Secondo una ricerca di Mandiant nel corso del 2022 le vulnerabilità zero-day sono risultate in calo, ma hanno dimostrato di essersi evolute e ampliate rispetto all’anno precedente. La nuova ricerca offre una panoramica completa e un’analisi degli zero-day identificati nel corso del 2022. Sono state identificate55 vulnerabilità zero-day sfruttate nel corso del 2022, in diminuzione rispetto al 2021, un anno record che ha visto ben 81 zero-day identificati.
Un panorama in continua evoluzione
Sebbene il dato sia in calo rispetto al 2021, i ricercatori di Mandiant sottolineano che si tratta comunque di un aumento del 200% rispetto al 2020 (e comunque superiore rispetto a tutti gli anni precedenti). Prevedono anche che lo sfruttamento degli zero-day continuerà ad aumentare nel lungo periodo. Nel 2021 Mandiant aveva previsto che le vulnerabilità zero-day avrebbero continuato ad essere sfruttate a un ritmo significativamente più elevato rispetto agli anni dal 2010 al 2019. E i 55 zero-day identificati nel corso del 2022 confermano questa tendenza.
Il perché della diminuzione
Diversi i fattori che possono aver contribuito alla diminuzione del numero degli zero-day nel 2020, per poi quadruplicarsi nel 2021. Le interruzioni dovute alla pandemia nel 2020 hanno avuto diversi effetti. Tra questi un rallentamento dei meccanismi di segnalazione e di divulgazione delle vulnerabilità di diversi fornitori di software. Inoltre, allo stesso tempo, hanno ridotto la capacità dei difensori di rilevare le attività di sfruttamento delle vulnerabilità stesse. Questo potrebbe aver incoraggiato gli aggressori a conservare i nuovi exploit per altre occasioni. Inoltre, nel 2021 le informative di Apple e Android hanno incluso un maggior numero di informazioni inerenti lo sfruttamento delle vulnerabilità.
Vulnerabilità zero-day
Mandiant prevede che la tendenza a lungo termine per lo sfruttamento degli zero-day continuerà ad aumentare, con alcune fluttuazioni di anno in anno. Gli attaccanti sono alla ricerca di furtività e facilità di sfruttamento. Entrambe caratteristiche che gli zero-day possono fornire. Sebbene la scoperta di vulnerabilità zero-day richieda molte risorse e il successo dello sfruttamento non sia garantito, il numero totale di vulnerabilità rese note e sfruttate ha continuato a crescere. Inoltre le tipologie di software prese di mira, compresi i dispositivi Internet of Things (IoT) e le soluzioni cloud, continuano ad evolversi e la varietà degli attori che li sfruttano si è decisamente ampliata.
Gli insight principali della ricerca
55 le vulnerabilità zero-day sfruttate nel 2022.
Di queste 13 zero-day sono stati sfruttati da gruppi di spionaggio informatico. I gruppi di spionaggio informatico cinesi hanno sfruttato un numero maggiore di zero-day rispetto ad altri gruppi nel corso del 2022. Un dato in linea con gli anni precedenti. Più della metà degli zero-day (7 su 13) sono collegati a noti gruppi operanti nello spionaggio informatico e sono stati attribuiti alla Cina.
2 vulnerabilità zero-day sono state sfruttate da presunti gruppi nordcoreani.
2 vulnerabilità zero-day sono state sfruttate da attori state-sponsored russi.
4 vulnerabilità zero-day sono state sfruttate da aggressori con motivazioni finanziarie.
3 di queste 4 sembrano essere collegate ad operazioni ransomware.
10 vulnerabilità zero-day, quasi il 20% di tutti gli zero-day identificati da Mandiant nel 2022, hanno interessato prodotti di sicurezza, IT e di gestione della rete.
Gli accessi abusivi
Gli aggressori, in particolare quelli che cercano di non essere scoperti, prediligono il prendere di mira i prodotti di sicurezza, di rete e di gestione IT o di “infrastruttura edge”. E questo perché sono collegati a internet e spesso non ospitano soluzioni E/XDR o di rilevamento. Riducendo così la probabilità che i difensori identifichino gli accessi abusivi.
Vulnerabilità zero-day, meno ma più evolute
Mandiant prevede che gli aggressori continueranno a scoprire e sfruttare gli zero-day, in quanto queste vulnerabilità offrono vantaggi tattici per via delle percentuali di successo nello sfruttamento. Oltre al non essere rilevati. Mandiant, tuttavia, afferma che una più ampia migrazione verso i prodotti cloud potrebbe alterare le tendenze previste a causa dei diversi approcci alle patch e alla divulgazione delle vulnerabilità. I fornitori cloud possono creare patch e distribuirle per conto dei clienti. Questo riduce notevolmente i tempi di patch e quindi i rischi di sfruttamento successivo alla divulgazione delle vulnerabilità. Tuttavia, molti fornitori cloud hanno storicamente scelto di non divulgare pubblicamente le vulnerabilità dei prodotti cloud con lo stesso approccio di altre tipologie di prodotti. Questo potrebbe influenzare il conteggio delle divulgazioni zero-day.
Dato che i fornitori e i prodotti presi di mira dagli zero-day continuano a diversificarsi, le aziende devono stabilire le priorità delle patch in base alle loro specifiche circostanze. Priorità che servono per ridurre sufficientemente il rischio. Oltre alle classificazioni del rischio, Mandiant suggerisce alle organizzazioni di analizzare:
Quali tipologie di aggressori prendono di mira la loro specifica area geografica o il loro settore.
I malware, le tattiche, le tecniche e le procedure utilizzate dagli aggressori.
I prodotti in uso da parte di un’organizzazione che forniscono la maggiore superficie di attacco.
Nel 2022 meno le vulnerabilità zero-day
Visto che Microsoft, Google ed Apple continuano ad essere i fornitori più impattati e che la loro presenza è largamente diffusa, è fondamentale una corretta configurazione di questi prodotti, oltre alla adozione di best practice come la segmentazione della rete e la restrizione dei privilegi degli accessi. Tuttavia, nonostante lo sfruttamento delle vulnerabilità coinvolga in questi tre fornitori di software, i team di sicurezza devono comunque valutare i rischi derivanti dagli altri fornitori di software e restare vigili sull’intera superficie di attacco.
