Analisi CVE 2020: Gli score >= 9.8 sono in flessione.

Massimiliano Brolli : 9 Aprile 2021 14:41

Autore: Massimiliano Brolli

Data Pubblicazione: 09/04/2021

il 2020 è stato un anno particolare su tutti gli indicatori dei CVE.

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Sebbene stiamo assistendo ad una stabilizzazione del numero delle CNA (Le CVE Numbering Authority, capaci di numerare le CVE sui loro prodotti) che hanno comportato un aumento vertiginoso delle CVE tra il 2016 e il 2017, il trend non va certo in diminuzione.

“Il 2020 è stato un anno da record in termini di volumi di vulnerabilità critiche registrate dal NIST nel suo National Vulnerability Database (NVD), una delle fonti di informazioni più affidabili per gli esperti della sicurezza informatica ed IT di tutto il mondo”, riporta George Glass, capo dell’intelligence sulle minacce di Redscan.

Infatti, Redscan ha svolto una analisi accurata a gennaio 2021 sulle CVE emesse dal National Vulnerability Database (NVD) nel 2020, che di fatto è l’archivio di Common Vulnerabilities and Exposures (CVE) segnalati da professionisti della sicurezza, ricercatori e fornitori.

I risultati chiave sono stati:

1. 18.103 vulnerabilità di sicurezza registrate, numeri mai visti prima;
2. 50 CVE emesse al giorno;
3. Il 57% delle vulnerabilità nel 2020 è stato classificato come “critico” o “ad alta gravità” (10.342);
4. 68% delle CVE non richiedono l’interazione dell’utente;

Pensate che le CVE sono diventate talmente tante che NVD si è rifiutato di gestire tutto il fiume delle CVE collegate all’ecosistema WordPress (plugin e core), facendo diventare (direi con la forza.bruta), WPscan una CNA.

Questo si è visto anche dalle risposte del NIST alle quotazioni delle CVE che venivano emesse all’interno di 2/3gg solari, ma nel 2020 abbiamo avuto latenze anche di 2 settimane in “full disclosure”.

Premesso che risulta sempre complicato fare estrazioni da NVD in quanto la loro base dati è molto deframmentata, tra tutte queste notizie preoccupanti, ce n’è una positiva … evviva! Ma solo a prima vista.

Dall’analisi che ho svolto, andando di “cesello” nei dati di NVD, le vulnerabilità con “base Score” => 9.8 stanno diminuendo.

In un dominio dove tutti i parametri negativi aumentano e ce n’è uno altamente critico che diminuisce, tutti grideranno al successo, del tipo: stiamo scrivendo software migliore, le stratosferiche “deserialization” del passato (weblogic, struts2), sono oramai un ricordo lontano, abbiamo imparato a sviluppare il codice sicuro.

Questo come detto ad una vista superficiale, infatti, dobbiamo ricordarci che le “armi cibernetiche” (quelle vere e non gli XSS), hanno dei costi altissimi, e il mercato nero pullula di persone che non adottano la Coordinated Vulnerability Disclosure o i bugbounty, ma pagano i ricercatori per il silenzio.

Silenzio a NON divulgare zeroday ai loro legittimi fornitori, ma a divulgarli a dei broker zeroday specializzati nella rivendita e nelle aste di cyberweapon.

Quindi da una parte abbiamo l’aumento dei programmi di Responsible Disclosure e questo è un bene, ma dall’altra abbiamo sempre l’industria dello spionaggio che crea sistemi di geolocalizzazione e spyware e sappiamo come funziona il giro.

Infatti, la cosa interessante è che tutto sta aumentando, sia i buoni che i cattivi. Sia i ricercatori di bug e sia i criminali informatici.

Le famose RCE (Remote Code Execution) o le FCP (Full Chain with persistence), quelle da Score 10, che vengono pagate oltre 2 milioni di dollari, indovinate dove vengono divulgate?

Ai broker zeroday!

Anche perchè l’asimmetria tra i programmi privati e i programmi pubblici di bug bounty dei grandi vendor hanno differenze veramente importanti in termini economici e occorre avere una grande etica per resistere, in particolar modo per tutte quelle persone che si trovano in bilico tra l’essere etici, o l’essere quasi sempre etici.

Se uno avesse tra le mani una FCP (Full Chain with persistence) su Android o iOS, e i broker riconoscono 2.500.000 dollari e Apple/Google 1.000.000, tu cosa faresti?

L’obiettivo di tutti noi è sempre quello di incentivare la divulgazione responsabile, l’etica e la trasparenza verso le vulnerabilità non documentate e quindi mantenere l’NVD un repository affidabile delle vulnerabilità sempre aggiornato, sia vecchie che nuove.

Questo ci darà modo di difendere i sistemi all’interno delle nostre organizzazioni facendo comunità, aggregazione, collaborazione e rendere il mondo sempre più resiliente agli attacchi informatici ed un posto migliore.

L’etica e la trasparenza, ha premiato sempre.

Bibliografia

https://www.redhotcyber.com/wp-content/uploads/attachments/Redscan_NIST-Vulnerability-Analysis-2020_v1.0.pdf

https://zerodium.com/program.html

https://developer.apple.com/security-bounty/payouts/

https://www.google.it/about/appsecurity/android-rewards

https://wptavern.com/wpscan-can-now-assign-cve-numbers-for-wordpress-core-plugin-and-theme-vulnerabilities

Massimiliano Brolli
Responsabile del RED Team e della Cyber Threat Intelligence di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.

Lista degli articoli
Visita il sito web dell'autore