Come cambia la sicurezza informatica: exploit utilizzati dopo 22 minuti dalla loro pubblicazione

Quando parliamo della scoperta di nuove vulnerabilità di sicurezza in Windows e negli altri pacchetti software Microsoft, solitamente suggeriamo di attendere almeno qualche giorno prima di procedere con la loro applicazione, in modo da essere sicuri che non emergano problemi di stabilità (come accaduto più volte in passato). Consigliamo però di attivarsi immediatamente allorquando i problemi riguardassero software che espongono una o più porte sulla rete Internet, ovvero sull’indirizzo IP pubblico.

Nel suo recente report Application Security, Cloudflare analizza lo scenario attuale, esacerbatosi nel corso degli ultimi 12 mesi. In questo lasso di tempo, infatti, il panorama della sicurezza sulla rete Internet è cambiato radicalmente. L’incertezza geopolitica, unita alla stagione elettorale apertasi in molti Paesi, ha portato a un sostanziale aumento del traffico dannoso. Cloudflare ha analizzato le prospettive in materia di sicurezza per le applicazioni Web.

Sicurezza informatica: exploit utilizzati dopo 22 minuti dalla pubblicazione del PoC

Uno degli aspetti più preoccupanti evidenziati nel rapporto Cloudflare è la rapidità con cui gli aggressori riescono oggi a sfruttare le vulnerabilità appena scoperte. Ad esempio, un exploit per la vulnerabilità CVE-2024-27198, un problema di autenticazione in JetBrains TeamCity, è stato utilizzato solo 22 minuti dopo la pubblicazione del proof-of-concept (PoC). Questo lascia un margine di manovra praticamente nullo per intervenire e mitigare gli attacchi informatici.

Un proof-of-concept (PoC), lo ricordiamo, è una dimostrazione che verifica la fattibilità di un’idea, di un metodo o di un progetto. Nel contesto della sicurezza informatica, un PoC è un esempio che dimostra come una vulnerabilità o una falla di sicurezza possano essere sfruttate.

Cloudflare ha osservato un aumento delle attività di scansione nei confronti di diverse vulnerabilità, contraddistinte da altrettanti identificativi CVE (Common Vulnerabilities and Exposures). Tra le vulnerabilità più bersagliate nel periodo esaminato (da maggio 2023 a marzo 2024), figurano CVE-2023-50164 e CVE-2022-33891 nei prodotti Apache, CVE-2023-29298, CVE-2023-38203 e CVE-2023-26360 in Coldfusion, e CVE-2023-35082 in MobileIron.

Il problema è rilevante perché in tutti i casi gli aggressori possono riuscire ad eseguire codice dannoso in modalità remota.

Due parole sulle vulnerabilità in questione

Le vulnerabilità riportate da Cloudflare sono particolarmente gravi perché possono essere sfruttate dagli aggressori per compromettere i sistemi. Inoltre, prendono di mira componenti – come i server Web – che sono pubblicamente esposti. Le lacune di sicurezza, se sfruttate, possono portare all’esecuzione di codice arbitrario, ad attacchi DoS (Denial of Service) oppure al bypassing delle misure di sicurezza implementate.

Spesso gli attacchi possono avvenire semplicemente inviando richieste HTTP appositamente costruite: per questo motivo l’applicazione delle patch di sicurezza o delle eventuali contromisure indicate dagli sviluppatori deve avvenire nel più breve tempo possibile.

Quando il server non valida correttamente l’input, l’attaccante può arrivare ad eseguire codice arbitrario sulla macchina, con la possibilità di attivare eventuali movimenti laterali sulla rete.

Vulnerabilità difficili da arginare anche con i Web Application Firewall (WAF)

Cloudflare è una delle poche realtà che offrono agli utenti Web Application Firewall (WAF) anche a titolo gratuito. I WAF sono strumenti di sicurezza progettati per proteggere le applicazioni Web da diverse tipologie di attacchi. Operano monitorando, filtrando e analizzando il traffico HTTP tra un’applicazione Web e la rete Internet.

Il problema, come spiega l’azienda di San Francisco, è che la velocità di sfruttamento delle vulnerabilità è spesso superiore alla capacità umana di creare regole WAF efficaci o di distribuire patch correttive.

Per combattere le sfide poste dai criminali informatici, Cloudflare ha integrato un approccio basato sull’intelligenza artificiale e sul machine learning (ML). Combinando firme scritte manualmente con algoritmi di apprendimento automatico, la piattaforma Cloudflare mira ad assicurare il miglior equilibrio tra riduzione dei falsi positivi e rapidità di risposta.

Attacchi DDoS in aumento e rischi derivanti dall’uso delle API

Un altro dato allarmante emerso dal rapporto è l’incremento del traffico DDoS, che rappresenta il 6,8% di tutto il traffico Internet giornaliero. Questo valore è aumentato rispetto al 6% registrato nel periodo precedente (2022-2023).

Durante grandi eventi di attacco globali, il traffico malevolo può rappresentare fino al 12% di tutto il traffico HTTP. Solo nel primo trimestre 2024, Cloudflare ha bloccato una media di 209 miliardi di minacce informatiche ogni giorno, con un aumento dell’86,6% rispetto allo stesso periodo dell’anno precedente.

Il traffico da API (Application Programming Interface) continua a crescere, rappresentando ora il 60% di tutto il traffico dinamico (che non può essere interessato dall’uso di soluzioni di caching). Tuttavia, questa crescita porta con sé nuovi rischi, poiché fornisce ulteriori superfici di attacco agli aggressori. Un esempio su tutti: i 33 milioni di numeri di telefono rubati a Twilio, derivano da permessi imperfetti relativi all’utilizzo di un’API dell’app Authy.

Sicurezza lato cliente e integrazioni di terze parti

La sicurezza lato client è diventata un punto focale, soprattutto a causa della proliferazione di integrazioni di terze parti nelle applicazioni Web. Secondo i dati di Page Shield, i siti aziendali integrano in media 47 endpoint di terze parti.

Questa dipendenza aumenta i rischi, poiché gli script di terze parti sono spesso caricati direttamente dal browser dell’utente, esponendo potenzialmente l’organizzazione e/o gli utenti a diverse tipologie di attacco.

Il caso Polyfill JS, con decine di migliaia di siti che esponevano codice potenzialmente pericoloso, è davvero emblematico.

L’immagine in apertura è prodotta con Playground.