Patch disponibili ma aziende lente ad aggiornare: il caso SonicWall

Negli ultimi mesi, le aziende hanno affrontato una vera e propria ondata di attacchi ransomware che sfruttano una grave vulnerabilità nei dispositivi SonicWall, utilizzati per la protezione delle reti e delle connessioni VPN.

Gli attaccanti, una volta penetrati nei sistemi, effettuano movimenti laterali per identificare asset critici, rubare dati sensibili, installare malware e infine lanciare un ransomware. Il blocco dei sistemi critici viene spesso accompagnato dalla richiesta di riscatto, sfruttando anche i documenti sensibili esfiltrati.

Il vero problema: le patch di sicurezza ci sono, ma le aziende non aggiornano

SonicWall ha da tempo rilasciato patch ufficiali per correggere la vulnerabilità CVE-2024-40766, una falla di “Improper Access Control” che permetteva a un attaccante non autenticato di ottenere accesso non autorizzato alle risorse, inclusa l’interfaccia di gestione e, in alcuni casi, di sfruttare il servizio SSLVPN per entrare nella rete, aggirando i controlli di sicurezza standard.

Nonostante la disponibilità degli aggiornamenti firmware, la situazione nelle aziende resta critica per due motivi principali:

• Mancato patching: molte organizzazioni non hanno ancora applicato l’aggiornamento. Gli hacker scansionano Internet e colpiscono chi è rimasto indietro.
• Credenziali già rubate: se l’attaccante ha sfruttato il bug prima dell’applicazione della patch, potrebbe aver rubato le credenziali degli utenti o degli amministratori. Anche dopo l’aggiornamento, l’hacker può tentare di rientrare come utente legittimo.

Questa dinamica evidenzia come il rilascio della patch sia solo il primo passo: la vera criticità è la lentezza o la mancata applicazione degli aggiornamenti da parte delle aziende.

Impatti operativi e costi

Secondo recenti report, il costo medio di un attacco ransomware per un’azienda europea supera i 200.000 euro, senza considerare le perdite indirette. Gli impatti:

• Fermo operativo: i sistemi bloccati impediscono la normale attività.
• Perdita di dati: informazioni riservate, dati dei clienti e documenti strategici possono essere sottratti o distrutti.
• Costi elevati: oltre al riscatto richiesto dagli hacker, si aggiungono spese per ripristino, consulenze e possibili sanzioni per violazioni GDPR.
• Danno reputazionale: la fiducia di clienti e partner può essere compromessa, con effetti a lungo termine sul business.

Cosa fare: la procedura corretta di cyber hygiene

Le best practice che un reparto IT deve seguire tassativamente e al più presto sono:

• Aggiornare immediatamente il firmware.
• Effettuare un reset di massa delle password di tutti gli utenti che avevano accesso alla VPN e dell’account admin locale del firewall.
• Abilitare MFA su tutti gli accessi VPN e sull’interfaccia di gestione.
• Disabilitare la gestione su WAN: l’interfaccia di amministrazione non deve essere esposta su Internet pubblico.
• Controllare la presenza di utenze “fantasma” create durante il periodo di vulnerabilità.

Misure di protezione aggiuntive

La vulnerabilità SonicWall e la sua gestione rappresentano un caso emblematico: la sicurezza non dipende solo dalla tecnologia, ma dalla capacità delle aziende di aggiornare tempestivamente i propri sistemi, di adottare soluzioni di sicurezza informatica gestita e di seguire best practice operative. Solo così è possibile ridurre il rischio di attacchi ransomware e proteggere il business aziendale.

Ecco alcune misure fondamentali:

• Monitoraggio continuo: implementare soluzioni di rilevamento avanzato per individuare comportamenti anomali e bloccare gli attacchi prima che si diffondano.
• Segmentazione della rete: isolare le aree più critiche per ridurre la superficie di attacco.
• Backup sicuri e testati: garantire il ripristino rapido dei dati in caso di compromissione.
• Formazione del personale: il fattore umano resta uno dei punti più vulnerabili, quindi è essenziale sensibilizzare i dipendenti sui rischi.

In questo contesto, il supporto di un Security Operation Center (SOC) può fare la differenza. Il SOC Axitea offre un presidio costante sulla sicurezza aziendale, con monitoraggio 24/7, gestione proattiva delle minacce e indicazioni operative precise su come intervenire in caso di vulnerabilità o attacco.