Il Security Internal Reference di Shangai in Cina ha rivelato che nel 2024 c’è stato un aumento significativo delle vulnerabilità zero-day. Queste falle di sicurezza, prive di patch disponibili al momento della scoperta, offrono agli aggressori un vantaggio cruciale sui team di difesa, diventando strumenti fondamentali per compromettere i sistemi aziendali. La loro pericolosità risiede nella capacità di sfruttarle prima che i fornitori riescano a risolverle, mettendo a rischio infrastrutture critiche e dati sensibili.
Mentre tutte le vulnerabilità zero-day richiedono un’attenzione immediata da parte dei responsabili della sicurezza IT (CISO) e dei fornitori, alcune assumono un ruolo centrale poiché rivelano quali prodotti sono nel mirino degli attacchi. Gli aggressori mirano soprattutto a dispositivi di sicurezza di rete come gateway VPN, firewall e sistemi di bilanciamento del carico, sfruttandone la posizione strategica. Vulnerabilità come quelle scoperte nei prodotti di Ivanti, Fortinet, e Palo Alto Networks hanno dimostrato quanto siano allettanti questi obiettivi.
Un altro bersaglio privilegiato dagli attaccanti sono i software di monitoraggio e gestione remota (RMM). Questi strumenti, utilizzati per garantire la persistenza all’interno delle reti aziendali, sono spesso sfruttati dagli Initial Access broker (IaB) per superare le difese. Vulnerabilità critiche come quelle di ConnectWise ScreenConnect nel 2024 evidenziano l’urgenza di proteggere queste piattaforme. In passato, attacchi simili avevano già sfruttato i server Kaseya VSA per diffondere ransomware, un trend che si conferma in crescita.
Le bande di ransomware continuano inoltre a prendere di mira i software di trasferimento file gestiti (MFT), strumenti essenziali per le operazioni aziendali. Vulnerabilità come la scrittura di file arbitraria nei prodotti Cleo o l’iniezione SQL in MOVEit Transfer hanno fornito agli attaccanti punti di ingresso critici per rubare dati sensibili. Questo tipo di attacchi è destinato a intensificarsi nel 2025, data l’importanza strategica di queste applicazioni nelle infrastrutture aziendali.
Gli strumenti di integrazione e distribuzione continua (CI/CD) non sono immuni da attacchi. Le vulnerabilità in Jenkins e JetBrains TeamCity, sfruttate per compromettere pipeline di sviluppo software e attivare attacchi alla supply chain, hanno evidenziato quanto siano vulnerabili gli ambienti di sviluppo. Questi strumenti, spesso esposti a Internet, rappresentano una minaccia crescente, come dimostrato dagli exploit venduti nel dark web e utilizzati per compromettere reti aziendali.
Infine, gli attacchi alla supply chain del software sono emersi come una minaccia inarrestabile. Oltre agli strumenti CI/CD, gli aggressori infiltrano progetti open source con identità false, guadagnando gradualmente fiducia per inserire backdoor nel codice. Questi attacchi, spesso difficili da rilevare, sottolineano l’importanza di adottare misure di sicurezza rigorose e di monitorare attentamente l’intero ciclo di sviluppo, dalla codifica alla distribuzione.
Sebbene gli zeroday siano una risorsa rara e molto ricercata, sia dalle cyber gang criminali che dalle intelligence governative, è fondamentale che anche le aziende inizino un percorso strutturato di ricerca e individuazione di bug non documentati. Queste vulnerabilità critiche, spesso con un punteggio di gravità pari o superiore a 9.8, stanno diminuendo di anno in anno nei report pubblici. Questo trend non è necessariamente un segnale positivo: purtroppo indica che i criminali preferiscono mantenerle segrete, sfruttandole per ottenere un vantaggio strategico.
In un contesto di guerra ibrida, le intelligence nazionali considerano gli zeroday delle vere e proprie “armi informatiche”, capaci di offrire un valore inestimabile per operazioni offensive o difensive. La natura preziosa e rara degli zeroday li rende una merce estremamente ambita anche nelle underground, dove vengono ricercati, venduti e scambiati a caro prezzo. Le aziende devono quindi comprendere che la proattività nella scoperta di vulnerabilità interne non è solo una questione di sicurezza operativa, ma anche una strategia per prevenire potenziali attacchi devastanti.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cybercrime
Diritti
Cyber News
Cyberpolitica
Cultura