sono le vulnerabilità non ancora scoperte, che si aggiungono alle oltre 169.000 già pubblicate e di pubblico dominio
di Michele Pinassi*
“E’ un piacere nascondersi, ma è una catastrofe non essere trovati.”
Donald W. Winnicott
SIENA. Mai come nell’anno appesa passato – anche il 2022 si preannuncia “bollente” – gli 0-day sono stati protagonisti di attacchi informatici mirati e particolarmente insidiosi.
Esattamente, cosa sono questi “0-day”? Gli 0-day sono vulnerabilità ancora non note e non pubbliche, dei veri e propri passepartout digitali per i sistemi vulnerabili, che hanno un valore direttamente proporzionale alla loro potenza e alla diffusione della vulnerabilità stessa.
Facciamo un passo indietro e chiariamo subito un aspetto: le vulnerabilità hanno un “valore”. E il valore dipende da quanto la vulnerabilità è grave (esistono degli indici che determinano la gravità in modo analitico, come il CVSS – Common Vulnerability Scoring System) e quanto è importante il suo impatto. Altri fattori sono, ad esempio, la facilità di sfruttamento della vulnerabilità (“exploitability“) e la possibilità di eseguire codice da remoto (RCE – Remote Code Exploit).
Di seguito, una mappa della “famosa” cyber kill-chain, la sequenza di azioni che un attaccante compie in un attacco. La prima fase, la ricognizione: capire cosa c’è sul sistema bersaglio e quale vulnerabilità possono essere sfruttate per accedervi, preparando l’arsenale necessario (“weaponizing“). Si lancia poi l’attacco (“exploitation“) e, una volta andato a buon fine e conquistato l’accesso al sistema, si procede con l’installazione dell’impianto malevolo necessario a garantirsi la permanenza nel sistema stesso per poterlo sfruttare per i propri scopi (es. esfiltrazione dei dati).
Giusto per chiarire, siamo lontanissimi dallo stereotipo del ragazzino nerd: oggi parliamo di vere e proprie organizzazioni, che vanno dagli state-actors (attori governativi) alla cybercriminalità organizzata, passando per i ricercatori indipendenti che, per fama o profitto, sono costantemente alla ricerca di vulnerabilità nei sistemi informatici.
Per dare qualche cifra del fenomeno, il database CVE –Common Vulnerabilities and Exposures-, gestito dal MITRE, che raccoglie e cataloga con l’anno e un numero univoco progressivo le vulnerabilità scoperte, nell’aprile 2018 ha superato i 100.000 records. E negli ultimi anni abbiamo assistito a una vera e propria “impennata” delle vulnerabilità scoperte e pubblicamente rilasciate.
Sono 21957 le vulnerabilità pubblicate nel 2021, il numero più alto degli ultimi anni (18362 nel 2020, 17382 nel 2019 e 17252 nel 2018), e il numero totale supera ormai i 169 mila.
Di queste, circa l’11% è una vulnerabilità grave/critica, punteggio CVSS compreso tra 9 e 10, e la maggioranza delle restanti, circa il 77%, ha un punteggio tra 4 e 8 (criticità media).
Attenzione: parliamo delle vulnerabilità note, pubblicamente descritte in database disponibili a chiunque, di cui non sempre esistono exploit/PoC disponibili pubblicamente.
Impossibile sapere quante vulnerabilità siano state scoperte e non ancora pubblicate, magari sfruttate per violare in segretezza sistemi informatici in giro per il mondo. Questi sono gli 0-day, e sul darkweb c’è un vero e proprio mercato degli stessi (anche se, dicono, una bella percentuale è truffa). Il valore di una vulnerabilità 0-day, quindi non ancora pubblicamente diffusa, secondo i criteri che ho descritto prima, può oscillare da pochi dollari a centinaia di migliaia. Non sono affatto pochi i potenziali acquirenti, tra cui ci sono anche agenzie governative e servizi segreti, pronti a servirsene per le loro attività di spionaggio e sabotaggio.
Inoltre, anche se nell’80% dei casi la realizzazione degli exploit avviene più rapidamente della loro pubblicazione sul database CVE (almeno secondo PaloAlto), non tutti i CVE sono facilmente sfruttabili. Alcuni richiedono competenze tecniche davvero elevate e spesso l’investimento di tempo per orchestrare un attacco supera il valore del “bottino” che un cybercriminale può recuperare dai sistemi della vittima.
Altri, invece, come ad esempio il famigerato CVE-2021-44228 “Log4Shell”, è stato un CVE talmente diffuso e facilmente sfruttabile da aver rappresentato, nei due mesi appena passati, una delle minacce che ha maggiormente preoccupato la comunità mondiale, con un “picco” di tentativi di sfruttamento proprio nei giorni successivi alla pubblicazione della vulnerabilità.
Secondo diversi esperti, durante il 2022 e anche nei prossimi anni gli attacchi che sfruttano 0-day saranno sempre più utilizzati, complice probabilmente l’aumento globale dell’attenzione – e degli investimenti – alla cybersecurity. Sono attacchi insidiosi, poiché difficilmente individuabili attraverso i consueti strumenti (XDR, SOAR…) e, quindi, rappresentano una minaccia tangibile, soprattutto per quei contesti dove il valore del “bottino” è elevata (o ci sono interessi politico/economici tali da giustificare gli investimenti).
Se, quindi, il cittadino comune deve preoccuparsi relativamente poco di queste minacce (anche se, come abbiamo visto, sono potenzialmente sfruttate anche per “impiantare” i cosiddetti “captatori informatici” sui sistemi degli indagati), sicuramente i CISO di tutto il mondo difficilmente potranno dormire sonni tranquilli, con la paura che sui loro dispositivi di sicurezza possa essere presente una “falla”, ancora non nota al grande pubblico, ma sfruttabile da pochi, determinati, malintenzionati.
Anche se, giusto per concludere in bellezza, secondo il Cyber Security Report 2021 della CheckPoint, oltre il 70% degli attacchi avvenuti nel 2020 ha utilizzato vulnerabilità note da almeno due anni prima…
*www.zerozone.it