Scopri i nostri percorsi di Hacking e approfitta dell'imperdibile promozione! Scopri di più
Abbiamo già sfatato il mito degli 0-day come minaccia fondamentale per la sicurezza del mondo IT.
Fino a che aziende e organizzazioni trascureranno di tenere il passo delle versioni software prodotte dai vendor, fino a quando continueranno a omettere aggiornamenti di sicurezza importanti, allora nessun agente di minaccia sarà mai costretto a cercare (disperdendo tempo e denaro) nuove soluzioni di attacco. Lo 0-day è per un agente di minaccia solo l’estrema ratio da utilizzare in assenza di alternative; ma di alternative dicevamo ne esistono molte.
Il caso più comune è che gli agenti di minaccia riusino vettori di attacco già sperimentati con successo nel passato, da loro stessi o da altri, in quanto efficaci ancora su molti obiettivi.
La prassi è talmente diffusa, tanto che l’agenzia governativa statunitense CISA (Cybersecurity and Infrastructure Security Agency) tiene traccia proprio di questo fenomeno redigendo un catalogo delle vulnerabilità ancora efficaci e per questo “viste in natura”. Il catalogo è liberamente ottenibile, per farci una idea del fenomeno, all’indirizzo https://www.cisa.gov/known-exploited-vulnerabilities-catalog.
L’aggiornamento di questo catalogo è assiduo (ogni volta che si trovi traccia di attività mediante vettori di attacco basati sulle vulnerabilità censite): gli ultimi tre aggiornamenti, ad esempio, sono avvenuti il 15, il 19 e il 25 aprile, aggiungendo ben 19 vulnerabilità note sfruttabili in natura.
La più vecchia vulnerabilità nel catalogo risulta essere una privilege escalation per Windows: la CVE-2002-0367, registrata e dunque vista in natura nel marzo di questo anno, a ben 20 anni di distanza dalla sua individuazione.
Nel catalogo sono state iscritte (nel 2021 e 2022) ancora le vulnerabilità collegate al vettore di attacco “Ethernalblue”, ossia il cuore del tristemente noto malware WannaCry: le vulnerabilità CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0147, e CVE-2017-0148. Questo significa che lo stesso vettore di attacco è dunque ancora nella disponibilità degli agenti di minaccia per colpire come o più duramente di allora.
Insomma, in questo catalogo hanno posto vulnerabilità ormai note e mai sanate dagli utenti finali. Saranno state pure uno 0-day, una volta, ma ora sono “vecchie glorie” che consentono un certo agio agli agenti di minaccia nelle loro scorribande. E questo in barba al grido di allarme sugli 0-day.
Questa è la deprimente fotografia di una realtà di fatto che purtroppo troppo spesso vediamo con i nostri occhi.
