La Cina Avverte: Allarme Zero-Day! Un Aumento Inarrestabile degli Attacchi Nel 2024

Redazione RHC : 29 Dicembre 2024 10:24

Il Security Internal Reference di Shangai in Cina ha rivelato che nel 2024 c’è stato un aumento significativo delle vulnerabilità zero-day. Queste falle di sicurezza, prive di patch disponibili al momento della scoperta, offrono agli aggressori un vantaggio cruciale sui team di difesa, diventando strumenti fondamentali per compromettere i sistemi aziendali. La loro pericolosità risiede nella capacità di sfruttarle prima che i fornitori riescano a risolverle, mettendo a rischio infrastrutture critiche e dati sensibili.

Un trend inarrestabile di minacce zero-day

Mentre tutte le vulnerabilità zero-day richiedono un’attenzione immediata da parte dei responsabili della sicurezza IT (CISO) e dei fornitori, alcune assumono un ruolo centrale poiché rivelano quali prodotti sono nel mirino degli attacchi. Gli aggressori mirano soprattutto a dispositivi di sicurezza di rete come gateway VPN, firewall e sistemi di bilanciamento del carico, sfruttandone la posizione strategica. Vulnerabilità come quelle scoperte nei prodotti di Ivanti, Fortinet, e Palo Alto Networks hanno dimostrato quanto siano allettanti questi obiettivi.

Un altro bersaglio privilegiato dagli attaccanti sono i software di monitoraggio e gestione remota (RMM). Questi strumenti, utilizzati per garantire la persistenza all’interno delle reti aziendali, sono spesso sfruttati dagli Initial Access broker (IaB) per superare le difese. Vulnerabilità critiche come quelle di ConnectWise ScreenConnect nel 2024 evidenziano l’urgenza di proteggere queste piattaforme. In passato, attacchi simili avevano già sfruttato i server Kaseya VSA per diffondere ransomware, un trend che si conferma in crescita.

Protezioni perimetrali, sistemi di integrazione e supply chain

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
379 163 8765  per richiedere informazioni "

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Le bande di ransomware continuano inoltre a prendere di mira i software di trasferimento file gestiti (MFT), strumenti essenziali per le operazioni aziendali. Vulnerabilità come la scrittura di file arbitraria nei prodotti Cleo o l’iniezione SQL in MOVEit Transfer hanno fornito agli attaccanti punti di ingresso critici per rubare dati sensibili. Questo tipo di attacchi è destinato a intensificarsi nel 2025, data l’importanza strategica di queste applicazioni nelle infrastrutture aziendali.

Gli strumenti di integrazione e distribuzione continua (CI/CD) non sono immuni da attacchi. Le vulnerabilità in Jenkins e JetBrains TeamCity, sfruttate per compromettere pipeline di sviluppo software e attivare attacchi alla supply chain, hanno evidenziato quanto siano vulnerabili gli ambienti di sviluppo. Questi strumenti, spesso esposti a Internet, rappresentano una minaccia crescente, come dimostrato dagli exploit venduti nel dark web e utilizzati per compromettere reti aziendali.

Infine, gli attacchi alla supply chain del software sono emersi come una minaccia inarrestabile. Oltre agli strumenti CI/CD, gli aggressori infiltrano progetti open source con identità false, guadagnando gradualmente fiducia per inserire backdoor nel codice. Questi attacchi, spesso difficili da rilevare, sottolineano l’importanza di adottare misure di sicurezza rigorose e di monitorare attentamente l’intero ciclo di sviluppo, dalla codifica alla distribuzione.

Conclusioni

Sebbene gli zeroday siano una risorsa rara e molto ricercata, sia dalle cyber gang criminali che dalle intelligence governative, è fondamentale che anche le aziende inizino un percorso strutturato di ricerca e individuazione di bug non documentati. Queste vulnerabilità critiche, spesso con un punteggio di gravità pari o superiore a 9.8, stanno diminuendo di anno in anno nei report pubblici. Questo trend non è necessariamente un segnale positivo: purtroppo indica che i criminali preferiscono mantenerle segrete, sfruttandole per ottenere un vantaggio strategico.

In un contesto di guerra ibrida, le intelligence nazionali considerano gli zeroday delle vere e proprie “armi informatiche”, capaci di offrire un valore inestimabile per operazioni offensive o difensive. La natura preziosa e rara degli zeroday li rende una merce estremamente ambita anche nelle underground, dove vengono ricercati, venduti e scambiati a caro prezzo. Le aziende devono quindi comprendere che la proattività nella scoperta di vulnerabilità interne non è solo una questione di sicurezza operativa, ma anche una strategia per prevenire potenziali attacchi devastanti.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.