Fino a poco tempo fa, le vulnerabilità zero-day sembravano artefatti esotici provenienti dal mondo delle operazioni speciali e dello spionaggio. Ora sono uno strumento comune per hackerare le reti aziendali, e non solo perché gli attacchi sono aumentati. Il cambiamento principale è la velocità: dai primi segnali di allarme allo sfruttamento effettivo, a volte possono passare solo poche ore.
Questo quadro è descritto nel ForeScout Labs 2025 H1 Threat Review: secondo questo rapporto, il numero di attacchi zero-day è aumentato del 46% nella prima metà del 2025. Mentre un tempo i team di sicurezza consideravano normale un intervallo di giorni tra la pubblicazione di una vulnerabilità e la comparsa degli exploit sul campo, oggi questo intervallo si è ridotto a ore, e a volte anche meno.
Questa crescita non sembra essere una fluttuazione casuale. Gli esperti la attribuiscono a una “tempesta perfetta”: crescente complessità del software, espansione delle supply chain, crescenti dipendenze e accelerazione degli attacchi grazie all’intelligenza artificiale. I sistemi stanno diventando così complessi che lo sviluppo sicuro non riesce a tenere il passo e i bug stanno diventando sempre più difficili da rilevare durante i test di routine.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Allo stesso tempo, anche il mercato commerciale degli zero-day è esploso: le vulnerabilità che consentono l’escalation dei privilegi, l’aggiramento dell’autenticazione o la compromissione degli account sono diventate beni molto ricercati. Sia i gruppi criminali che gli acquirenti affiliati agli stati nazionali competono per tali scoperte, soprattutto quando si tratta di accesso a cloud, piattaforme di identità e infrastrutture industriali.
L’intelligenza artificiale. riportano i ricercatori nel report, ha accelerato quasi l’intero ciclo: fuzzing automatizzato, ricerca di bug sfruttabili e generazione di proof-of-concept riducono il tempo dal rilevamento alla distribuzione in produzione. Ciò che prima richiedeva competenze specifiche è ora più accessibile e veloce da perfezionare, anche per gli aggressori meno esperti.
La superficie di attacco è in continua espansione. Più dispositivi, più dispositivi edge e IoT, più sistemi legacy e, di conseguenza, più luoghi in cui trovare vulnerabilità.
Gli aggressori si stanno spostando sempre più oltre browser e workstation, esplorando obiettivi “non convenzionali”, come telecamere IP e apparecchiature industriali. Tali dispositivi forniscono un punto d’appoggio comodo e furtivo per ulteriori spostamenti di rete, e questo scenario si verifica sempre più spesso negli attacchi ransomware e nelle operazioni mirate.
I vecchi componenti, come file system, driver e stack di rete, rimangono terreno fertile per nuove scoperte. Le tensioni geopolitiche stanno alimentando la domanda di exploit zero-day, poiché i gruppi di ricognizione sono fortemente motivati a cercare e accumulare vulnerabilità sconosciute.
Anche le tattiche stesse stanno cambiando. Le operazioni mirate stanno cedendo sempre più il passo allo “sfruttamento industrializzato”, in cui gli attacchi zero-day diventano solo un punto di partenza. Gli aggressori costruiscono quindi una catena di compromissioni della supply chain, furto di credenziali, movimenti laterali ed escalation dei privilegi. Invece di affidarsi a una singola falla, combinano più vettori per ottenere un accesso privilegiato in modo più affidabile.
Per chi si occupa della difesa, questo è uno spiacevole problema matematico. Alcune vulnerabilità vengono sfruttate entro poche ore dalla divulgazione pubblica, soprattutto quando si tratta di sistemi edge o dispositivi diffusi. La finestra temporale per l’applicazione di patch o soluzioni alternative è quasi scaduta e il consueto ritmo “aggiornamento rilasciato, lo implementeremo come da programma” cessa di essere valido. Mentre la penetrazione iniziale può richiedere minuti, la “durata di vita” dell’aggressore all’interno della rete si estende per mesi.
Le difese devono essere implementate come se lo sfruttamento di una vulnerabilità sconosciuta potesse iniziare quasi istantaneamente. L’enfasi è posta su modelli come zero trust e misure di compensazione a livello di identità, endpoint, applicazione e rete che rallentano gli aggressori ancor prima che una patch sia disponibile. Privilegi minimi, segmentazione e verifica continua degli account diventano sempre più importanti per prevenire la diffusione degli attacchi. È necessario un passaggio da pratiche “intermittenti” a pratiche continue, con particolare attenzione al contenimento, alla segmentazione e al rilevamento comportamentale.
Ci sono buone notizie: negli ultimi anni l’osservabilità è aumentata. La telemetria viene condivisa più frequentemente, i processi di divulgazione delle vulnerabilità e il reporting dei fornitori sono maturati.
Ma questo non basta a contrastare l’adattamento degli aggressori. Il punto cieco più pericoloso è l’identità: gli exploit zero-day spesso sembrano accessi legittimi con credenziali reali. Senza un adeguato logging, linee di base comportamentali e controlli dei privilegi, gli aggressori possono rimanere invisibili. Inoltre, i punti ciechi persistono nelle supply chain, nel firmware, nei dispositivi non gestiti e nei servizi SaaS shadow. I sistemi IoT, edge, OT e legacy sono spesso scarsamente monitorati e le patch vengono applicate lentamente o non vengono applicate affatto, quindi gli attacchi possono rimanere inosservati per lunghi periodi.
Nel complesso, questo non sembra un picco a breve termine, ma piuttosto un segnale di un cambiamento delle regole.
Il vecchio presupposto che ci sia una finestra di opportunità per reagire tra una vulnerabilità e il suo sfruttamento diffuso non è più valido. Le organizzazioni sono costrette a costruire le proprie difese basandosi sull’infelice presupposto che vulnerabilità sconosciute verranno sfruttate, e l’obiettivo della difesa non è solo quello di risolverle rapidamente, ma anche di impedire che una violazione diventi una reazione a catena.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cybercrime
Cybercrime
Innovazione
Cybercrime
Cybercrime