CISA, ACSC, NCSC ed FBI ci illustrano le vulnerabilità più sfruttate dal cybercrime.

Questo Joint Cybersecurity Advisory è stato scritto dalla:

1. US Cybersecurity and Infrastructure Security Agency (CISA);
2. Australian Cyber ​​Security Center (ACSC);
3. National Cyber ​​Security Center (NCSC) del Regno Unito;
4. Federal Bureau of Investigation (FBI) degli Stati Uniti.

e fornisce dettagli sulle CVE (Vulnerabilities and Exposures), sfruttate abitualmente da criminali informatici nel 2020 e nel 2021.

Gli attori informatici continuano a sfruttare vulnerabilità software pubblicamente note e spesso datate, contro ampi gruppi di obiettivi, comprese le organizzazioni del settore pubblico e privato in tutto il mondo.

Tuttavia, le entità di tutto il mondo possono mitigare queste vulnerabilità presenti su questo rapporto applicando le patch disponibili ai propri sistemi e implementando un sistema centralizzato di gestione delle patch.

Le vulnerabilità più abusate

Sulla base dei dati disponibili del governo degli Stati Uniti D’America, la maggior parte delle principali vulnerabilità prese di mira nel 2020 è stata divulgata negli ultimi due anni.

Lo sfruttamento da parte dei malintenzionati dei difetti software divulgati nel 2020, deriva probabilmente, dall’espansione delle attività lavorative da remoto, durante la pandemia di COVID-19.

Il rapido cambiamento e il maggiore utilizzo del lavoro remotizzato, come le reti private virtuali (VPN) e gli ambienti basati sul cloud, hanno probabilmente posto un onere aggiuntivo ai difensori delle reti che lottano per mantenere e tenere il passo con le patch software di routine.

Quattro delle vulnerabilità più utilizzate nel 2020 hanno interessato le VPN o le tecnologie basate su cloud.

Molti dispositivi e gateway VPN sono rimasti senza patch durante il 2020, mettendo a dura prova la capacità dell’organizzazione di condurre una rigorosa gestione delle sicurezza informatica.

CISA, ACSC, NCSC e FBI considerano le vulnerabilità elencate nella tabella 1 come i CVE più sfruttate regolarmente dai criminali informatici nel corso del 2020.

Nel 2021, gli attori informatici malintenzionati hanno continuato a prendere di mira le vulnerabilità nei dispositivi di tipo perimetrale. Tra quelle altamente sfruttate nel 2021 ci sono le vulnerabilità di Microsoft, Pulse, Accellion, VMware e Fortinet.

CISA, ACSC, NCSC e FBI valutano che molte organizzazioni pubbliche e private in tutto il mondo rimangono vulnerabili a queste CVE. Gli attori informatici molto probabilmente continueranno a utilizzare le vecchie vulnerabilità note, come CVE-2017-11882 che interessano Microsoft Office, a condizione che rimangano efficaci e che i sistemi rimangano privi di patch.

L’uso delle vulnerabilità note complica l’attribuzione, riduce i costi e minimizza i rischi perché i criminali informatici non stanno investendo nello sviluppo di un exploit zero-day per il loro uso esclusivo, che rischiano di perdere qualora questo fosse scoperto.

Il segreto rimane sempre il patch management

Le organizzazioni sono incoraggiate a correggere o mitigare le vulnerabilità il più rapidamente possibile per ridurre il rischio di sfruttamento.

La maggior parte può essere risolta applicando patch e aggiornando i sistemi. Le organizzazioni che non hanno posto rimedio a queste vulnerabilità dovrebbero indagare sulla presenza di IoC e se compromesse, avviare piani di risposta agli incidenti e ripristino.

Sicuramente, qualora non fosse previsto, risulta opportuno avviare un piano per implementare un corretto patch management delle componenti software, in modo da ridurre il più possibile la latenza tra divulgazione pubblica di una CVE/PoC e l’aggiornamento del sistema.

Fonte

https://us-cert.cisa.gov/ncas/alerts/aa21-209a

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.