Una nuova ricerca di WithSecure Intelligence esplora la tendenza dello sfruttamento di massa dei servizi e delle infrastrutture edge, avanzando diverse teorie sul perché siano stati così pesantemente – e con successo – presi di mira dagli attaccanti.
Il panorama delle minacce informatiche nel 2023 e 2024 è stato dominato dallo sfruttamento di massa. Un precedente rapporto di WithSecure sulla professionalizzazione del crimine informatico aveva notato l’importanza crescente dello sfruttamento di massa come vettore di infezione, ma il volume e la gravità di questo vettore sono ora veramente esplosi.
Il numero di vulnerabilità e esposizioni comuni (CVE) dei servizi e delle infrastrutture edge aggiunti al Catalogo delle Vulnerabilità Sfruttate Note (KEV) per mese nel 2024 è del 22% superiore rispetto al 2023, mentre il numero di altre CVE aggiunte al KEV per mese è diminuito del 56% rispetto al 2023. Inoltre, le CVE dei servizi e delle infrastrutture edge aggiunte al KEV negli ultimi due anni sono, in media, dell’11% più gravi rispetto alle altre CVE.
Diversi rapporti recenti indicano che lo sfruttamento di massa potrebbe aver superato i botnet come principale vettore per gli incidenti ransomware, sottolinea WithSecure che aggiunge: c’è stato un rapido susseguirsi di incidenti di sicurezza causati dallo sfruttamento di massa di software vulnerabile come MOVEit, CitrixBleed, Cisco XE, Fortiguard’s FortiOS, Ivanti ConnectSecure, PAN-OS di Palo Alto, Junos di Juniper e ConnectWise ScreenConnect.
I servizi edge sono obiettivi estremamente attraenti per gli attaccanti. Sono esposti a Internet e destinati a fornire servizi critici agli utenti remoti, quindi possono essere abusati da attaccanti remoti.
“C’è solo una cosa necessaria affinché si verifichi un incidente di sfruttamento di massa, ed è un servizio edge vulnerabile, un pezzo di software accessibile da Internet”, afferma Stephen Robinson, Senior Threat Analyst di WithSecure Intelligence.
“Ciò che molti servizi edge sfruttati hanno in comune è che sono dispositivi di infrastruttura, come firewall, gateway VPN o gateway email, che sono comunemente dispositivi blindati come scatole nere. Dispositivi come questi sono spesso destinati a rendere una rete più sicura, tuttavia, di volta in volta, sono state scoperte vulnerabilità in tali dispositivi e sfruttate dagli attaccanti, fornendo un perfetto punto d’appoggio in una rete bersaglio.”
La ricerca trova che lo sfruttamento di massa è il nuovo principale vettore di attacco osservato per il ransomware e gli attacchi di spionaggio statale. Inoltre, la capacità e l’esperienza necessarie per sfruttare vulnerabilità zero-day e one-day sono più accessibili per i criminali informatici motivati finanziariamente che mai.
“È probabile che lo sfruttamento di massa stia diventando il principale vettore di attacco o perché ci sono così tanti servizi edge vulnerabili, o perché attaccanti e difensori sono ora più consapevoli dei servizi edge vulnerabili a causa della prevalenza dello sfruttamento di massa”, conclude Robinson.
È possibile leggere il rapporto completo sul sito di WithSecure.