In breve

• Attacchi informatici globali stanno prendendo di mira i dispositivi di sicurezza Cisco ASA e Firepower sfruttando vulnerabilità fino ad ora sconosciute.
• La CISA statunitense ha emesso la Direttiva d’Emergenza 25-03, imponendo azioni protettive immediate alle agenzie federali.
• Francia, Australia e Canada hanno diffuso avvisi paralleli, sottolineando la portata globale e il rischio per i dispositivi non più supportati.
• Gli aggressori stanno sfruttando le falle per ottenere un controllo persistente - riuscendo a sopravvivere anche a riavvii e aggiornamenti dei dispositivi.
• I dispositivi Cisco legacy privi delle più recenti funzionalità di sicurezza sono particolarmente vulnerabili, con patch urgenti e dismissioni già in corso.

La calma prima della tempesta informatica

Immagina una città in cui ogni cancello e posto di blocco smette improvvisamente di funzionare, lasciando le strade spalancate a chiunque. Questo è l’incubo che si sta ora materializzando nel mondo digitale, mentre i dispositivi di sicurezza Cisco - i guardiani virtuali di innumerevoli organizzazioni - si trovano assediati da una serie di sofisticati attacchi informatici. La crisi è così grave che le agenzie di cybersicurezza da Washington a Parigi fino a Canberra stanno lanciando l’allarme, chiedendo azioni immediate prima che i cancelli vengano completamente spalancati.

Dentro la violazione: come si è svolto l’attacco

Il cuore della tempesta è costituito da una serie di vulnerabilità nei dispositivi Cisco Adaptive Security Appliance (ASA) e Firepower. Questi dispositivi sono l’equivalente digitale delle pattuglie di frontiera, gestendo e ispezionando tutto il traffico di rete per aziende e governi. Ma gli aggressori hanno scoperto falle fino ad ora sconosciute - i cosiddetti zero-day - che permettono loro di eludere le difese, eseguire da remoto il proprio codice e persino modificare la memoria centrale (ROM) dei dispositivi. Questo significa che un attaccante può mantenere il controllo, sopravvivendo a riavvii e aggiornamenti software, proprio come un ladro che si procura la chiave maestra e disattiva per sempre il sistema d’allarme.

La campagna, soprannominata “ArcaneDoor”, è stata individuata per la prima volta nel 2024, ma ora si è trasformata in una crisi globale. Sebbene alcuni modelli Cisco più recenti dispongano di funzionalità Secure Boot in grado di rilevare manomissioni, molti dispositivi ASA più datati - ancora diffusi nelle infrastrutture critiche - sono privi di tali protezioni e rappresentano bersagli facili per gli aggressori.

Direttive d’emergenza e una corsa contro il tempo

In risposta, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha emesso la Direttiva d’Emergenza 25-03, ordinando a tutte le agenzie federali di verificare, aggiornare e, in alcuni casi, disconnettere immediatamente i dispositivi vulnerabili. Dump di memoria, log dei dispositivi e report di stato devono essere inviati entro pochi giorni, e le apparecchiature non più supportate dovranno essere dismesse entro il 30 settembre 2025. Altri paesi, tra cui il CERT-FR francese e l’ACSC australiano, hanno rilanciato questi avvisi, invitando gli utenti a disabilitare funzionalità ad alto rischio come le VPN fino all’arrivo delle patch. L’agenzia canadese per la cybersicurezza avverte che malware sofisticati si stanno diffondendo a livello globale, prendendo di mira soprattutto i dispositivi che non ricevono più aggiornamenti.

Non è la prima volta che le infrastrutture critiche vengono prese di mira. Nel 2018, i dispositivi Cisco furono colpiti dal malware “VPNFilter”, che infettò centinaia di migliaia di router in tutto il mondo. Gli attacchi odierni, però, sono ancora più avanzati: gli aggressori possono ora radicarsi in profondità, rendendo la rimozione molto più difficile.

Perché è importante: mercati, geopolitica e cloud

Le conseguenze vanno oltre il settore pubblico. Provider cloud, fornitori terzi e aziende private - soprattutto quelle che si affidano a hardware Cisco datato - sono tutti a rischio. La direttiva si applica a qualsiasi infrastruttura che gestisca dati sensibili, incluse quelle certificate secondo lo standard di sicurezza cloud FedRAMP del governo USA. La posta in gioco è alta: un attacco riuscito potrebbe compromettere infrastrutture critiche, paralizzare aziende e minare la fiducia nei sistemi stessi che dovrebbero proteggerci.

Con il rischio informatico ormai questione di sicurezza nazionale, agenzie e imprese di tutto il mondo stanno correndo per aggiornare, patchare o dismettere i propri guardiani digitali. Non agire potrebbe lasciare le reti spalancate a spionaggio, sabotaggi o peggio.

WIKICROOK

• Zero: Una vulnerabilità zero-day è una falla di sicurezza nascosta, sconosciuta al produttore del software e senza soluzione disponibile, il che la rende estremamente preziosa e pericolosa per gli aggressori.
• Esecuzione di codice da remoto: L’esecuzione di codice da remoto consente agli aggressori di eseguire comandi sul tuo computer a distanza, spesso portando al completo compromesso del sistema e al furto di dati.
• Secure Boot: Secure Boot è una funzionalità di sicurezza che verifica l’integrità del software all’avvio, bloccando l’esecuzione di codice non autorizzato o manomesso sul dispositivo.
• VPN (Virtual Private Network): Una VPN cripta la tua connessione internet e nasconde il tuo indirizzo IP, offrendo maggiore privacy e sicurezza durante la navigazione online o l’uso di Wi-Fi pubblici.
• Dispositivo legacy: Un dispositivo legacy è un hardware o software obsoleto ancora in uso, spesso privo di aggiornamenti di sicurezza e quindi più esposto ai rischi informatici.