Iscriviti ora al Webinar di presentazione del corso Ethical Hacker! Scopri di più
Iscriviti ora al Webinar di presentazione del corso CISO! Scopri di più
Abbiamo già sfatato il mito degli 0-day come minaccia fondamentale per la sicurezza del mondo IT.
Fino a che aziende e organizzazioni trascureranno di tenere il passo delle versioni software prodotte dai vendor, fino a quando continueranno a omettere aggiornamenti di sicurezza importanti, allora nessun agente di minaccia sarà mai costretto a cercare (disperdendo tempo e denaro) nuove soluzioni di attacco. Lo 0-day è per un agente di minaccia solo l’estrema ratio da utilizzare in assenza di alternative; ma di alternative dicevamo ne esistono molte.
Il caso più comune è che gli agenti di minaccia riusino vettori di attacco già sperimentati con successo nel passato, da loro stessi o da altri, in quanto efficaci ancora su molti obiettivi.
La prassi è talmente diffusa, tanto che l’agenzia governativa statunitense CISA (Cybersecurity and Infrastructure Security Agency) tiene traccia proprio di questo fenomeno redigendo un catalogo delle vulnerabilità ancora efficaci e per questo “viste in natura”. Il catalogo è liberamente ottenibile, per farci una idea del fenomeno, all’indirizzo https://www.cisa.gov/known-exploited-vulnerabilities-catalog.
L’aggiornamento di questo catalogo è assiduo (ogni volta che si trovi traccia di attività mediante vettori di attacco basati sulle vulnerabilità censite): gli ultimi tre aggiornamenti, ad esempio, sono avvenuti il 15, il 19 e il 25 aprile, aggiungendo ben 19 vulnerabilità note sfruttabili in natura.
La più vecchia vulnerabilità nel catalogo risulta essere una privilege escalation per Windows: la CVE-2002-0367, registrata e dunque vista in natura nel marzo di questo anno, a ben 20 anni di distanza dalla sua individuazione.
Nel catalogo sono state iscritte (nel 2021 e 2022) ancora le vulnerabilità collegate al vettore di attacco “Ethernalblue”, ossia il cuore del tristemente noto malware WannaCry: le vulnerabilità CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0147, e CVE-2017-0148. Questo significa che lo stesso vettore di attacco è dunque ancora nella disponibilità degli agenti di minaccia per colpire come o più duramente di allora.
Insomma, in questo catalogo hanno posto vulnerabilità ormai note e mai sanate dagli utenti finali. Saranno state pure uno 0-day, una volta, ma ora sono “vecchie glorie” che consentono un certo agio agli agenti di minaccia nelle loro scorribande. E questo in barba al grido di allarme sugli 0-day.
Questa è la deprimente fotografia di una realtà di fatto che purtroppo troppo spesso vediamo con i nostri occhi.
