Quasi due terzi delle CVE sono a bassa complessità

Gli esperti di sicurezza hanno avvertito di un aumento delle vulnerabilità pubblicate che sono relativamente facili da sfruttare e non richiedono l’interazione dell’utente.

L’ultimo rapporto del fornitore di servizi di sicurezza gestiti Redscan, NIST Security Vulnerability Trends in 2020: An Analysis, dà uno sguardo alle oltre 18.000 vulnerabilità ed esposizioni comuni (CVE) registrate nel National Vulnerability Database (NVD) del NIST.

Già il fatto che nel 2020 sono state segnalate più CVE rispetto a qualsiasi anno precedente, ha sollevato preoccupazioni sui tipi di vulnerabilità emergenti.

Oltre la metà (57%) delle vulnerabilità nel 2020 è stata classificata come gravità “critica” o “alta”, per un totale di oltre 10.300 CVE.

Tuttavia, forse più preoccupante è il fatto che il 63% del numero totale divulgato nel 2020 è stato classificato come “bassa complessità”, il che significa che un utente malintenzionato con scarse capacità tecniche potrebbe sfruttarli. Questa cifra è in aumento dal 2017, dopo essere in gran parte diminuita tra il 2001 e il 2014, secondo il rapporto.

La cifra del 63% rappresenta un massimo di 13 anni, ha affermato Redscan.

“La prevalenza di vulnerabilità a bassa complessità negli ultimi anni significa che gli avversari sofisticati non hanno bisogno di ‘bruciare’ la loro alta complessità zero-day sui loro obiettivi e hanno il lusso di salvarli invece per attacchi futuri”, avverte il rapporto.

“Le vulnerabilità a bassa complessità si prestano allo sfruttamento di massa in quanto l’attaccante non ha bisogno di considerare alcun fattore attenuante o problema con un percorso di attacco. Questa situazione è peggiorata quando il codice di exploit raggiunge il pubblico e gli aggressori meno esperti possono semplicemente eseguire script per compromettere i dispositivi”.

Altre cattive notizie, sono in aumento anche le vulnerabilità che non richiedono l’interazione dell’utente per essere sfruttate: rappresentavano il 68% di tutti i CVE registrati nel 2020.

Gli attacchi che sfruttano questi CVE sono difficili da rilevare e hanno il potenziale di causare danni significativi, ha affermato il venditore.

“Gli aggressori che sfruttano queste vulnerabilità non hanno nemmeno bisogno dei loro obiettivi per eseguire involontariamente un’azione, come fare clic su un collegamento dannoso in un’e-mail. Ciò significa che gli attacchi possono facilmente passare sotto il radar”, osserva il rapporto.

“Le vulnerabilità che non richiedono alcuna interazione per essere sfruttate rappresentano una sfida complessa per i team di sicurezza, sottolineando la necessità di una difesa in profondità. Ciò include il miglioramento della visibilità dei comportamenti di attacco una volta che si è verificata una compromissione”.