14/07/2021 di Redazione

Vulnerabilità datate, un problema che non accenna a scomparire

Uno studio di Trend Micro svela che più di un quinto degli exploit venduti nel mercato underground è in circolazione da almeno tre anni.

immagine.jpg

Il problema delle vulnerabilità datate e non risolte è vecchio almeno quanto le vulnerabilità stesse, le tante che sono ancora in circolazione ad anni di distanza dalla loro scoperta. Si tratta dunque di un problema noto, ma che continua a stupire alla luce di fatti di cronaca eclatanti (come quello di Solarwinds) che dovrebbero aver insegnato agli utenti, alle aziende e ai loro amministratori IT quanto sia pericoloso non installare patch e aggiornamenti in modo tempestivo. Un nuovo studio di Trend Micro, titolato “The Rise and Fall of the N-day Exploit Market in Cybercriminal Underground”, svela che il 22% degli exploit venduti nei forum underground ha più di tre anni (risale cioè al 2017 o ad anni precedenti). 

 

Tutti gli altri sono recentissimi? Macché: il 24% degli exploit risale al 2018, il 26% al 2019 e il restante 28% al 2020. Il raggio d’indagine non copre il 2021, dato che la ricerca si basa sui monitoraggi condotti da Trend Micro tra gennaio 2019 e dicembre 2020. Il succo del discorso in ogni caso è molto chiaro: benché i nuovi exploit zero-day, basati su vulnerabilità ancora non sfruttate, siano all’ordine del giorno, esiste comunque ancora un florido mercato per gli exploit “d’annata”, che infatti vengono ancora venduti nei meandri più loschi della Rete.

 

I ricercatori di Trend Micro hanno trovato, per esempio, all’interno di forum di compravendita dei post in cui si citavano vulnerabilità vecchie addirittura di vent’anni. Per le vulnerabilità zero-day ed “N-day” solitamente i prezzi partono da mille dollari, ma in certi casi gli exploit che fanno leva sulle falle software più datate vengono scambiati gratuitamente. Esistono poi dei servizi di abbonamento, nei quali si ricevono aggiornamenti periodici degli exploit disponibili.

 

“I criminali sono al corrente del fatto che le aziende lottano per stabilire le priorità e applicare tempestivamente le patch”, ha commentato Lisa Dolcini, Head of Marketing di Trend Micro Italia. “La nostra ricerca mostra che i ritardi vengono spesso sfruttati. La validità di una vulnerabilità o di un exploit non è correlata alla disponibilità di una patch, gli exploit più vecchi sono più economici e quindi potrebbero essere più popolari tra i criminali che fanno acquisti nei forum underground. L'applicazione di patch virtuali rimane il modo migliore per mitigare i rischi di minacce note e sconosciute”.

 

 Il report rivela diverse anche alcune curiosità legate alle vulnerabilità e agli exploit legacy..

 L’exploit più vecchio venduto nei luoghi underground della Rete riguardava CVE-2012-0158, una vulnerabilità di Microsoft Office che è tra le più sfruttate degli ultimi quindici anni. A proposito di Microsoft, negli ultimi due anni quasi la metà (47%) dei criminali informatici ha cercato di colpire prodotti e servizi della società di Redmond. La famiglia di malware più popolare l’anno scorso si è confermata quella di Wannacry e ancora nel marzo del 2021 si potevano contare oltre 700mila dispositivi vulnerabili a questo tipo di attacco.

 

 

 

ARTICOLI CORRELATI