mercoledì 23 settembre 2020
Attacco ransomware contro Luxottica: interrotta produzione e logistica
La famosa azienda italiana Luxottica, proprietaria di notissimi brand di occhiali e vestiario come RayBan, Oakley, Ferrari, Bulgari, Chanel e altri, ha subito un cyber attacco che ha obbligato allo stop delle operazioni sia in Italia che in Cina. Parliamo della più grande azienda al mondo di occhiali, con oltre 80-000 dipendenti e che genera profitti per 9.4 miliardi l'anno.
I primi effetti dell'attacco sono divenuti visibili Venerdì mattina scorso, quando alcuni utenti hanno iniziato a segnalare malfunzionamenti di siti web collegati come quello di Ray-Ban, di Sunglass Hut di EyeMed ecc...
Anche i portali one.luxottica.com e university.luxottica.com erano offline: le homepage mostravano messaggi relativi a presunte manutenzioni in corso.
Lunedì la notizia è stata poi confermata dai nostri media nazionali: Ansa ha dato conferma del blocco della produzione e della logistica a causa di un "guasto al sistema informatico" per gli stabilimenti di Agordo e Sedico, nel bellunese. L'agenzia di stampa ha confermato che, in giornata, tutti gli operai e i dipendenti sono stati rispediti a casa a causa dell'impossibilità di procedere nell'attività lavorativa.
La conferma dell'attacco da parte dell'azienda è avvenuta soltanto ieri, Martedì 22 Settembre: Nicola Vanin, Information Security Manager di Luxottica, ha confermato l'attacco con un post su Linkedin.
"Nessuna azienda, indipendentemente dalle dimensioni, è esente da minacce alla cyber security ed è fondamentale limitare i costi e il danno reputazionale disponendo un piano di risposta da mettere immediatamente in campo dopo una violazione alla sicurezza" ha detto.
Con un secondo post, Vanin ha poi confermato la tipologia di attacco subito, ovvero un attacco ransomware che ha obbligato Luxottica ad arrestare l'intera rete "per alcune ore", specificando comunque che "attualmente non risultano accesso o furti di informazioni riguardanti utenti e consumatori".
Gli attaccanti, stando ai tecnici dell'azienda di cybersecurity Bad Packets, dovrebbero aver avuto accesso alla rete di Luxottica a causa di un controller Citrix ADC vulnerabile: la vulnerabilità in questione dovrebbe essere la CVE-2019-19781. Parliamo di una vulnerabilità molto popolare nel mondo del cyber crime che, una volta sfruttata con successo, fornisce l'accesso alla rete e le credenziali utili a diffondersi ulteriormente attraverso la rete stessa. L'attacco ransomware che, in Germania, ha portato alla morte di una paziente, ha visto l'exploit della stessa vulnerabilità.
L'attacco sembra comunque respinto, almeno stando alla nota del sindacato Femca-Cisl, unico per adesso ad aver fornito qualche dettaglio tecnico in più: sembra infatti che lo shut down preventivo di tutti i sistemi informatici e la corretta impostazione delle misure di cyber sicurezza abbia si comportato lo stop della produzione, ma anche evitato la diffusione del malware nella rete e il furto di eventuali dati, informazioni riservate e proprietà intellettuali. Il malware sarebbe cioè stato prontamente individuato non appena iniettato nella rete e isolato. L'attività produttiva sta tornando alla normalità, i siti web sono stati ripristinati e pare scongiurato il rischio di data breach.
Il patching, questo sconosciuto
Dato che la vulnerabilità CVE-2019-19781 viene regolarmente sfruttata per accedere alle reti aziendali (e non solo), Citrix ha pubblicato apposito materiale per informare tutti gli utenti e indicare le mitigazioni necessarie. Questa vulnerabilità riguarda tutte le build di Citrix ADC e Citrix Gateway precedenti alla 13.0.47.24 e va urgentemente mitigata. Citrix consiglia nella propria nota di eseguire l'upgrade alla build corretta oppure di applicare la mitigazione fornita.
L'esperto di cyber sicurezza Michael Barragry ha fatto notare però, come questa vulnerabilità sia pubblica da oltre 9 mesi e come vi sia stato un evidente ritardo nella mitigazione della stessa.
"Le vulnerabilità di Remote Code Execution sono tra le più pericolose e possono consentire ad un utente malintenzionato di eseguire del codice arbitrario sulla macchina target, eseguendo il download e attivando un ransomware. Le Aziende devono assicurarsi che sia esecutivo un solido sistema di gestione delle patch, soprattutto per la loro infrastruttura internet. Questa dovrebbe essere integrata con regolari valutazioni di sicurezza e test di penetrazione" ha dichiarato.