Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Cerca
Banner Ransomfeed 970x120 1
Banner Ransomfeed 320x100 1
Analisi CVE 2020: Gli score >= 9.8 sono in flessione.

Analisi CVE 2020: Gli score >= 9.8 sono in flessione.

Massimiliano Brolli : 9 Aprile 2021 14:41

Autore: Massimiliano Brolli

Data Pubblicazione: 09/04/2021

il 2020 è stato un anno particolare su tutti gli indicatori dei CVE.

Sebbene stiamo assistendo ad una stabilizzazione del numero delle CNA (Le CVE Numbering Authority, capaci di numerare le CVE sui loro prodotti) che hanno comportato un aumento vertiginoso delle CVE tra il 2016 e il 2017, il trend non va certo in diminuzione.

“Il 2020 è stato un anno da record in termini di volumi di vulnerabilità critiche registrate dal NIST nel suo National Vulnerability Database (NVD), una delle fonti di informazioni più affidabili per gli esperti della sicurezza informatica ed IT di tutto il mondo”, riporta George Glass, capo dell’intelligence sulle minacce di Redscan.

Infatti, Redscan ha svolto una analisi accurata a gennaio 2021 sulle CVE emesse dal National Vulnerability Database (NVD) nel 2020, che di fatto è l’archivio di Common Vulnerabilities and Exposures (CVE) segnalati da professionisti della sicurezza, ricercatori e fornitori.

I risultati chiave sono stati:

  1. 18.103 vulnerabilità di sicurezza registrate, numeri mai visti prima;
  2. 50 CVE emesse al giorno;
  3. Il 57% delle vulnerabilità nel 2020 è stato classificato come “critico” o “ad alta gravità” (10.342);
  4. 68% delle CVE non richiedono l’interazione dell’utente;

Pensate che le CVE sono diventate talmente tante che NVD si è rifiutato di gestire tutto il fiume delle CVE collegate all’ecosistema WordPress (plugin e core), facendo diventare (direi con la forza.bruta), WPscan una CNA.

Questo si è visto anche dalle risposte del NIST alle quotazioni delle CVE che venivano emesse all’interno di 2/3gg solari, ma nel 2020 abbiamo avuto latenze anche di 2 settimane in “full disclosure”.

Premesso che risulta sempre complicato fare estrazioni da NVD in quanto la loro base dati è molto deframmentata, tra tutte queste notizie preoccupanti, ce n’è una positiva … evviva! Ma solo a prima vista.

Dall’analisi che ho svolto, andando di “cesello” nei dati di NVD, le vulnerabilità con “base Score” => 9.8 stanno diminuendo.

In un dominio dove tutti i parametri negativi aumentano e ce n’è uno altamente critico che diminuisce, tutti grideranno al successo, del tipo: stiamo scrivendo software migliore, le stratosferiche “deserialization” del passato (weblogic, struts2), sono oramai un ricordo lontano, abbiamo imparato a sviluppare il codice sicuro.

B939cf 60938bafe1654d109f31018204b69f8d Mv2

Questo come detto ad una vista superficiale, infatti, dobbiamo ricordarci che le “armi cibernetiche” (quelle vere e non gli XSS), hanno dei costi altissimi, e il mercato nero pullula di persone che non adottano la Coordinated Vulnerability Disclosure o i bugbounty, ma pagano i ricercatori per il silenzio.

Silenzio a NON divulgare zeroday ai loro legittimi fornitori, ma a divulgarli a dei broker zeroday specializzati nella rivendita e nelle aste di cyberweapon.

Quindi da una parte abbiamo l’aumento dei programmi di Responsible Disclosure e questo è un bene, ma dall’altra abbiamo sempre l’industria dello spionaggio che crea sistemi di geolocalizzazione e spyware e sappiamo come funziona il giro.

Infatti, la cosa interessante è che tutto sta aumentando, sia i buoni che i cattivi. Sia i ricercatori di bug e sia i criminali informatici.

Le famose RCE (Remote Code Execution) o le FCP (Full Chain with persistence), quelle da Score 10, che vengono pagate oltre 2 milioni di dollari, indovinate dove vengono divulgate?

B939cf 902410d8d5cd49608e844efed0238fa7 Mv2

Ai broker zeroday!

Anche perchè l’asimmetria tra i programmi privati e i programmi pubblici di bug bounty dei grandi vendor hanno differenze veramente importanti in termini economici e occorre avere una grande etica per resistere, in particolar modo per tutte quelle persone che si trovano in bilico tra l’essere etici, o l’essere quasi sempre etici.

Se uno avesse tra le mani una FCP (Full Chain with persistence) su Android o iOS, e i broker riconoscono 2.500.000 dollari e Apple/Google 1.000.000, tu cosa faresti?

B939cf 48fb703d7cf847e5bbc8364bbf4adbf4 Mv2

L’obiettivo di tutti noi è sempre quello di incentivare la divulgazione responsabile, l’etica e la trasparenza verso le vulnerabilità non documentate e quindi mantenere l’NVD un repository affidabile delle vulnerabilità sempre aggiornato, sia vecchie che nuove.

Questo ci darà modo di difendere i sistemi all’interno delle nostre organizzazioni facendo comunità, aggregazione, collaborazione e rendere il mondo sempre più resiliente agli attacchi informatici ed un posto migliore.

L’etica e la trasparenza, ha premiato sempre.

Bibliografia

https://www.redhotcyber.com/wp-content/uploads/attachments/Redscan_NIST-Vulnerability-Analysis-2020_v1.0.pdf

https://zerodium.com/program.html

https://developer.apple.com/security-bounty/payouts/

https://www.google.it/about/appsecurity/android-rewards

https://wptavern.com/wpscan-can-now-assign-cve-numbers-for-wordpress-core-plugin-and-theme-vulnerabilities

Immagine del sitoMassimiliano Brolli
Responsabile del RED Team e della Cyber Threat Intelligence di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Immagine del sito
Se ricevi una mail che dice che sei morto… è il nuovo phishing contro LastPass
Di Redazione RHC - 29/10/2025

Gli sviluppatori del gestore di password LastPass hanno avvisato gli utenti di una campagna di phishing su larga scala iniziata a metà ottobre 2025. Gli aggressori stanno inviando e-mail contenenti f...

Immagine del sito
ChatGPT Atlas: i ricercatori scoprono come un link può portare al Jailbreak
Di Redazione RHC - 29/10/2025

I ricercatori di NeuralTrust hanno scoperto una vulnerabilità nel browser di ChatGPT Atlas di OpenAI. Questa volta, il vettore di attacco è collegato alla omnibox, la barra in cui gli utenti inseris...

Immagine del sito
Allarme malware: vulnerabilità critiche in plugin WordPress sfruttate attivamente
Di Redazione RHC - 29/10/2025

Wordfence lancia l’allarme su una campagna malware su larga scala in cui gli aggressori stanno sfruttando vulnerabilità critiche nei popolari plugin di WordPress GutenKit e Hunk Companion. L’azie...

Immagine del sito
Quale sarà l’e-commerce italiano basato su Magento che presto sarà violato?
Di Redazione RHC - 28/10/2025

Un nuovo post sul dark web mette in vendita l’accesso amministrativo a un negozio online italiano basato su Magento. Prezzo: 200 dollari. Clienti e ordini in chiaro, e un rischio enorme per la sicur...

Immagine del sito
Microsoft Teams farà la spia al tuo capo quando non sei in ufficio! A dicembre il deploy del tracciamento della posizione
Di Redazione RHC - 27/10/2025

Microsoft Teams riceverà un aggiornamento a dicembre 2025 che consentirà di monitorare la posizione dei dipendenti tramite la rete Wi-Fi dell’ufficio. Secondo la roadmap di Microsoft 365 , “quan...