Vulnerabilità informatiche: cosa sono e come gestirle

Vulnerabilità informatiche: alcuni esempi di vulnerabilità note

Tutti gli apparati, anche quelli più sofisticati e costosi, non sono esenti da vulnerabilità, che devono essere rilevate e risolte nel più breve tempo possibile.

CVE-2021-26857, CVE-2021-26858, CVE-2021-26859, CVE-2021-27065: Queste CVE rappresentano una serie di vulnerabilità critiche in Microsoft Exchange Server, collettivamente conosciute come “ProxyLogon”, che hanno permesso ad attaccanti non autenticati di eseguire codice arbitrario e ottenere accesso non autorizzato a server Exchange.
CVE-2021-22122: Questa vulnerabilità in Fortinet FortiWeb consente ad un attaccante di ottenere l’accesso non autorizzato a risorse o eseguire attacchi di cross-site scripting (XSS).
CVE-2021-28480: Questa vulnerabilità riguardava una falle di sicurezza in Exchange Server che consente ad un attaccante di ottenere informazioni riservate tramite un attacco di tipo “cross-tenant” e “elevation of privilege”.
CVE-2020-3619: Una falla di sicurezza in QNAP QTS può essere sfruttata per ottenere l’accesso non autorizzato a risorse o eseguire attacchi di tipo “directory traversal”.
CVE-2020-2015: Questa vulnerabilità riguarda Palo Alto PAN-OS e consente agli attaccanti remoti di ottenere l’accesso non autorizzato a risorse o eseguire attacchi di tipo “cross-site scripting” (XSS) attraverso una falla nella gestione dei log
BlueKeep è il nome comune assegnato a una vulnerabilità critica del sistema operativo Microsoft Windows, specificamente del protocollo Remote Desktop Protocol (RDP). Questa vulnerabilità è stata identificata con il codice CVE-2019-0708 ed è stata resa pubblica nel maggio 2019.
La vulnerabilità ZeroLogon, identificata con il codice CVE-2020-1472, è una grave falle di sicurezza che colpisce Microsoft Windows Server.

Catene di vulnerabilità, l’esempio di vCenter

A volte un sistema è afflitto da diverse vulnerabilità, e sfruttandole in catena è possibile compromettere oppure prendere il controllo del sistema vulnerabile.

Per esempio, le catene di vulnerabilità su VMware vCenter sono costituite da una serie di vulnerabilità collegate che possono essere sfruttate in sequenza per compromettere la sicurezza di un sistema VMware vCenter.

Queste catene di vulnerabilità possono consentire agli attaccanti di ottenere l’accesso non autorizzato ai sistemi, eseguire codice malevolo e compiere altre azioni dannose.

Ecco un esempio di come una catena di vulnerabilità potrebbe funzionare sul tuo VMware vCenter:

Vulnerabilità ed attacchi all’Active Directory

Le vulnerabilità nell’Active Directory, possono avere un impatto significativo sulla sicurezza della tue organizzazione.

Ecco alcuni esempi di vulnerabilità che possono colpire l’Active Directory, come vedi non è sempre un tema di vulnerabilità tecniche dei sistemi, ma anche un problema di processi non definiti e misconfigurazioni:

Attacchi Pass-the-Hash (PtH): Gli attaccanti possono rubare l’hash della password di un utente memorizzato nell’Active Directory e utilizzarlo per accedere a sistemi e risorse senza conoscere effettivamente la password. Ciò avviene sfruttando debolezze nei protocolli di autenticazione.
Abuso di autorizzazioni eccessive: Una cattiva gestione delle autorizzazioni all’interno di Active Directory può portare utenti o gruppi ad accedere a risorse o privilegi che non dovrebbero avere, aprendo la porta a potenziali abusi.
Account disattivati o non utilizzati: Gli account di utenti o computer disattivati o non utilizzati all’interno dell’Active Directory possono diventare punti di ingresso per attacchi, poiché potrebbero non essere monitorati o aggiornati.
Password deboli o scadute: La presenza di password deboli o scadute all’interno dell’Active Directory aumenta il rischio di accessi non autorizzati.
Gestione inadeguata delle chiavi di crittografia: Una gestione non adeguata delle chiavi di crittografia può esporre i dati sensibili a rischi di accesso non autorizzato.
Fuga di informazioni: Se le autorizzazioni non vengono gestite correttamente, gli utenti potrebbero essere in grado di accedere a informazioni riservate o a cui non dovrebbero avere accesso.
Falle nel processo di autenticazione e autorizzazione: Potrebbero esistere debolezze nei meccanismi di autenticazione e autorizzazione dell’Active Directory che potrebbero essere sfruttate dagli attaccanti per ottenere accesso non autorizzato.

Vulnerabilità di applicazioni web

Le applicazioni web sono sempre più presenti e centrali in tutti i settori della nostra vita, non solo quella professionale, è ovvio che gli attaccanti abbiano sviluppato tutta una serie di tecniche per sfruttarne le inevitabili vulnerabilità:

Cross-Site Scripting (XSS): L’attacco XSS si verifica quando un attaccante inietta codice malevolo all’interno di un’applicazione web, che viene poi eseguito nel browser di altri utenti che accedono a quella pagina.

SQL Injection Ovvero inviare comandi SQL malevoli all’interno ad un database che, una volta eseguiti, consenteno all’attaccante di accedere, modificare o eliminare dati.

Uso improrio di API Le API sono una sorta di “ponte” tra diverse applicazioni, consentendo loro di scambiare dati e funzionalità. Questo le espone a diverse vulnerabilità che se non gestite possono portare gli attaccanti a sfruttarle, ad esempio utilizzando API pubbliche per eseguire operazioni non autorizzate o sovraccaricando le API con richieste di grandi dimensioni.

La “bomba” Log4Shell

A Dicembre 2021 è stata trovata una vulnerabilità gravissima (CVE-2021-44228, livello di pericolosità: 10 su 10) sulle librerie Apache Log4j: è stata considerata una delle più gravi e diffuse minacce informatiche di sempre.

Esecuzione Remota di Codice (RCE): Log4Shell consentiva agli attaccanti di eseguire codice arbitrario a distanza, questo significava che gli aggressori potevano ottenere il controllo completo dei sistemi vulnerabili e potenzialmente eseguire qualsiasi tipo di azione malintenzionata.
Amplificazione degli Attacchi: Una caratteristica particolarmente rischiosa di Log4Shell era la sua capacità di essere sfruttata in modalità “amplification”, in cui un piccolo input malevolo poteva innescare una risposta e una serie di richieste molto più grandi.
Diffusione Globale: La libreria Apache Log4j è ampiamente utilizzata in tutto il mondo, rendendo questa vulnerabilità particolarmente diffusa e potenzialmente dannosa.
Minacce Multidimensionali: Gli attaccanti potevano utilizzare la vulnerabilità Log4Shell per compiere una vasta gamma di azioni malevole, tra cui l’esfiltrazione di dati, l’installazione di malware, l’ottenimento di accesso non autorizzato a sistemi sensibili, l’esecuzione di comandi e altro ancora.

L’ampia portata e la gravità di Log4Shell hanno suscitato un allarme globale nella comunità della sicurezza informatica.

Per difendersi è necessario aggiornare le librerie (cosa sempre non possibile, per ovvie ragioni di compatibilità con le applicazioni sviluppate), ed utilizzare un buon WAF (web Application Firewall) sempre aggiornato, che può intercettare le modalità di attacco e bloccarle sul nascere.

Cavalli di Troia dentro la tua Azienda

Queste vulnerabilità sono spesso state sfruttate come autentici “cavalli di troia” attraverso i quali gli attaccanti introducono malware all’interno delle reti aziendali.

Il loro obiettivo è chiaro: accedere ai dati riservati e alle password degli amministratori di sistema ed installare software malevolo in modo totalmente discreto, facendo uno scan delle reti delle aziende colpite per scoprirne la struttura, individuare i backup e criptarli o eliminarli in silenzio.

Una volta che i dati sono stati acquisiti e i backup cancellati, arriva il colpo finale: i dati vengono rubati e criptati, e gli attaccanti chiedono un riscatto doppio per decifrarli e prevenire la loro diffusione pubblica.

In risposta a queste vulnerabilità, i produttori hanno rilasciato aggiornamenti per risolvere i problemi. Tuttavia, nel frattempo, gli hacker, individuando le debolezze nelle reti delle vittime, hanno scatenato attacchi immediati, noti come “attacchi zero-day”.