Il mondo è pronto a fronteggiare gli aggiornamenti malevoli per il mercato di massa?

A novembre 2020 il caso di Sunburst ha sconvolto il settore. Con un malware estremamente sofisticato annidato in aggiornamenti software di routine, i pirati non si sono limitati a esfiltrare i dati target, ma hanno anche diffuso il malware contagiando un numero enorme di vittime.

L’attacco è stato insolitamente complesso e sofisticato. Il malware per esfiltrare i dati, Sunburst, è stato fatto circolare tramite un aggiornamento attendibile del software Orion di Solarwinds, recapitato a più di 18.000 organizzazioni del settore pubblico e privato. Rimasto inattivo per 14 mesi, il malware ha poi cominciato la sua opera di esfiltrazione dei dati. Oggi il caso è riconosciuto come l’esempio più eclatante di attacco alle catene di fornitura, con impatti su organizzazioni pubbliche degli Stati Uniti, imprese del calibro di FireEye, Microsoft e Deloitte, nonché migliaia di aziende più piccole. A tutt’oggi non si ha ancora un quadro completo della situazione e, nonostante la disponibilità di una patch, è possibile che vi sia malware ancora non individuato e attivo.

Il senno del poi è una cosa bella, ma questo attacco alle catene di fornitura non è stato il primo del suo genere. Petya nel lontano 2017 si avvalse dello stesso metodo: gli utenti di Asus Live Update subirono nel 2019 il medesimo fato e da anni le e-mail di phishing usano l'esca degli aggiornamenti software per indurre le vittime a scaricare i malware.

Una volta che una tecnica si dimostra efficace, con risultati drammatici e da prima pagina, altri attacchi sulla falsariga dei primi non si fanno attendere a lungo. Una dimostrazione è il caso di Kaseya, fornitore di soluzioni IT irlandese rimasto vittima di una tecnica analoga nell’estate 2021, quando il suo strumento di monitoraggio remoto è stato infiltrato da un malware grazie al quale i criminali hanno avuto accesso a svariati clienti finali.

"Nel 2022 ci aspettiamo un significativo aumento di aggressioni da emulazione, con una varietà di malware diffusi attraverso aggiornamenti software."

Uno sguardo più da vicino ai vettori degli attacchi software

È chiaro che gli operatori delle catene logistiche di vari settori economici resteranno nel mirino di criminali costituiti in gruppi privati o addirittura in entità nazionali. Ho già scritto di come il debito tecnico può rendere vulnerabili le organizzazioni. E questa è una delle considerazioni. Ma come e dove stanno lanciando i loro attacchi questi pirati? Quali altri vettori di attacco potrebbero sfruttare?

Mentre attacchi come Sunburst, ransomware sferrati dal gruppo REvil come quello contro Kaseya e altri continuano ad attirare l’attenzione dei media, una violazione avvenuta nel 2021 suscitando meno clamore ha risvegliato il mio interesse: le quattro vulnerabilità OMIGOD dell’agente software Open Management Infrastructure (OMI) sulle macchine Azure Linux.

I progetti open source continuano a crescere in modo esponenziale. È vero che la sicurezza dei software open source è migliorata nettamente nel corso dell’ultimo decennio così come è vero che le patch per le vulnerabilità dei software open source vengono rilasciate molto più rapidamente. E questa è la buona notizia. Ma è vero anche che gli attacchi alle catene logistiche che fanno ricorso all’open source stanno aumentando a una velocità allarmante. Nel suo 2021 State of the Software Supply Chain report, Sonatype stima che si siano verificati 12.000 attacchi su progetti open source, con un aumento del 650% da un anno all’altro.

In un mercato fortemente competitivo, il valore attribuito all’innovazione e l’attenzione maniacale con cui si tenta di accorciare il time-to-market spinge organizzazioni grandi e piccole ad adottare progetti open source. Agenzie pubbliche e aziende private senza distinzioni si sentono schiacciate dalla necessità di innovare e distribuire progetti software a un ritmo sempre più incalzante. Ma l’adagio “chi va piano va sano e va lontano” ha il suo valido motivo d’essere, soprattutto in prospettiva di sicurezza informatica.

In questo senso, è imperativo che ciascuno di noi, sia nel settore privato che in quello pubblico, dia priorità alla sicurezza in ognuno dei nostri progetti open source. La scelta dell’open source è, almeno in parte, questione di innovazione e time-to-market. Ma le organizzazioni devono svolgere le procedure di due diligence in molte fasi di un progetto, e questo comporta svariati livelli di revisione del codice sia all’inizio di un progetto sia in fase di sviluppo e distribuzione. Non è sicuramente un’impresa da poco, e risulta ulteriormente complicata se consideriamo che i potenziali exploit possono venire da pirati esterni o da risorse interne che lavorano a quei progetti.

Come possiamo proteggerci?

Un’arma cruciale nella lotta contro gli aggiornamenti software malevoli consiste nell’affrontare il debito tecnico. Si tratta della differenza tra il “prezzo” (tempo, risorse umane, investimento in tecnologia), ovvero il costo di un progetto tecnico affinché sia perfetto e a prova di futuro, e il “prezzo” che un’organizzazione è disposta a pagare in un dato momento. I prodotti possono non essere al passo con i tempi per via di un ridotto investimento, ma buona parte di questo debito riguarda l’applicazione degli aggiornamenti software, assolutamente necessari ma spesso trascurati.

Nonostante il rischio che i criminali (che agiscano per lucro o che siano sostenuti da uno Stato) diffondano i malware tramite gli aggiornamenti software, gli amministratori IT devono sempre applicare patch e aggiornamenti non appena diventano disponibili.

Se si accumula un debito tecnico, vulnerabilità e falle nella sicurezza aprono un varco ai pirati informatici e la combinazione di nuove tecniche per la distribuzione dei malware e vulnerabilità non corrette è causa di preoccupazione.

In più, con la diffusione del lavoro ibrido, gli utenti finali hanno maggiori responsabilità riguardo all’installazione di aggiornamenti e patch per i loro sistemi. La conseguenza è o la mancata installazione o un’installazione eseguita da persone inesperte, incapaci di rilevare anomalie che agli occhi di un team IT apparirebbero immediatamente sospette. I responsabili aziendali devono assicurare la distribuzione e l’aggiornamento regolare di sessioni di formazione sulla sicurezza informatica, per fare in modo che i dipendenti agiscano come prima linea di difesa.

Quello di Solarwinds non è stato il primo episodio in cui il malware si è diffuso attraverso aggiornamenti software e sicuramente non sarà l’ultimo, ma con una maggiore consapevolezza a livello dell’intera azienda e una solida gestione delle patch possiamo consolidare le nostre difese.