Vulnerabilità informatiche: cosa sono e come gestirle

Negli ultimi anni, le vulnerabilità informatiche hanno acquisito un’importanza sempre maggiore, spesso protagoniste di cronache legate ad attacchi hacker e furto di dati di rilevanza internazionale.

Questi eventi mettono in risalto quanto sia cruciale:

comprendere appieno il concetto di vulnerabilità informatica
comprendere come i criminali le sfruttino
Comprendere come possano essere affrontate e gestite per preservare la sicurezza dei sistemi e dei dati della tua organizzazione

Tutto ciò per non ritrovarti, un (brutto) giorno, a dover gestire un problema come questo:

Ma cosa sono ?

Come possono essere sfruttate dai criminali?

Come puoi contenerle e gestirle?

Cercherò di chiarirlo nel seguito dell’articolo.

Di cosa parliamo ?

Vulnerabilità informatiche, cosa sono

Le vulnerabilità informatiche possono assumere diverse forme, includendo:

Software non aggiornato: Sistemi operativi e software obsoleti spesso presentano falle di sicurezza che possono essere sfruttate dagli attaccanti.
Codice fallace: Software con errori di programmazione può essere manipolato per ottenere l’accesso non autorizzato.
Apparati di rete datati: Apparati di rete vecchi potrebbero avere vulnerabilità note e non corrette.
Cattiva configurazione degli apparati di sicurezza: Una configurazione errata dei firewall e degli altri dispositivi di sicurezza può lasciare aperte delle porte di accesso indesiderate.
Mancato sfruttamento delle potenzialità dei dispositivi di sicurezza: Utilizzare dispositivi di sicurezza senza sfruttarne appieno le caratteristiche può lasciare spazi vuoti nella difesa.
Configurazione della rete e dei permessi non aggiornata: Le modifiche alla rete e ai permessi dovrebbero essere costantemente riviste e aggiornate per prevenire accessi non autorizzati.
Protocolli di comunicazione non sicuri: L’uso di protocolli di comunicazione obsoleti o non sicuri può esporre i sistemi a rischi.

Le vulnerabilità scoperte vengono catalogate e registrate con un numero univoco nel Common Vulnerabilities and Exposures (CVE), un registro globale di vulnerabilità note pubblicamente.

Questo rende più semplice il riconoscimento e la risoluzione delle vulnerabilità informatiche a livello mondiale.

Vediamo alcune delle più famose…

Vulnerabilità informatiche: alcuni esempi di vulnerabilità note

Tutti gli apparati, anche quelli più sofisticati e costosi, non sono esenti da vulnerabilità, che devono essere rilevate e risolte nel più breve tempo possibile.

CVE-2021-26857, CVE-2021-26858, CVE-2021-26859, CVE-2021-27065: Queste CVE rappresentano una serie di vulnerabilità critiche in Microsoft Exchange Server, collettivamente conosciute come “ProxyLogon”, che hanno permesso ad attaccanti non autenticati di eseguire codice arbitrario e ottenere accesso non autorizzato a server Exchange.
CVE-2021-22122: Questa vulnerabilità in Fortinet FortiWeb consente ad un attaccante di ottenere l’accesso non autorizzato a risorse o eseguire attacchi di cross-site scripting (XSS).
CVE-2021-28480: Questa vulnerabilità riguardava una falle di sicurezza in Exchange Server che consente ad un attaccante di ottenere informazioni riservate tramite un attacco di tipo “cross-tenant” e “elevation of privilege”.
CVE-2020-3619: Una falla di sicurezza in QNAP QTS può essere sfruttata per ottenere l’accesso non autorizzato a risorse o eseguire attacchi di tipo “directory traversal”.
CVE-2020-2015: Questa vulnerabilità riguarda Palo Alto PAN-OS e consente agli attaccanti remoti di ottenere l’accesso non autorizzato a risorse o eseguire attacchi di tipo “cross-site scripting” (XSS) attraverso una falla nella gestione dei log
BlueKeep è il nome comune assegnato a una vulnerabilità critica del sistema operativo Microsoft Windows, specificamente del protocollo Remote Desktop Protocol (RDP). Questa vulnerabilità è stata identificata con il codice CVE-2019-0708 ed è stata resa pubblica nel maggio 2019.
La vulnerabilità ZeroLogon, identificata con il codice CVE-2020-1472, è una grave falle di sicurezza che colpisce Microsoft Windows Server.

Catene di vulnerabilità, l’esempio di vCenter

A volte un sistema è afflitto da diverse vulnerabilità, e sfruttandole in catena è possibile compromettere oppure prendere il controllo del sistema vulnerabile.

Per esempio, le catene di vulnerabilità su VMware vCenter sono costituite da una serie di vulnerabilità collegate che possono essere sfruttate in sequenza per compromettere la sicurezza di un sistema VMware vCenter.

Queste catene di vulnerabilità possono consentire agli attaccanti di ottenere l’accesso non autorizzato ai sistemi, eseguire codice malevolo e compiere altre azioni dannose.

Ecco un esempio di come una catena di vulnerabilità potrebbe funzionare sul tuo VMware vCenter:

Vulnerabilità ed attacchi all’Active Directory

Le vulnerabilità nell’Active Directory, possono avere un impatto significativo sulla sicurezza della tue organizzazione.

Ecco alcuni esempi di vulnerabilità che possono colpire l’Active Directory, come vedi non è sempre un tema di vulnerabilità tecniche dei sistemi, ma anche un problema di processi non definiti e misconfigurazioni:

Attacchi Pass-the-Hash (PtH): Gli attaccanti possono rubare l’hash della password di un utente memorizzato nell’Active Directory e utilizzarlo per accedere a sistemi e risorse senza conoscere effettivamente la password. Ciò avviene sfruttando debolezze nei protocolli di autenticazione.
Abuso di autorizzazioni eccessive: Una cattiva gestione delle autorizzazioni all’interno di Active Directory può portare utenti o gruppi ad accedere a risorse o privilegi che non dovrebbero avere, aprendo la porta a potenziali abusi.
Account disattivati o non utilizzati: Gli account di utenti o computer disattivati o non utilizzati all’interno dell’Active Directory possono diventare punti di ingresso per attacchi, poiché potrebbero non essere monitorati o aggiornati.
Password deboli o scadute: La presenza di password deboli o scadute all’interno dell’Active Directory aumenta il rischio di accessi non autorizzati.
Gestione inadeguata delle chiavi di crittografia: Una gestione non adeguata delle chiavi di crittografia può esporre i dati sensibili a rischi di accesso non autorizzato.
Fuga di informazioni: Se le autorizzazioni non vengono gestite correttamente, gli utenti potrebbero essere in grado di accedere a informazioni riservate o a cui non dovrebbero avere accesso.
Falle nel processo di autenticazione e autorizzazione: Potrebbero esistere debolezze nei meccanismi di autenticazione e autorizzazione dell’Active Directory che potrebbero essere sfruttate dagli attaccanti per ottenere accesso non autorizzato.

Come poter rimediare a tutto ciò? Tramite un Active Directoy assessment, descritto in questo articolo.

Vulnerabilità di applicazioni web

Le applicazioni web sono sempre più presenti e centrali in tutti i settori della nostra vita, non solo quella professionale, è ovvio che gli attaccanti abbiano sviluppato tutta una serie di tecniche per sfruttarne le inevitabili vulnerabilità:

Cross-Site Scripting (XSS): L’attacco XSS si verifica quando un attaccante inietta codice malevolo all’interno di un’applicazione web, che viene poi eseguito nel browser di altri utenti che accedono a quella pagina.

SQL Injection Ovvero inviare comandi SQL malevoli all’interno ad un database che, una volta eseguiti, consenteno all’attaccante di accedere, modificare o eliminare dati.

Uso improrio di API Le API sono una sorta di “ponte” tra diverse applicazioni, consentendo loro di scambiare dati e funzionalità. Questo le espone a diverse vulnerabilità che se non gestite possono portare gli attaccanti a sfruttarle, ad esempio utilizzando API pubbliche per eseguire operazioni non autorizzate o sovraccaricando le API con richieste di grandi dimensioni.

La “bomba” Log4Shell

A Dicembre 2021 è stata trovata una vulnerabilità gravissima (CVE-2021-44228, livello di pericolosità: 10 su 10) sulle librerie Apache Log4j: è stata considerata una delle più gravi e diffuse minacce informatiche di sempre.

Esecuzione Remota di Codice (RCE): Log4Shell consentiva agli attaccanti di eseguire codice arbitrario a distanza, questo significava che gli aggressori potevano ottenere il controllo completo dei sistemi vulnerabili e potenzialmente eseguire qualsiasi tipo di azione malintenzionata.
Amplificazione degli Attacchi: Una caratteristica particolarmente rischiosa di Log4Shell era la sua capacità di essere sfruttata in modalità “amplification”, in cui un piccolo input malevolo poteva innescare una risposta e una serie di richieste molto più grandi.
Diffusione Globale: La libreria Apache Log4j è ampiamente utilizzata in tutto il mondo, rendendo questa vulnerabilità particolarmente diffusa e potenzialmente dannosa.
Minacce Multidimensionali: Gli attaccanti potevano utilizzare la vulnerabilità Log4Shell per compiere una vasta gamma di azioni malevole, tra cui l’esfiltrazione di dati, l’installazione di malware, l’ottenimento di accesso non autorizzato a sistemi sensibili, l’esecuzione di comandi e altro ancora.

L’ampia portata e la gravità di Log4Shell hanno suscitato un allarme globale nella comunità della sicurezza informatica.

Per difendersi è necessario aggiornare le librerie (cosa sempre non possibile, per ovvie ragioni di compatibilità con le applicazioni sviluppate), ed utilizzare un buon WAF (web Application Firewall) sempre aggiornato, che può intercettare le modalità di attacco e bloccarle sul nascere.

Cavalli di Troia dentro la tua Azienda

Queste vulnerabilità sono spesso state sfruttate come autentici “cavalli di troia” attraverso i quali gli attaccanti introducono malware all’interno delle reti aziendali.

Il loro obiettivo è chiaro: accedere ai dati riservati e alle password degli amministratori di sistema ed installare software malevolo in modo totalmente discreto, facendo uno scan delle reti delle aziende colpite per scoprirne la struttura, individuare i backup e criptarli o eliminarli in silenzio.

Una volta che i dati sono stati acquisiti e i backup cancellati, arriva il colpo finale: i dati vengono rubati e criptati, e gli attaccanti chiedono un riscatto doppio per decifrarli e prevenire la loro diffusione pubblica.

In risposta a queste vulnerabilità, i produttori hanno rilasciato aggiornamenti per risolvere i problemi. Tuttavia, nel frattempo, gli hacker, individuando le debolezze nelle reti delle vittime, hanno scatenato attacchi immediati, noti come “attacchi zero-day”.

Come riconoscerle, gestirle e contenerle.

Innanzitutto le devi conoscere: non ti puoi difendere da ciò che non conosci

Le vulnerabilità sono in continua evoluzione, per quanto vengano continuamente aggiornati i sistemi per risolverle, ne vengono continuamente riscontrate delle nuove.

Dimmi la verità: hai mai ricevuto un report delle vulnerabilità oggi presenti nella tua rete?

Sei certo che queste vulnerabilità non siano già oggi di pubblico dominio ed attendono solo che un attaccante le sfrutti?

Se vuoi affrontare in modo serio il problema…

…ci sono alcuni passaggi da fare:

Effettuare periodicamente un Security Assessment :uno strumento chiave per identificare e affrontare i rischi di sicurezza informatica.
Classificare il rischio aziendale per probabilità ed impatto
Procedere subito con le attività di remediation (aggiornamenti dei sistemi oppure revisione delle policy e dei processi interni)
Isolare per quanto possibile i sistemi che non possono essere patchati
Utilizzare servizi di tipo MDR (Managed detection Response) che gestiti da un SOC (Security Operations Center), possono captare tutti i segnali di attacco e contenere o isolare la minaccia.
Introdurre nella tua Azienda dei sistemi di controllo della posta elettronica: è sfruttando questo canale che avvengono le intrusioni e gli attacchi.
Contattarci per avere un aiuto.