Veneto12,7314,2015,9878,705,33

I grafici che seguono, permettono di visualizzare tali dati

Dall’analisi dei dati si possono esprimere le seguenti considerazioni:

  • Per ciascuna regione, la maggior parte (74% medio) delle vulnerabilità riscontrate presentano un CVSS v2.0 medio: rappresentano vulnerabilità non facilmente sfruttabili ma comunque meritevoli di essere attenzionate;
  • Mediamente, circa il 20% delle vulnerabilità riscontrate presenta un CVSS v2.0 alto. Tali vulnerabilità sono molto critiche e dannose in quanto presentano dei valori elevati di exploitability e impact;
  • La percentuale di exploit pubblici va da circa il 7% (Emilia Romagna e Lazio) a circa il 19% (Lombardia) delle CVE riscontrate; la presenza di tali exploit aumenta il rischio di essere attaccati.

Cyber Risk Index

A partire dai dati raccolti, per ciascuna regione è stato calcolato quello che abbiamo chiamato Cyber Risk Index. Esso rappresenta l’attuale livello di esposizione e di rischio alle minacce cyber di ciascuna regione italiana ed è stato determinato utilizzando un semplice modello matematico che si basa sui seguenti dati:

  • Numero totale di IP analizzati
  • Numero totale di IP che presentano almeno una vulnerabilità
  • Numero totale di vulnerabilità con CVSS v2.0 Low moltiplicato per un coefficiente
  • Numero totale di vulnerabilità con CVSS v2.0 Medium moltiplicato per un coefficiente
  • Numero totale di vulnerabilità con CVSS v2.0 High moltiplicato per un coefficiente
  • Numero totale di exploit disponibili.

La scala di valori utilizzata per rappresentare il Cyber Risk Index, va da 0 a 10 in cui:

Advertisements
  • Il valore 0 rappresenta la situazione ideale, ossia quella in cui non viene registrata alcuna vulnerabilità in nessuno degli indirizzi IP raccolti
  • Il valore 10 rappresenta un massimo relativo, ossia quello che descrive la situazione peggiore tra le 20 regioni analizzate.

Di seguito viene riportata la classifica delle 20 regioni italiane, da quella che presenta un risk index più basso (Emilia Romagna) a quella con l’indice più alto (Basilicata).

POSIZIONEREGIONECYBERRISK INDEX
1Emilia Romagna0.67
2Lazio2.87
3Piemonte3.62
4Lombardia4.80
5Molise5.03
6Trentino Alto Adige5.42
7Valle d’Aosta5.52
8Veneto6.07
9Sardegna6.58
10Liguria6.79
11Friuli-Venezia Giulia7.18
12Abruzzo7.40
13Calabria7.53
14Sicilia8.14
15Umbria8.18
16Toscana8.45
17Marche8.56
18Puglia8.60
19Campania8.63
20Basilicata10

TOP 10 CVE – basato sul livello di gravità delle vulnerabilità

Di seguito abbiamo effettuato una classifica, prelevando le TOP10 CVE presenti sulle infrastrutture delle regioni dove abbiamo specificato il codice della CVE, la descrizione breve, il numero di IP dove è stata rilevata la vulnerabilità e lo score in CVSSv2.0.

PosizioneCVE id Descrizione breveNumero di IPCVSS v2.0 score
1CVE-2017-7269RCE su WEBDAV2810
2CVE-2008-0075RCE su IIS da 5.1 a 62810
3CVE-2001-0500Command Injection su IIS62810
4CVE-2017-7269RCE su IIS62810
5CVE-2010-0425RCE su Apache2510
6CVE-2010-3972RCE su Microsoft FTP 7.0 e 7.52510
8CVE-2003-0789CGI redirect paths Apache410
9CVE-2005-2700Bypass restrictions SSL410
10CVE-2021-34473RCE Exchange Server310

Dalla TOP 10 è possibile constatare l’obsolescenza dei software utilizzati nella Pubblica Amministrazione. Sono presenti CVE relative a vulnerabilità di sistemi per cui è terminato il supporto da parte del fornitore; la numero 3 ad esempio, rappresenta una vulnerabilità scoperta più di venti anni fa. Questo aspetto sarà analizzato con maggior dettaglio nei prossimi report.

Mappa italiana 

La seguente mappa mostra visivamente le differenze tra le varie regioni, in termini di Cyber Risk Index.

Advertisements

Cosiderazioni finali

Sulla base dei soli dai dati raccolti e dalla loro conseguente analisi, è emerso che con 2.489 CVEs e 401 exploit pubblici identificati, la Basilicata si candida a rappresentare la regione italiana con un indice di rischio maggiore. Al contrario l’Emilia-Romagna è la meno esposta al rischio con solamente 28 CVEs e 2 exploit pubblici identificati.

La regione Lazio si posiziona al secondo posto; probabilmente dopo l’attacco informatico subìto lo scorso anno, è stata maturata una consapevolezza maggiore. Medaglia di bronzo invece per la regione Piemonte.

In generale, sembrerebbe che le regioni del nord Italia abbiano un’esposizione maggiormente controllata rispetto a quelle del centro e del sud.

Disclaimer

La ricerca svolta da Red Hot Cyber si è basata esclusivamente su fonti pubbliche. La pubblicazione non rappresenta necessariamente lo stato dell’arte della minaccia, data la natura transitoria delle fonti, pertanto ci riserviamo la prerogativa di aggiornamento periodico qualora necessario.

Advertisements

Red Hot Cyber non è responsabile del contenuto delle fonti esterne citate all’interno di questo documento, compresi i siti web esterni a cui si fa riferimento in questa pubblicazione.

La presente pubblicazione ha uno scopo puramente informativo e didattico, e ha come focus far accrescere la consapevolezza al rischio da parte di tecnici e operatori specializzati e sarà accessibile gratuitamente senza alcuna forma di paywall. RHC non sarà responsabile se qualche persona agisca per suo conto utilizzando le informazioni contenute all’interno di questo report in modo improprio.

RHC fornirà agli enti pubblici, qualora siano interessati ad approfondire le minacce riportate all’interno del presente report, ulteriori dettagli per poter intraprendere un percorso di bonifica e di mitigazione del rischio informatico rilevato.