Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Lazio.it super Hot! Un sotto dominio espone un sito di contenuti espliciti

Chiara Nardini : 28 Agosto 2023 18:09

Nell’era digitale in cui viviamo, la sicurezza online è diventata una priorità imprescindibile. Ma cosa succede quando un’apparentemente affidabile sottodominio, come “salute.lazio.it”, viene compromesso e utilizzato per ospitare contenuti espliciti?

Si tratta di una reale compromissione di un sotto dominio oppure della possibilità data a chiunque di poter registrare un sito sotto la radice “lazio.it”?

In questo articolo andremo ad esplorare tutto questo.

Il dominio riservato lazio.it

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Intanto ricordiamo che il sotto-dominio “salute.lazio.it” non deve essere confuso con il legittimo dominio “salutelazio.it”. Nel nostro scenario, è all’interno di “salute.lazio.it” che sono stati pubblicati contenuti e materiale esplicito appartenente alla radice lazio.it.

Come sappiamo, il sito della regione Lazio punta al dominio lazio.it ed è appunto regione.lazio.it.

Esistono moltissimi sotto domini che finiscono con lazio.it e tutti sono di interesse regionale come ad esempio https://anaao.lazio.it/, https://dati.lazio.it/, https://memoria.lazio.it/ ecc…

Il dominio in questione, Lazio.it, è un dominio riservato (come riportato sul nic.it). Si tratta di uno tra i domini relativi a regioni, provincie e comuni italiani che non possono essere acquisiti e sono di gestione del NIC. I sotto domini quindi, possono essere registrati da chiunque, ma nello specifico: “Tra i domini .it riservati ma assegnabili solo a specifiche categorie, vi sono anche quelli che identificano l’Italia. Questi nomi sono assegnabili solo a organismi governativi.”

E ovviamente un sito con contenuti espliciti non può essere relativo ad un “organismo governativo”. Giovanni Pollola, un membro di Red Hot Cyber, ha proceduto a registrare il sotto dominio malattia.lazio.it e il tutto ha dato esito positivo.

Questo sta a significare che occorre una revisione dei processi interni del NIC per la registrazione dei sotto domini, pena la proliferazione di contenuti SPAM o di varia natura sotto le “radici” italiane.

Il sito attraverso la WayBack Machine

Siamo andati anche a visitare il sito utilizzando la wayback machine per comprendere la storia e la movimentazione di questo sotto dominio. Il sito in questione, ha avuto delle movimentazioni tra dicembre 2021 e il 28 agosto 2023.

Movimentazione del sotto dominio analizzato attraverso la wayback machine

Il sito in questione, il 26 gennaio del 2022 si presentava in questo modo, pertanto non erano presenti alcun contenuto esplicito.

Il sito come si presentava il 26 febbraio del 2022
L’ultima movimentazione del 28 agosto 2023, quando il sito ha iniziato a mostrare contenuti hot.

Cosa potrebbe essere successo

La trasformazione di un sottodominio istituzionale in un sito con contenuti hot è un probabile segno di compromissione della sicurezza, ma in questo caso è una mancanza di gestione dei domini “riservati” da parte del NIC.

Accedendo al sotto dominio salute.lazio.it si accede ai contenuti del sito https://sexflix.it regolarmente registrato.

La cosa interessante da notare è che accedendo https://sexflix.it non vengono riportati alert dall’antivirus, mentre accedendo a salute.lazio.it viene riportato il seguente messaggio di attenzione.

Messaggio dell’antivirus AVAST al momento della visita al sito salute.lazio.it

Una situazione analoga, in una reale compromissione di un sotto dominio, potrebbe essere dovuta a diverse falle di sicurezza che i criminali informatici hanno sfruttato. Ecco alcune delle possibili cause:

  1. Vulnerabilità del CMS: Se il sito utilizza un sistema di gestione dei contenuti (CMS) per la creazione e la gestione del sito web, potrebbe essere stato compromesso a causa di una vulnerabilità nel CMS stesso. I criminali informatici potrebbero aver sfruttato una vulnerabilità del CMS per ottenere accesso al sito e modificarne i contenuti.
  2. Compromissione del DNS, DNS Spoofing o Redirezione: Gli aggressori potrebbero aver eseguito un attacco di spoofing DNS o una redirezione del traffico DNS in modo da far puntare il sottodominio a un sito porno invece del sito originale. Questo può essere realizzato se gli aggressori hanno accesso ai server DNS del dominio.
  3. DNS cache poisoning: Gli aggressori possono avvelenare una cache DNS ingannando i resolver DNS facendogli memorizzare delle informazioni false, portando al resolver che invia l’indirizzo IP errato ai client e gli utenti che tentano di navigare su un sito Web verranno indirizzati nel posto sbagliato.
  4. Password Deboli o Rubate: Se le credenziali di accesso al sottodominio erano deboli o sono state ottenute da terzi tramite attività di phishing o furto di credenziali, gli aggressori potrebbero aver semplicemente effettuato l’accesso legittimo e apportato le modifiche.
  5. Accesso a Server: Un’altra possibilità è che i criminali informatici abbiano ottenuto l’accesso al server che ospita il sottodominio. Ciò potrebbe essere accaduto se il server non era adeguatamente protetto o se gli aggressori hanno sfruttato vulnerabilità del server stesso.
  6. Fallimenti nella Gestione delle Credenziali: Potrebbero esserci stati problemi nella gestione delle credenziali degli utenti con accesso al sottodominio, ad esempio, condividere le password tra utenti o non revocare immediatamente l’accesso agli ex dipendenti o collaboratori.

In tutti questi scenari, la compromissione della sicurezza è un grave problema che richiede un’indagine approfondita per determinare la causa esatta e implementare le misure di sicurezza necessarie per risolvere il problema. Per prevenire tali situazioni, è fondamentale adottare pratiche di sicurezza robuste, comprese password sicure, aggiornamenti regolari del software e del CMS e monitoraggio costante della sicurezza del sito web.

I rischi della compromissione di un sotto dominio o di utilizzo in modo illecito

La compromissione di un sottodominio può portare a diversi problemi di sicurezza, tra cui:

  1. Diffusione di Malware: Un sottodominio compromesso può essere utilizzato per distribuire malware a visitatori inconsapevoli. Questo malware può infettare i dispositivi dei visitatori e compromettere ulteriormente la sicurezza.
  2. Phishing e Inganno: Gli attaccanti possono utilizzare un sottodominio compromesso per eseguire attacchi di phishing, cercando di ingannare gli utenti a condividere informazioni sensibili come password o informazioni finanziarie.
  3. Accesso a Dati Sensibili: Se il sottodominio compromesso ha accesso a dati sensibili o riservati, gli aggressori potrebbero ottenere accesso a tali informazioni, mettendo a rischio la privacy e la sicurezza degli utenti.
  4. Distribuzione di Contenuti Dannosi: Gli aggressori possono modificare il contenuto del sottodominio per ospitare contenuti dannosi o indesiderati, danneggiando la reputazione del dominio principale.
  5. Usurpazione di Identità: Un sottodominio compromesso può essere utilizzato per falsificare l’identità di un’azienda o di una organizzazione, causando confusione tra gli utenti e danneggiando la reputazione.
  6. Rischi per la Sicurezza Globale: Se il sottodominio è parte di un ambiente di rete più ampio, la compromissione potrebbe potenzialmente mettere a rischio la sicurezza di tutto il sistema.
  7. Vulnerabilità Future: Una volta che un sottodominio è stato compromesso, potrebbe essere utilizzato come punto di ingresso per futuri attacchi contro il dominio principale o altri sottodomini.
  8. Svantaggi per l’Integrità del Sito: La presenza di contenuti non autorizzati o dannosi su un sottodominio può influenzare negativamente l’integrità e l’affidabilità del sito web nel suo complesso, oltre anche il SEO.

Per prevenire questi problemi, è essenziale adottare buone pratiche di sicurezza, come l’uso di password robuste, l’applicazione di patch regolari per software e CMS, la verifica delle credenziali degli utenti con accesso ai sottodomini e il monitoraggio costante per individuare attività sospette. Inoltre, un piano di risposta agli incidenti deve essere in atto per gestire tempestivamente qualsiasi compromissione.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione dell’azienda qualora voglia darci degli aggiornamenti su questa vicenda che saremo lieti di pubblicarla con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono accedere utilizzare la mail crittografata del whistleblower.

Chiara Nardini
Esperta di Cyber Threat intelligence e di cybersecurity awareness, blogger per passione e ricercatrice di sicurezza informatica. Crede che si possa combattere il cybercrime solo conoscendo le minacce informatiche attraverso una costante attività di "lesson learned" e di divulgazione. Analista di punta per quello che concerne gli incidenti di sicurezza informatica del comparto Italia.

Lista degli articoli

Articoli in evidenza

Attacco Hacker a 4chan! Dove è nato Anonymous, probabilmente chiuderà per sempre

L’imageboard di 4chan è praticamente inattivo da lunedì sera (14 aprile), apparentemente a causa di un attacco hacker. I membri dell’imageboard Soyjak party (noto anche semplic...

Zero-day su iPhone, Mac e iPad: Apple corre ai ripari con patch d’emergenza

Apple ha rilasciato patch di emergenza per correggere due vulnerabilità zero-day. Secondo l’azienda, questi problemi sono stati sfruttati in attacchi mirati ed “estremamen...

CVE e MITRE salvato dagli USA. L’Europa spettatrice inerme della propria Sicurezza Nazionale

Quanto accaduto in questi giorni deve rappresentare un campanello d’allarme per l’Europa.Mentre il programma CVE — pilastro della sicurezza informatica globale — rischiava ...

Spotify è Andato giù e DarkStorm Rivendica un attacco DDoS col botto!

​Il 16 aprile 2025, Spotify ha subito un’interruzione del servizio che ha colpito numerosi utenti in Italia e nel mondo. A partire dalle ore 14:00, migliaia di segnalazioni sono state re...

20 Milioni di euro persi da IKEA per un attacco Ransomware

Fourlis Group, il gestore dei negozi IKEA in Grecia, Cipro, Romania e Bulgaria, ha dichiarato di aver subito un attacco ransomware prima del Black Friday del 27 novembre 2024, che ha causato...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006