L’avviso concerne una vulnerabilità nota e critica in MS Exchange Server: le organizzazioni avvisate tardano tuttavia ad applicare la ‘toppa’ di sicurezza
Il Centro nazionale per la cybersicurezza (Ncsc) ha inviato una lettera raccomandata a 130 organizzazioni, tra cui pure diversi comuni, informandoli nuovamente delle vulnerabilità di un software di posta elettronica. Non è il primo avviso, ma finora queste organizzazioni non hanno risolto il problema.
La messa in guardia concerne in particolare MS Exchange Server, ha annunciato l’Ncsc via Twitter. Il software è utilizzato per gestire e-mail, appuntamenti, contatti. "Abbiamo ricevuto una soffiata da una certa fonte che ancora numerose aziende e comuni non hanno risolto questa vulnerabilità", ha detto oggi all’emittente SRF Max Klaus, caposostituto della sezione Cybersicurezza operativa.
Eppure questa lacuna nella sicurezza era nota in parte fin dall’inizio del 2021 e le organizzazioni erano già state informate più volte. Su Twitter, l’Ncsc precisa: "Anche se le patch corrispondenti sono disponibili da mesi, non sono ancora state applicate". Le cosiddette patch (letteralmente pezza o toppa) sono porzioni di software progettate appositamente per aggiornare o migliorare un determinato programma, includendo la risoluzione di vulnerabilità di sicurezza e di altri bug generici.
La vulnerabilità, scrive l’Ncsc sul proprio sito, "è classificata come critica perché permette agli aggressori di eseguire a distanza codici dannosi sul server e quindi di comprometterlo". Nei mesi scorsi all’Ncsc sono stati segnalati diversi casi in cui queste falle sono state sfruttate per infiltrare trojan di crittografia (o «ransomware»), inviare malware o estrarre criptovalute.
Le 130 organizzazioni contattate per lettera raccomandata sono solo una piccola parte del totale delle organizzazioni messe in guardia. L’anno scorso, l’Ncsc aveva informato più di 4’500 organizzazioni della vulnerabilità. La maggior parte delle aziende e dei comuni hanno installato l’aggiornamento di sicurezza nel corso dell’anno scorso, ha detto il Centro all’agenzia di stampa Keystone-ATS. Solo il 3% circa non ha ancora risolto la falla.