Sintesi

Nell’ambito delle proprie attività, volte ad individuare fattori di rischio a cui è esposto lo spazio digitale nazionale, lo CSIRT Italia registra costantemente un alto numero di dispositivi e servizi eterogenei (ad esempio IoT, router industriali, telecamere IP e controllori e sistemi SCADA) esposti su Internet in maniera insicura. L’aumento della relativa superficie di esposizione è tipicamente riconducibile a configurazioni non adeguate, all’utilizzo di credenziali deboli o predefinite o all’assenza di meccanismi di autenticazione robusti (ad es. MFA). Tale scenario comporta l’aumento del rischio di compromissione dei sistemi target da parte di minacce informatiche sempre più evolute e persistenti non solo in contesti strutturati, quali ad esempio reti aziendali o industriali, ma anche in contesti domestici mettendo anche in questo caso a rischio la privacy degli utenti o fungendo da piattaforma per ulteriori attacchi verso terzi.

Introduzione

Nell’ambito delle proprie attività, volte ad individuare fattori di rischio a cui è esposto lo spazio digitale nazionale, lo CSIRT Italia registra costantemente una ampia gamma di servizi digitali, spesso eterogenei per natura, funzione e livello di sicurezza intrinseca, esposti su Internet in maniera insicura. In particolare, si osserva una crescita di casi in cui applicazioni, telecamere IP, interfacce di amministrazione, sistemi di accesso remoto e altre componenti sensibili vengono rese accessibili direttamente dalla rete pubblica senza adeguate misure di protezione o senza una preventiva valutazione del livello di rischio correlato. Tale fenomeno, tipicamente dovuto a errate configurazioni, automatismi di deployment poco sicuri o scarsa consapevolezza tecnica, comporta un ampliamento significativo della superficie d’attacco dei sistemi informativi e introduce nuove opportunità di compromissione da parte di attori ostili sia in contesti strutturati, quali ad esempio reti aziendali o industriali, sia in contesti domestici mettendo anche in questo caso a rischio la privacy dei cittadini o fungendo da piattaforma per ulteriori attacchi verso terzi.

Un contesto operativo caratterizzato dall’esposizione non responsabile di asset critici offre, di fatto, un’opportunità concreta per una vasta gamma di attori malevoli, che operano con differenti livelli di competenza, motivazione e risorse. Partendo da attori non sofisticati, che utilizzano strumenti automatici e vulnerabilità note per attacchi semplici, a hacktivist motivati da cause politiche o sociali, fino a cybercriminali organizzati capaci di sviluppare exploit avanzati anche al fine di monetizzare le eventuali compromissioni effettuate. A un livello superiore operano gli attori finanziati o supportati da organizzazioni governative (APT), con risorse elevate e obiettivi strategici ben definiti, che conducono attacchi complessi e difficili da rilevare.

Indipendentemente dal livello di sofisticazione degli attori coinvolti, una volta individuato il servizio vulnerabile, questo viene preso di mira con l’obiettivo di compromettere la riservatezza, l’integrità e/o la disponibilità del sistema interessato. L’incremento della minaccia e l’evoluzione continua delle TTP (Tactics, Techniques, and Procedures) impiegate evidenziano l’urgente necessità di rafforzare i presidi di sicurezza preventiva, includendo:

• un accurato e continuo controllo della superficie esposta;
• un piano di aggiornamento e sostituzione degli apparati fuori supporto;
• la gestione proattiva delle configurazioni;
• il monitoraggio costante degli accessi di rete;
• l’applicazione di tutte le best practices indicate dai vendor;
• l’utilizzo dell’autenticazione multifattore;
• la modifica delle credenziali di default;
• l’esposizione selettiva dei servizi che consenta l’accesso, ove possibile, dalle sole postazioni o IP autorizzati;
• l’applicazione del principio del privilegio minimo.

Servizi remoti tipicamente esposti

La seguente lista — non esaustiva — illustra alcuni dei principali protocolli e servizi che risultano, dalle analisi di questo CSIRT, esposti incautamente e/o che presentano vulnerabilità.

1. Telnet

Telnet è un protocollo di accesso remoto che consente agli utenti di collegarsi a un server e interagire con esso attraverso un’interfaccia testuale. È considerato obsoleto e insicuro , poiché non prevede alcuna forma di crittografia , nemmeno durante la fase di autenticazione: le credenziali e i dati trasmessi viaggiano in chiaro durante la comunicazione e sono pertanto facilmente intercettabili.

Rendere accessibile questo protocollo dalla rete Internet (ma anche all’interno di reti aziendali o domestiche) comporta un rischio critico per la confidenzialità delle credenziali e del contenuto delle comunicazioni, tipicamente di natura amministrativa.

Per ridurre la superficie di esposizione, è fondamentale disabilitare Telnet sostituendolo con protocolli sicuri come SSH. Qualora per ragioni legacy non sia possibile rimuoverlo, è opportuno limitarne l’accesso tramite ACL, VPN, segmentazione di rete e monitoraggio attivo dei log di connessione.

2. Secure Shell (SSH)

SSH è un protocollo di rete che permette di stabilire connessioni sicure, consentendo l’esecuzione di comandi su un sistema remoto tramite un canale crittografato. A differenza di Telnet, garantisce la riservatezza e l’integrità dei dati trasmessi attraverso l’utilizzo della cifratura del traffico.

Tuttavia, l’esposizione del servizio su Internet senza adeguate misure di protezione rappresenta un rischio significativo: di fatto può divenire un bersaglio per attacchi automatizzati, tentativi di brute force e scansioni volte ad evidenziare vulnerabilità note.

L’uso di credenziali deboli, il mancato aggiornamento del sistema, la mancata limitazione degli accessi o una configurazione non opportuna possono trasformare rapidamente tale protocollo in un punto d’ingresso per perpetrare azioni malevole.

Secondo MITRE ATT&CK questo protocollo è stato abusato da gruppi APT e criminali come Lazarus, OilRig e Leviathan.

Maggiori informazioni sono disponibili al link:

• https://attack.mitre.org/techniques/T1021/004/

3. Remote Desktop Protocol (RDP)

Remote Desktop Protocol (RDP) è un protocollo proprietario sviluppato da Microsoft che consente l’accesso remoto ai sistemi Windows tramite un’interfaccia grafica. È largamente impiegato in contesti aziendali e amministrativi per la gestione remota di server e workstation.

Nonostante integri funzionalità di crittografia, l’esposizione diretta di RDP su Internet rappresenta un rischio critico per la sicurezza dell’intera infrastruttura. I servizi RDP accessibili pubblicamente sono frequentemente presi di mira da attacchi brute-force, campagne ransomware e attività di compromissione mirata, specialmente in ambienti Active Directory.

L’eventuale acceso da parte di un attaccante a un servizio RDP può comportare la perdita di confidenzialità di informazioni critiche e il diritto di esecuzione di codice con privilegi amministrativi. Questo può accadere anche nel caso in cui i normali utilizzatori dell’asset non abbiano tali privilegi.

Si raccomanda di limitare il più possibile l’esposizione di questo protocollo. È strettamente necessario, al fine di ridurre i rischi, seguire le indicazioni del vendor, aggiornare il sistema operativo, applicare le configurazioni di hardening, limitare l’accesso al protocollo a una whitelist di IP autorizzati, adottare password policy più complesse.

Infine, secondo Mitre ATT&CK questo protocollo è stato abusato da numerosi attori APT, ed utilizzato per perpetrare attacchi ad alto impatto, come il noto WannaCry.

Maggiori informazioni disponibili ai seguenti link:

• https://attack.mitre.org/techniques/T1021/001/
• https://attack.mitre.org/techniques/T1563/002/

4. Virtual Network Computing (VNC)

VNC è un sistema di controllo remoto che consente di interagire con il desktop grafico di un asset (es. desktop di Windows, Linux e macOS), utilizzando il protocollo RFB (Remote Framebuffer Protocol). Nonostante possa supportare meccanismi di crittografia, molte implementazioni trasmettono i dati in chiaro per impostazione predefinita, rendendolo particolarmente vulnerabile in caso di configurazioni non sicure.

L’esposizione di VNC sulla rete Internet senza adeguate misure di protezione potrebbe permettere attacchi di tipo brute-force e la possibilità di carpire credenziali utente e/o informazioni sensibili, tramite intercettazioni del traffico in chiaro.

Spesso utilizzato sia in ambiti industriali e laboratori o contesti domestici, VNC può rappresentare un serio rischio per la sicurezza qualora non confinato a reti interne o protetto da meccanismi di accesso controllato, come VPN, firewall o sistemi di autenticazione centralizzata.

Secondo MITRE ATT&CK questa funzionalità è abusata da APT come FIN7, Gamaredon e Fox Kitten, ma anche altri gruppi criminali come TrickBot e WarzoneRAT.

Maggiori informazioni disponibili al link:

• https://attack.mitre.org/techniques/T1021/005/

5. Remote Procedure Call (RPC)

Remote Procedure Call (RPC) è un protocollo che consente a un programma di invocare procedure su un altro sistema della medesima rete come se fossero eseguite localmente. È largamente impiegato per abilitare la comunicazione tra servizi in architetture distribuite e, in ambienti Windows, costituisce un elemento essenziale per il funzionamento di componenti come WMI, DCOM e SMB.

Tuttavia, ove non adeguatamente protetto da firewall, tramite opportuna segmentazione della rete e/o controlli di accesso, può rappresentare un vettore per attacchi remoti.

La sua esposizione può essere sfruttata da attori malevoli per eseguire codice, scansionare eventuali servizi interni e compiere movimenti laterali all’interno di infrastrutture Windows, specialmente in contesti Active Directory.

Come riportato da Mitre ATT&CK, il protocollo e le sue componenti vengono utilizzate in tool utili alla persistenza.

Maggiori informazioni disponibili al link:

• https://attack.mitre.org/techniques/T1021/003/

6. Server Message Block (SMB)

SMB è un protocollo che consente di base la condivisione di risorse come file e stampanti. Il client può tipicamente accedere a parte del file system e/o dispositivi condivisi su sistemi remoti in modo trasparente, integrandosi con i meccanismi di autenticazione e autorizzazione del sistema operativo.

In caso di configurazione non ottimale l’accesso non autorizzato a un sistema per mezzo di questo protocollo potrebbe permettere all’attaccante la sostituzione/compromissione di file eseguiti o utilizzati dal sistema operativo con i massimi privilegi comportandone così la compromissione.

Il protocollo SMB implementa inoltre la funzionalità DCE/RPC che consiste nell’incapsulamento del protocollo RPC in quello SMB, pertanto, pubblicando su internet questo protocollo si corrono i rischi già indicati per RPC oltre a quelli propri di RPC.

La mancanza di controlli rigorosi su accessi e permessi può consentire movimenti laterali all’interno della rete e l’escalation dei privilegi sui dispositivi target, portando ad una rapida compromissione dell’intera infrastruttura.

Secondo MITRE ATT&CK questa funzionalità è stata ampiamente abusata da numerosi attori APT e da gruppi cybercriminali, tra i quali si annoverano gruppi quali BlackByte, Conti, Emotet, Lazarus e Lockbit.

Maggiori informazioni disponibili al link:

• https://attack.mitre.org/techniques/T1021/002/
• https://attack.mitre.org/techniques/T1135/

7. Distributed Component Object Model (DCOM)

DCOM è una tecnologia Microsoft che consente l’esecuzione di componenti software distribuiti su più sistemi all’interno di una rete, tramite meccanismi RPC. Pur non essendo un servizio remoto nel senso tradizionale, DCOM permette a un’applicazione client di richiamare oggetti su un host remoto, facilitando l’automazione distribuita.

Tuttavia, l’esposizione di DCOM comporta rischi significativi per la sicurezza, in particolare all’interno di ambienti Windows. Può essere sfruttato per movimenti laterali silenziosi e fileless, nonché per forzare l’autenticazione NTLM verso sistemi controllati da un attaccante, con lo scopo di intercettare hash di credenziali.

Per ridurre la superficie d’attacco, è consigliabile disabilitare DCOM, ove non strettamente necessario, monitorarne gli utilizzi anomali e limitarne l’accessibilità tramite segmentazione di rete, controllo delle ACL e log auditing mirato.

Per il protocollo DCOM valgono le medesime considerazioni MITRE ATT&CK descritte per il protocollo RPC.

Maggiori informazioni disponibili al link:

• https://attack.mitre.org/techniques/T1021/003/

8. Apple Remote Desktop (ARD)

Apple Remote Desktop (ARD) è uno strumento di gestione remota per macOS che consente agli amministratori di controllare e monitorare altri sistemi Apple in rete. Supporta funzioni come l’esecuzione di comandi remoti, l’installazione di software e la raccolta di informazioni dagli endpoint, utilizzando protocolli come VNC e SSH.

L’esposizione diretta di ARD a reti non affidabili, in particolare tramite VNC non cifrato, rappresenta un rischio concreto per l’integrità e la riservatezza dei sistemi gestiti. Accessi non autorizzati potrebbero consentire il pieno controllo remoto di macchine sensibili.

Per mitigarne i rischi, è consigliabile disabilitare l’accesso VNC ove non necessario, applicare l’autenticazione forte, limitarne l’uso a reti interne protette e monitorare attivamente i tentativi di accesso.

Per il protocollo ARD valgono le medesime considerazioni MITRE ATT&CK descritte per il protocollo VNC.

Maggiori informazioni disponibili al link:

• https://attack.mitre.org/techniques/T1021/

9. RTSP (Telecamere IP)

Real Time Streaming Protocol, è un protocollo di rete progettato per controllare la trasmissione di contenuti multimediali in tempo reale. Rappresenta lo strumento che consente a un client (come un’app o un browser) di avviare , mettere in pausa, mandare avanti o indietro uno stream audio/video proveniente da un server. Non trasmette direttamente i dati multimediali (la trasmissione viene permessa da altri protocolli come ad esempio RTP), ma gestisce il controllo dello streaming, un po’ come fa HTTP con le pagine web, ma per i contenuti video/audio.

Molti dispositivi RTSP (come le telecamere IP) espongono i flussi video senza autenticazione o con credenziali deboli o di default. Quando non correttamente configurato, può esporre flussi video non protetti accessibili da chiunque conosca o riesca a ricostruire l’URL di pubblicazione, oltre a credenziali in chiaro in se non si utilizza la versione cifrata del protocollo (RTSP su TLS – RTSPS). Inoltre molti dispositivi che utilizzano RTSP (telecamere, DVR, NVR) sono basati su firmware obsoleti o non aggiornabili. Questo li rende estremamente vulnerabili alle compromissioni.

Per mitigarne i rischi è fondamentale disabilitare RTSP se non necessario, utilizzare credenziali forti e cambiarle regolarmente, limitare l’accesso tramite firewall o VPN, aggiornare i firmware e software dei dispositivi, preferire protocolli cifrati (RTSPS) dove possibile limitare l’accesso ai flussi RTSP implementando strumenti di autenticazione forte, utilizzare le versioni cifrate del protocollo.

10. Modbus

Modbus è un protocollo di comunicazione ampiamente utilizzato in ambito industriale e SCADA per lo scambio di dati tra dispositivi quali PLC, sensori e attuatori. Supporta sia comunicazioni seriali sia tramite protocollo TCP/IP. Tuttavia, Modbus non include meccanismi di autenticazione o crittografia, rendendo i dispositivi e le reti vulnerabili a intercettazioni, manomissioni e comandi non autorizzati ove esposti senza adeguate protezioni.

Tale assenza di sicurezza intrinseca espone i sistemi industriali a rischi elevati, inclusi sabotaggi, alterazioni di processo e interruzioni operative, con potenziali gravi conseguenze sulla sicurezza fisica e sui processi produttivi.

Per mitigarne i rischi è fondamentale isolare le reti Modbus tramite una segmentazione rigorosa, utilizzare firewall industriali dedicati e implementare VPN o altri metodi di cifratura per proteggere le comunicazioni TCP/IP. Inoltre, è importante applicare controlli di accesso stringenti, monitorare costantemente il traffico per individuare attività anomale e mantenere aggiornati i sistemi per correggere tempestivamente le vulnerabilità note.

Come riportato da Mitre ATT&CK, il protocollo è stato abusato nel recente passato da gruppi noti quali OilRig e Revil.

Maggiori informazioni disponibili al link:

• https://attack.mitre.org/techniques/T0869/

11. DNP3 (Distributed Network Protocol)

DNP3 (Distributed Network Protocol) è un protocollo di comunicazione utilizzato principalmente nei sistemi SCADA e nelle infrastrutture critiche, come reti elettriche e impianti industriali. Permette lo scambio di dati e comandi tra dispositivi remoti e unità di controllo centrali. Le prime versioni del protocollo non prevedono alcuna misura di sicurezza, rendendo il protocollo vulnerabile ad attacchi quali spoofing, replay e denial of service.

Sebbene le versioni più recenti abbiano funzionalità di autenticazione e crittografia, sono ancora largamente utilizzate implementazioni legacy, prive di protezioni adeguate. L’esposizione di DNP3 su reti pubbliche o non opportunamente segmentate rappresenta un elevato rischio per la disponibilità e l’integrità dei sistemi industriali.

Per ridurre la superficie di attacco, risulta essenziale utilizzare versioni sicure del protocollo, limitare la comunicazione a canali isolati o protetti da VPN e adottare sistemi di monitoraggio dedicati alle reti OT.

Maggiori informazioni disponibili al link:

• https://attack.mitre.org/techniques/T0869/

12. BACnet

BACnet è un protocollo di comunicazione utilizzato nei sistemi di automazione degli edifici, come climatizzazione (HVAC), illuminazione, controllo accessi e antincendio. Consente la comunicazione tra dispositivi di diversi produttori su reti IP o seriali, garantendo il coordinamento delle funzionalità di sistema.

Inizialmente progettato senza requisiti di sicurezza, BACnet risulta vulnerabile qualora esposto a reti non protette: comandi non autenticati potrebbero compromettere il funzionamento dei sistemi critici dell’edificio.

Per ridurre i rischi, è fondamentale isolare il protocollo utilizzando reti dedicate, applicando opportuni controlli di accesso e, ove possibile, adottando soluzioni che rafforzano la sicurezza del protocollo, come BACnet/SC (Secure Connect), un’estensione che introduce meccanismi di cifratura e autenticazione per proteggere le comunicazioni.

Maggiori informazioni disponibili al link:

• https://attack.mitre.org/techniques/T0888/

13. MQTT (Message Queuing Telemetry Transport)

MQTT (Message Queuing Telemetry Transport) è un protocollo di messaggistica leggero, ovvero ottimizzato per ambienti con limitazioni tecniche: è basato su un modello publish/subscribe, molto diffuso nei dispositivi IoT grazie alla sua efficienza anche in reti con larghezza di banda ridotta.

Sebbene MQTT preveda la protezione delle comunicazioni tramite TLS, per garantire riservatezza e integrità dei dati, spessp tale funzionalità non viene implementata, esponendo le comunicazioni ad eventuali intercettazioni, manipolazioni e altre tipologie di attacchi.

Per minimizzare i rischi, è importante configurare sempre MQTT con meccanismi di sicurezza adeguati, limitare l’accesso alle reti di comunicazione e monitorare il traffico per rilevare attività sospette.

Maggiori informazioni disponibili al link:

• https://attack.mitre.org/techniques/T1071/005/

14. CoAP (Constrained Application Protocol)

CoAP (Constrained Application Protocol) è un protocollo web leggero, progettato specificamente per dispositivi IoT con risorse limitate. Pur essendo simile a HTTP, è ottimizzato per funzionare su reti a bassa potenza e con consumo ridotto di banda ed energia.

CoAP può proteggere le proprie comunicazioni attraverso DTLS (Datagram Transport Layer Security), ma in molti casi questo meccanismo non viene attivato, esponendo i dispositivi e i dati a rischi quali intercettazioni e manomissioni.

Per limitare la superficie di esposizione, è importante configurare CoAP con DTLS e adottare misure di controllo accessi e monitoraggio nelle reti IoT.

15. HTTP/HTTPS (in dispositivi IoT)

Un numero sempre crescente di dispositivi IoT permette l’esposizione delle proprie interfacce web di configurazione e controllo senza adeguate misure di sicurezza. L’utilizzo di HTTP non cifrato, credenziali di default o sistemi di autenticazione deboli, rende tali dispositivi un bersaglio estremamente semplice e diffuso da compromettere, specialmente se accessibile da Internet.

Tali vulnerabilità, frequentemtente trascurate, consentono di perpetrare accessi non autorizzati con estrema facilità, portando a compromissioni dirette, esfiltrazione di dati, controllo completo del dispositivo e propagazione di attacchi all’interno della rete. In molti casi, dispositivi compromessi vengono annessi a botnet, armati per lanciare attacchi DDoS su larga scala o utilizzati come punti d’ingresso in infrastrutture critiche, trasformando ogni singolo IoT vulnerabile in una minaccia concreta per l’intero ecosistema di rete.

Per ridurre i rischi legati alle interfacce web dei dispositivi IoT, è fondamentale utilizzare HTTPS per cifrare le comunicazioni e cambiare le credenziali di default con password robuste. È inoltre importante adottare sistemi di autenticazione più sicuri, limitare l’accesso ai dispositivi tramite VPN o firewall, mantenere aggiornati i relativi firmware e software e monitorare costantemente i log e il traffico di rete per evidenziare attività sospette.

Secondo MITRE ATT&CK il protocollo HTTP/S è stato ampiamente abusato da numerosi attori APT e da gruppi cybercriminali, dei quali si annoverano tra i più noti nomi quali DanBot, Dridex, Egregor e GuLoader.

Maggiori informazioni disponibili ai link:

• https://attack.mitre.org/techniques/T1071/001/
• https://attack.mitre.org/techniques/T0869/

16. SNMP (Simple Network Management Protocol)

Il Simple Network Management Protocol (SNMP) è uno protocollo per il monitorare e gestire dispositivi di rete come router, switch, stampanti e dispositivi IoT.

Le versioni più diffuse – come SNMPv1 e SNMPv2 – usano un sistema di controllo degli accessi basato su “community string” (es. public, private) che funge da “password condivisa”, ma non offrono capacità di cifratura.

A seconda della configurazione, un eventuale attaccante potrebbe:

• ottenere una mappa dettagliata della rete;
• intercettare informazioni sensibili;
• modificare configurazioni, come ad esempio, il routing (se si ha accesso in scrittura);
• eseguire una limitata gamma di comandi per la gestione del traffico, il riavvio e (in alcuni casi) lo spegnimento dell’apparato.

La versione SNMPv3 introduce un livello di autenticazione e cifratura, la possibilità di definire ACL e filtri IP oltre a un meccanismo di autorizzazione basato su utenti e ruoli.

Si raccomanda di limitare il più possibile l’esposizione di questo protocollo e di optare per versioni che implementano meccanismi di sicurezza validi (SNMPv3). Inoltre, è strettamente necessario seguire le indicazioni del vendor, rimuovere le configurazioni di base necessarie per la prima configurazione e limitare l’accesso al protocollo a una whitelist di IP autorizzati.

Maggiori informazioni disponibili ai link:

• https://attack.mitre.org/techniques/T1602/

17. FTP (File Transfer Protocol)

Questo protocollo di trasferimento file, ancora largamente presente in molti dispositivi embedded e IoT, tipicamente per operazioni di aggiornamento o backup, trasmette dati e credenziali in chiaro sul canale di comunicazione senza alcun meccanismo di cifratura.

Tale comportamento espone i dispositivi al rischio di intercettazione e attacchi man-in-the-middle, permettendo agli attaccanti di carpire informazioni sensibili, compromettere l’integrità dei dati trasferiti e prendere il controllo dei dispositivi target. L’utilizzo continuativo di questo protocollo obsoleto rappresenta un significativo punto di debolezza soprattutto per infrastrutture con dispositivi connessi a reti pubbliche o non opportunamente protette.

Per mitigare i relativi rischi di compromissione è fondamentale sostituire tale protocollo con alternative più sicure, come SFTP o FTPS che prevedono meccanismi di cifratura, o implementare comunicazioni che prevedano tunnel cifrati (es. VPN). In mancanza di alternative, è necessario limitare rigorosamente l’accesso al protocollo tramite firewall, autenticazioni forti e segmentazione di rete, evitandone tassativamente l’esposizione diretta su Internet.

Come riportato MITRE ATT&CK il protocollo è stato abusato da gruppi cybercriminali, tra i quali si evidenzia PoetRAT.

Maggiori informazioni disponibili ai link:

• https://attack.mitre.org/techniques/T1105/

18. UPnP (Universal Plug and Play)

UPnP (Universal Plug and Play) è un protocollo progettato per la scansione e la configurazione automatica dei dispositivi di rete, molto diffuso in ambito consumer e IoT per facilitare il networking e l’interoperabilità.

Tuttavia, a causa di configurazioni spesso errate o troppo permissive, UPnP rappresenta una vulnerabilità significativa: può essere sfruttato da attaccanti per eseguire movimenti laterali all’interno della rete, esporre dispositivi sensibili e persino aprire porte di rete non autorizzate, aumentando drasticamente la superficie di attacco. L’esposizione incontrollata di UPnP, specialmente verso Internet, ha portato a numerosi casi di compromissioni e attacchi mirati.

Per mitigare i rischi descritti, è fondamentale disabilitare tale protocollo sui router. Ove non possibile, l’utilizzo di tale protocollo andrebbe limitato esclusivamente a reti locali fidate. È altrettanto importante mantenere aggiornato il firmware dei dispositivi, al fine di correggere tempestivamente eventuali vulnerabilità note. Il monitoraggio del traffico di rete può aiutare a individuare attività sospette legate a UPnP, mentre una corretta configurazione del firewall e una segmentazione efficace della rete contribuiscono a ridurre l’impatto di eventuali tentativi di abuso.

Maggiori informazioni disponibili ai link:

• https://attack.mitre.org/techniques/T1016/

Vulnerabilità note e zero-day su dispositivi esposti

Anche dispositivi e servizi remoti correttamente configurati e protetti da misure di sicurezza come autenticazione forte e crittografia possono comunque essere soggetti a vulnerabilità sfruttabili.

Le vulnerabilità note — ovvero quelle già identificate e catalogate pubblicamente, ad esempio nel database CVE (Common Vulnerabilities and Exposures) — includono difetti di implementazione, errori logici, problemi di validazione dell’input o gestione della memoria, che possono essere sfruttati per ottenere accesso non autorizzato o eseguire codice malevolo. Tali criticità possono permettere a un attaccante di compromettere un dispositivo o un servizio remoto, anche in assenza di credenziali valide.

Inoltre, le vulnerabilità di tipo zero-day , ovvero relative a criticità software non ancora pubbliche o per le quali non esistono patch disponibili, rappresentano una minaccia particolarmente insidiosa perché sono sconosciute ai produttori e agli utenti.

Eventuali exploit possono essere sfruttati in maniera mirata per perpetrare attacchi altamente efficaci e difficili da rilevare o bloccare, specialmente qualora riguardino dispositivi IoT, sistemi SCADA e controller industriali, dove la gestione di patch e aggiornamenti è frequentemente ostacolata da limitazioni tecniche o operative, rendendo questi sistemi più esposti rispetto ai sistemi IT convenzionali.

In ambienti IoT e industriali, inoltre, molte vulnerabilità derivano dall’uso di firmware obsoleti o non aggiornati, interfacce di gestione con credenziali hardcoded , mancanza di isolamento tra reti di controllo e reti IT, e protocolli progettati originariamente senza considerazioni di sicurezza. I fattori elencati contribuiscono ad amplificare la superficie di esposizione anche in presenza di una configurazione corretta.

La combinazione di vulnerabilità note e zero-day, unitamente all’utilizzo di pratiche di sicurezza spesso non ottimali, rende indispensabile l’implementazione di un approccio di difesa a più livelli. Tale approccio dovrebbe includere monitoraggio continuo, segmentazione della rete, aggiornamenti tempestivi e piani di risposta agli incidenti, al fine di contenere l’impatto di eventuali compromissioni.

Sistemi in End of Life

In questo contesto, è fondamentale porre particolare attenzione anche ai prodotti che hanno raggiunto la data di fine supporto (End of Life, EOL) da parte del vendor. Tali sistemi, spesso caratterizzati dalla combinazione di protocolli obsoleti, credenziali hardcoded e componenti non più aggiornabili, rendono particolarmente vulnerabile l’infrastuttura in caso di esposizione diretta o indiretta alla rete.

La mancanza di un supporto stabile e continuo da parte del fornitore rende tali dispositivi bersagli ideali per attori malevoli, con potenziali impatti critici sulla produzione, sull’erogazione dei servizi essenziali e, nei casi più gravi, sulla sicurezza fisica di persone e infrastrutture.

Per quanto esposto, risulta necessario implementare opportune procedure di dismissione controllata e migrazione verso soluzioni più moderne e sicure, integrando la sicurezza come componente essenziale della continuità operativa.

Azioni di mitigazione in contesti domestici

In ambito domestico, i dispositivi connessi (IoT, router, smart TV, telecamere IP, elettrodomestici intelligenti ecc.) rappresentano spesso un punto debole nella catena di sicurezza della rete. Pur non essendo sistemi critici, un eventuale compromissione può comportare violazioni della privacy, l’uso illecito della banda (es. botnet) o come ponte verso attacchi su altri dispositivi. Di seguito una lista di best practice raccomandate applicabili nel contesto di riferimento:

1. Cambiare le credenziali predefinite su router, telecamere, NAS e altri dispositivi.

2. Evitare l’uso delle configurazioni di default , personalizzando porte, utenti, nomi di rete e impostazioni di sicurezza.

3. Utilizzare l’autenticazione a più fattori ogni volta che è disponibile.

4. Utilizzare password forti , uniche per ogni dispositivo (min. 12 caratteri, maiuscole, minuscole, lettere, numeri, caratteri speciali).

5. Aggiornare regolarmente il firmware dei dispositivi e del router, abilitando gli aggiornamenti automatici se disponibili.

6. Disattivare l’UPnP (Universal Plug and Play) sul router, che può esporre servizi automaticamente su Internet.

7. Limitare l’accesso remoto : disabilitare il controllo da remoto se non strettamente necessario.

8. Isolare i dispositivi IoT su una rete guest , separandoli da PC, smartphone e dispositivi personali.

9. Monitorare l’attività del router : verificare connessioni aperte e traffico anomalo, tramite pannello di gestione o app.

10. Utilizzare DNS sicuri per filtrare contenuti indesiderati e migliorare la sicurezza.

11. Configurare il firewall del router per bloccare connessioni in ingresso non autorizzate.

12. Utilizzare l’accesso remoto in modo sicuro , evitando l’apertura manuale di porte sul router/firewall per servizi come RDP, VNC o SSH; preferire invece l’uso di soluzioni VPN dedicate (es. WireGuard, OpenVPN) per accedere alla rete domestica.

Azioni di mitigazione in contesti strutturati

In contesti aziendali, industriali o istituzionali, l’esposizione di servizi remoti costituisce un rischio critico. In questo ambito è fondamentale la collaborazione tra le strutture dell’organizzazione deputate alla gestione dei sistemi IT, sia da un punto di vista tecnico sia da un punto di vista di governance, e gli utenti che possono rappresentare una prima linea di difesa.

Si riporta di seguito una lista di best practice raccomandate applicabili nel contesto di riferimento:

1. Formazione continua del personale su sicurezza informatica e riconoscimento di tentativi di attacco.

2. Impostazione di password robuste e univoche, con gestione centralizzata delle credenziali.

3.   Applicazione rigorosa della politica del Least Privilege , limitando gli accessi solo al personale e ai sistemi strettamente necessari.

4. Aggiornamento tempestivo e continuo di firmware, software e patch di sicurezza per tutti i dispositivi e servizi.

5.   Utilizzo obbligatorio di autenticazione multifattoriale (MFA) per ogni accesso remoto.

6. Segmentazione di rete e isolamento dei sistemi critici, utilizzando ad esempio VLAN o subnet fisiche dedicate.

7. Impiego di VPN aziendali sicure per tutti gli accessi remoti, vietando l’esposizione diretta di servizi (RDP, SSH, VNC ecc.) su Internet.

8. Disabilitazione di servizi non necessari e chiusura delle porte non utilizzate.

9.   Implementazione di firewall con regole restrittive e sistemi di prevenzione intrusioni (IPS/IDS).

10. Monitoraggio continuo e centralizzato degli accessi e dei log tramite soluzioni SIEM.

11. Applicazione di politiche di controllo accessi basate su ruolo (RBAC) e revisione periodica delle autorizzazioni.

12. Adozione di sistemi di protezione avanzata , come endpoint detection and response (EDR) e antivirus aggiornati.

13. Configurazione di sistemi di notifica e allarme per accessi sospetti o anomalie di rete.

14. Adozione di un Incident Response Plan (IRP) formalizzato e testato, per gestire rapidamente e efficacemente eventuali incidenti di sicurezza.

15. Implementazione di geofencing o whitelist IP per limitare gli accessi da aree geografiche o indirizzi IP non autorizzati in particolare per sistemi critici.

16. Utilizzo di DNS sinkhole o firewall DNS per bloccare domini malevoli noti.

17. Analisi e test di vulnerabilità periodici , inclusi penetration test sui servizi esposti.

18. Implementazione di soluzioni di Zero Trust Network Access (ZTNA) per una verifica continua delle identità e dei dispositivi.

19. Backup regolari e sicuri delle configurazioni e dei dati critici per permettere il rapido ripristino in caso di compromissione.

20. Adozione di policy di sicurezza documentate e audit periodici di conformità normativa.