Joseph Lee

Threat Report gennaio 2025: farsi trovare preparati conviene

Quest’anno, numerose grandi aziende di tutto il mondo si troveranno a dover affrontare le conseguenze di attacchi informatici. Molte vulnerabilità conosciute costituiscono canali privilegiati per accedere a risorse di rete sensibili. Nel nostro primo Threat Report del 2025 analizziamo le principali violazioni del 2024, oltre ai data breach più importanti di gennaio 2025.

Un dato interessante: le vulnerabilità qui riportate rappresentano solo la punta dell’iceberg. A gennaio 2025 sono state pubblicate oltre 4.000 nuove CVE (Common Vulnerabilities and Exposures), di cui 22 hanno ottenuto un punteggio CVSS massimo di 10 e 375 e sono quindi considerate ad alto rischio. La crescente ondata di vulnerabilità critiche in dispositivi di edge networking persiste, con nuove falle scoperte nei prodotti di aziende leader del settore tecnologico come Microsoft, Apple, Cisco, Fortinet, Palo Alto Networks, Ivanti e Oracle. Queste esposizioni sono state aggiunte al catalogo KEV (Known Exploited Vulnerabilities) della CISA (Cybersecurity and Infrastructure Security Agency).

Mitigazione dei rischi nella supply chain: responsabilità condivise

Nell’era digitale, la dipendenza quotidiana da software di terze parti rende imprescindibile un rapporto di fiducia con questi strumenti. Tuttavia, quando questa fiducia viene compromessa, sia per negligenza, intenti malevoli o errori umani, la responsabilità della sicurezza informatica grava inevitabilmente sull’utente finale. La capacità di mitigare i rischi è strettamente legata alle competenze tecniche e alla collaborazione tra le parti coinvolte. Nel 2025, i professionisti della cybersecurity devono essere pienamente consapevoli di questa complessa realtà.

In caso di compromissione della sicurezza nella catena di approvvigionamento, condurre un’indagine approfondita sulle cause scatenanti diventa un imperativo. Valuta se il fornitore del software ha messo a disposizione gli strumenti necessari per gestire autonomamente i risultati delle tue misure di sicurezza. È necessario valutare se il fornitore del software ha reso disponibili gli strumenti essenziali per gestire in autonomia i risultati delle misure di sicurezza adottate. Inoltre, occorre verificare che i responsabili della sicurezza informatica sanno identificare ed eliminare le vulnerabilità. Oppure se i dipendenti sono stati adeguatamente formati per riconoscere gli attacchi di phishing e se sono state implementate altre misure di cybersecurity appropriate. Le aziende devono rafforzare le proprie difese contro i ransomware, valutando regolarmente il rischio e dando priorità alla gestione delle patch. Infine, devono verificare l’esistenza di strategie di backup affidabili che soddisfino gli obiettivi di recupero e implementare ulteriori controlli di sicurezza di base per salvaguardare i dati sensibili e prevenire interruzioni operative.

La soluzione? L’approccio proattivo

Il report annuale 2024 del National Cyber Security Center britannico offre un quadro preoccupante: il numero di attacchi informatici significativi è triplicato rispetto al 2023. Parallelamente, il CSIS (Center for Strategic and International Studies) ha pubblicato un elenco dettagliato dei principali incidenti informatici del 2024, fornendo una visione d’insieme del panorama globale delle minacce. Il conflitto Russia-Ucraina ha contribuito a influenzare questo scenario. Inoltre, la rapida transizione globale da cooperazione internazionale a una crescente ostilità ha ulteriormente aggravato i rischi, delineando un contesto sempre più complesso e instabile.

Secondo il rapporto di sicurezza 2024 di Check Point Research, il 96% delle vulnerabilità sfruttate nel 2024 aveva più di un anno. Questo dato risulta incoraggiante per i difensori proattivi, perché dimostra che le aziende che adottano un approccio di gestione delle vulnerabilità sono meglio preparate contro attacchi ransomware mirati e attacchi di massa. Una cosa è chiara: la sicurezza informatica proattiva si rivela fondamentale nel ridurre i costi associati alle violazioni della sicurezza.

Analizziamo due delle violazioni della sicurezza più significative del 2024:

  • La violazione dei dati di Change Healthcare: nonostante una generale diminuzione delle violazioni nel settore sanitario rispetto al picco del 2023, l’attacco ransomware contro Change Healthcare ha stabilito un nuovo primato, coinvolgendo 190 milioni di persone. I costi associati hanno raggiunto la cifra astronomica di 2,457 miliardi di dollari. In seguito all’incidente, lo stato del Nebraska ha intrapreso un’azione legale contro l’azienda, accusandola di gestire sistemi IT obsoleti non conformi agli standard di sicurezza aziendali. Secondo le stime di IBM, le violazioni nel settore sanitario sono le più onerose, con un costo medio di 9,77 milioni di dollari nel 2024.
  • I Typhoon fanno irruzione nelle aziende americane: il suffisso “Typhoon” è utilizzato nella nomenclatura di Microsoft per indicare gruppi di minacce di origine cinese. Il gruppo cinese Salt Typhoon, sostenuto dallo stato, si è infiltrato nelle reti di almeno nove grandi società di telecomunicazioni statunitensi, ottenendo accesso ai metadati delle chiamate e dei messaggi degli utenti, nonché alle registrazioni audio di alti funzionari governativi. Volt Typhoon ha compromesso le reti di Singapore Telecommunications (SingTel) e di altri operatori di telecomunicazioni a livello globale. Questi gruppi hanno sfruttato vulnerabilità in dispositivi di rete obsoleti, inclusi server Microsoft Exchange non aggiornati, router Cisco, firewall Fortinet e Sophos, e applicazioni VPN Ivanti. Greenbone è in grado di rilevare tutte le vulnerabilità software note associate agli attacchi di Salt Typhoon e Volt Typhoon.
    [1][2].

Il Regno Unito e il divieto alle organizzazioni pubbliche di pagare riscatti ransomware

Nell’ambito della lotta al ransomware, il governo britannico ha proposto di vietare alle organizzazioni pubbliche e alle infrastrutture critiche il pagamento di riscatti con l’obiettivo di disincentivare i criminali informatici dal prenderle di mira. Tuttavia, un recente rapporto  del National Audit Office (NAO) sottolinea che “la minaccia informatica per il governo del Regno Unito è grave e in rapida evoluzione”.

L’FBI, la CISA e l’NSA sconsigliano il pagamento dei riscatti in caso di attacchi ransomware. Pagare non garantisce il recupero dei dati crittografati né impedisce la diffusione di informazioni sottratte; al contrario, potrebbe incentivare ulteriori attività criminali. D’altro canto, secondo alcune analisi, molte piccole e medie imprese potrebbero non essere in grado di sostenere finanziariamente i tempi di inattività causati da un attacco ransomware. Questo solleva un dilemma: è accettabile che i criminali informatici traggano profitto, mentre le risorse che potrebbero essere destinate allo sviluppo di talenti locali vengono invece utilizzate per pagare riscatti?

Vulnerabilità in SonicWall SMA 1000 sfruttata in modo attivo

Microsoft Threat Intelligence ha scoperto che la vulnerabilità CVE-2025-23006 con un punteggio di 9.8 (Critico)  secondo il Common Vulnerability Scoring System (CVSS), è attivamente sfruttata nei gateway SonicWall SMA 1000. Questa falla deriva dalla deserializzazione  [CWE-502] di dati non affidabili. Un aggressore remoto non autenticato con accesso alle console di gestione Appliance Management Console (AMC) e Central Management Console (CMC) potrebbe eseguire comandi arbitrari sul sistema operativo del dispositivo. SonicWall ha rilasciato l’hotfix versione 12.4.3-02854 per risolvere questa vulnerabilità.

Sebbene non sia stato identificato alcun codice exploit pubblicamente disponibile, numerose agenzie governative hanno emesso avvisi riguardanti la vulnerabilità CVE-2025-23006, tra cui la Confederazione tedesca BSI CERT, il Centro canadese per la sicurezza informatica, il CISA e il NHS (National Health Service) del Regno Unito. Greenbone è in grado di rilevare sistemi SonicWall interessati da questa vulnerabilità verificando da remoto la versione indicata nel banner di servizio.

CVE-2024-44243 per rootkit persistenti in macOS

Gennaio 2025 è stato un mese pieno di sfide per la sicurezza Apple. Microsoft Threat Intelligence ha condotto un test di sicurezza su macOS, individuando una vulnerabilità che potrebbe consentire alle applicazioni installate di alterare il System Integrity Protection (SIP) del sistema operativo. Questa falla potrebbe permettere agli aggressori di installare rootkit e malware persistenti, nonché di eludere Transparency, Consent and Control (TCC), il meccanismo che gestisce i permessi di accesso delle applicazioni alle cartelle. Nonostante l’assenza di segnalazioni di attacchi attivi, Microsoft ha reso disponibili dettagli tecnici sulla vulnerabilità.

Alla fine di gennaio 2025, sono stati identificati 88 nuovi CVE, di cui 17 con livello di gravità critica (CVSS), che interessano l’intera gamma di prodotti Apple. Una di queste, CVE-2025-24085, è stata rilevata in attacchi attivi ed è stata aggiunta al catalogo KEV della CISA. Inoltre, sono state scoperte due vulnerabilità potenzialmente sfruttabili nei chip delle serie M di Apple, denominate SLAP e FLOP, per le quali non sono ancora stati assegnati CVE. Con SLAP i ricercatori hanno sfruttato le vulnerabilità del chip per manipolare le tecniche di allocazione dell’heap nel Safari WebKit e alterare i metadati delle stringhe JavaScript. Questo ha permesso loro di eseguire letture speculative fuori dai limiti, estraendo contenuti sensibili del DOM da altre schede del browser. Per quanto riguarda FLOP, gli esperti hanno dimostrato che è possibile rubare dati sensibili da Safari e Google Chrome bypassando la verifica del tipo JavaScript nel Safari WebKit e l’isolamento del sito in Chrome tramite WebAssembly.

Inoltre, sono state identificate cinque vulnerabilità critiche che interessano Microsoft Office per macOS, tutte con potenziali exploit che potrebbero portare all’esecuzione remota di codice (RCE). I prodotti coinvolti includono Microsoft Word (CVE-2025-21363), Excel (CVE-2025-21354 e CVE-2025-21362) e OneNote (CVE-2025-21402) per macOS. Sebbene al momento manchino dettagli tecnici specifici su queste vulnerabilità, è altamente consigliato aggiornare i software interessati il prima possibile per mitigare i rischi associati.

Il Greenbone Enterprise Feed rileva gli aggiornamenti di sicurezza mancanti per macOS e identifica numerose vulnerabilità (CVE) che interessano le applicazioni macOS, inclusi i cinque CVE recentemente scoperti in Microsoft Office per Mac.

6 vulnerabilità in Rsync consentono la compromissione di server e client

La combinazione die due vulnerabilità recentemente identificate può consentire l’esecuzione remota di codice su server Rsyncd vulnerabili, mantenendo un accesso anonimo in sola lettura. CVE-2024-12084, è un overflow del buffer heap e CVE-2024-12085 riguarda una perdita di informazioni. I mirror pubblici che utilizzano Rsyncd sono particolarmente a rischio, poiché non dispongono di propri controlli di accesso.

Inoltre, i ricercatori hanno rilevato che un server Rsyncd compromesso può leggere e scrivere qualsiasi file sui client collegati, consentendo il furto di informazioni sensibili e, potenzialmente, l’esecuzione di codice dannoso attraverso la modifica di file eseguibili.

Ecco un riepilogo delle nuove vulnerabilità, ordinate per gravità CVSS:

  • CVE-2024-12084 (CVSS 9.8 Critical): una gestione impropria della lunghezza del checksum può causare un overflow del buffer heap, portando potenzialmente all’esecuzione remota di codice.
  • CVE-2024-12085 (CVSS 7.5 High): la presenza di contenuti non inizializzati nello stack può esporre informazioni sensibili.
  • CVE-2024-12087 (CVSS 6.5 Medium): la vulnerabilità Path Traversal in Rsync consente di accedere a file non autorizzati sul client.
  • CVE-2024-12088 (CVSS 6.5 High): la vulnerabilità di Path Traversal attraverso l’opzione –safe-links può consentire la scrittura arbitraria di file al di fuori della directory prevista.
  • CVE-2024-12086 (CVSS 6.1 High): i server Rsync possono esporre file sensibili dei client durante le operazioni di copia, potenzialmente rivelando dati riservati.
  • CVE-2024-12747 (CVSS 5.6 High): una gestione inadeguata dei collegamenti simbolici in Rsync può causare una condizione di gara che, se sfruttata, consente l’escalation dei privilegi quando un utente malintenzionato controlla il processo Rsyncd.

Nel complesso, queste vulnerabilità rappresentano un serio rischio di esecuzione di codice remoto (RCE), esfiltrazione di dati e installazione di malware persistenti sia sui server Rsyncd che su client ignari.Gli utenti devono installare la patch di Rsync, eseguire una scansione approfondita degli Indicators of Compromise (IoC) su tutti i sistemi che hanno utilizzato Rsync e, se necessario, rivedere l’infrastruttura per la condivisione dei file. Greenbone è in grado di rilevare tutte le vulnerabilità note in Rsync e di identificare l’assenza di aggiornamenti di sicurezza critici.

CVE-2025-0411: 7-Zip consente l’aggiramento di MotW

Il 25 gennaio 2025 è stata resa nota la vulnerabilità CVE-2025-0411 (punteggio CVSS 7.5 – High), che interessa il software di archiviazione 7-Zip. Questa falla permette di aggirare il meccanismo di sicurezza “Mark of the Web” (MotW) di Windows tramite archivi appositamente predisposti. MotW contrassegna i file scaricati da Internet con un identificatore di zona (ADS), avvisando l’utente quando alcuni contenuti sono potenzialmente non sicuri. Tuttavia, nelle versioni di 7-Zip precedenti alla 24.09, il meccanismo MotW veniva eliminato nei file estratti da tali archivi, esponendo il sistema a rischi. Per sfruttare questa vulnerabilità, un attaccante necessita dell’interazione dell’utente, che dovrebbe aprire un archivio infetto e successivamente eseguire un file dannoso in esso contenuto.

Una ricerca di Cofense  ha rilevato che i siti web governativi di tutto il mondo vengono utilizzati in modo improprio tramite CVE-2024-25608, una vulnerabilità nella piattaforma digitale Liferay che viene sfruttata per il credential phishing, malware e operazioni di comando e controllo (C2). Questa falla consente agli aggressori di reindirizzare gli utenti da URL .gov affidabili verso siti di phishing malevoli. La combinazione dei reindirizzamenti da domini .gov con la vulnerabilità di 7-Zip presenta il rischio elevato per la diffusione nascosta di malware.

Per mitigare questa vulnerabilità, è essenziale aggiornare manualmente 7-Zip alla versione 24.09, disponibile dalla fine del 2024. Come accennato nell’introduzione, la sicurezza della supply chain del software spesso si colloca in una zona grigia, poiché tutti dipendiamo da software al di fuori del nostro controllo. È interessante notare che, prima della divulgazione della vulnerabilità CVE-2025-0411, 7-Zip non aveva avvisato gli utenti riguardo a tale problema. Sebbene 7-Zip sia un software open source, il repository Github del prodotto non fornisce dettagli o informazioni di contatto per una divulgazione responsabile.

Inoltre, la vulnerabilità CVE-2025-0411 ha attivato notifiche da parte di DFN-CERT e BSI CERT-Bund[1][2]. Greenbone è in grado di individuare le versioni vulnerabili di 7-Zip.

Per riassumere

Questa edizione del nostro report mensile sulle minacce informatiche si concentra su significative violazioni della sicurezza avvenute nel 2024 e sulle nuove vulnerabilità critiche scoperte a gennaio 2025. La supply chain del software rappresenta un rischio crescente per aziende di ogni dimensione e interessa sia prodotti open source che proprietari. Tuttavia, il software open source offre trasparenza e la possibilità per le parti interessate di impegnarsi proattivamente per migliorare la sicurezza tramite un approccio collaborativo o indipendente. Sebbene i costi della sicurezza informatica siano elevati, il progresso delle competenze tecniche diventerà sempre più un fattore decisivo per la protezione di aziende e stati. La fortuna sta dalla parte di chi si fa trovare preparato.

Contatto Prova Ora Acquista Torna alla Panoramica

/da
Greenbone AG

Nuove interessanti funzionalità per le Enterprise Appliance di Greenbone

Siamo lieti di annunciare il lancio di importanti aggiornamenti al Greenbone Operating System (GOS), il software alla base delle nostre appliance aziendali fisiche e virtuali. Questi aggiornamenti introducono nuove funzionalità front-end per migliorare la gestione delle vulnerabilità aziendali e allo stesso tempo potenziano le prestazioni nel back-end. La versione 24.10 del GOS riflette l’impegno di Greenbone nel promuovere buone pratiche di sicurezza informatica, permettendo alle organizzazioni di identificare e risolvere rapidamente le vulnerabilità.

In questo articolo presentiamo le nuove funzionalità e i miglioramenti che rendono le nostre appliance aziendali ancora più efficaci nella gestione delle esposizioni e della conformità alla sicurezza informatica.

Tutte le nuove funzionalità di GOS 24.10

Greenbone Security Assistant (GSA) rende la sicurezza informatica un argomento tangibile per i responsabili IT. La rinnovata interfaccia web GSA presenta un design moderno e minimalista che privilegia l’usabilità, mantenendo l’accessibilità alle potenti funzionalità di Greenbone. Questo restyling estetico è solo l’inizio: sono previsti cambiamenti più sostanziali che trasformeranno ulteriormente l’esperienza d’uso.

Finestra di visualizzazione del nuovo report di audit di conformità

La cybersecurity compliance sta assumendo un ruolo sempre più centrale. Le recenti normative UE come il Digital Operational Resilience Act (DORA), la Network and Information Security Directive 2 (NIS2) e il Cyber Resilience Act (CRA) impongono alle organizzazioni di implementare misure più proattive per salvaguardare la propria infrastruttura digitale. Altri fattori come l’adozione di assicurazioni specifiche per la cybersecurity, l’aumento della richiesta di verifiche esterne indipendenti e una responsabilità più elevata nei confronti dei clienti riguardo la protezione dei dati, stanno inducendo le organizzazioni a riconsiderare e potenziare i propri approcci alla gestione e al monitoraggio della sicurezza informatica.

L’aggiornamento GOS 24.10 introduce una nuova modalità di visualizzazione focalizzata sulla compliance, progettata per migliorare la comprensione dell’allineamento normativo e delle politiche. L’interfaccia utente rinnovata offre una migliore visibilità dei rischi per la sicurezza informatica, favorendo l’allineamento con gli obiettivi di governance IT. Questa vista include report di audit di conformità, nuove visualizzazioni della dashboard e opzioni di filtro avanzate. Le funzionalità permettono di separare efficacemente i dati relativi alla conformità dai report di scansione standard. Inoltre, i report di audit Delta mettono in evidenza i progressi nella conformità attraverso indicatori visivi e suggerimenti, facilitando l’identificazione delle aree di miglioramento.

Il supporto EPSS aggiunge la prioritizzazione basata sull’intelligenza artificiale

Con il costante aumento dei nuovi CVE (Common Vulnerabilities and Exposures), diventa essenziale stabilire delle priorità tra le vulnerabilità per focalizzarsi sulle minacce più critiche. L’Exploit Prediction Scoring System (EPSS) è un sistema di valutazione basato sull’intelligenza artificiale in grado di calcolare la probabilità che un CVE venga effettivamente sfruttato. Questo sistema utilizza il machine learning (ML) per analizzare dati storici e prevedere quali nuovi CVE hanno maggiori probabilità di essere oggetto di attacchi attivi.

I dati EPSS sono ora parte integrante delle nostre appliance aziendali. Le probabilità di sfruttamento, regolarmente aggiornate per ogni CVE attivo, sono ora disponibili nella piattaforma Greenbone. Gli amministratori possono utilizzare punteggi e percentili di probabilità di exploit aggiornati, in aggiunta alla tradizionale valutazione della gravità CVSS. Questo consente loro di concentrarsi sulle vulnerabilità più critiche e urgenti nelle loro operazioni di sicurezza.

Funzionalità di esportazione di report CSV e JSON più flessibili

Greenbone ha sempre adottato un approccio incentrato sulla semplicità e sulla flessibilità, permettendo alle sue soluzioni di adattarsi a una vasta gamma di esigenze operative specifiche. La versione GOS 24.10 introduce una nuova funzionalità: l’esportazione dei report in formato JSON. Inoltre, gli utenti hanno ora la possibilità di personalizzare i campi nei report esportati in formato CSV e JSON. Questa caratteristica consente di adattare i report direttamente all’interno di Greenbone, permettendo di soddisfare con maggiore precisione i requisiti specifici dei report e di focalizzarsi sugli elementi essenziali per l’analisi, la conformità o il processo decisionale.

Ulteriori ottimizzazioni nel backend

Per migliorare la flessibilità e l’accuratezza nell’identificazione delle vulnerabilità, Greenbone ha implementato diverse ottimizzazioni del back-end, focalizzandosi sulla gestione del CPE (Common Platform Enumeration) e dei feed. Ecco una panoramica delle novità introdotte:

  • Il back-end è ora in grado di convertire le stringhe CPEv2.3 in URI CPEv2.2, conservando entrambe le versioni per garantire una corrispondenza più affidabile dei prodotti interessati. Futuri sviluppi potrebbero includere un sistema di corrispondenza avanzato e in tempo reale, aumentando ulteriormente la precisione nella valutazione delle vulnerabilità.
  • Le appliance aziendali Greenbone hanno introdotto il supporto per feed CVE, CPE, EPSS e CERT basati su JSON, oltre alla compressione dei dati tramite gzip.

Indice

Di recente, Greenbone ha rilasciato una serie di aggiornamenti importanti per le sue Enterprise Appliances, introducendo diverse nuove funzionalità e miglioramenti. Gli aggiornamenti introducono un’interfaccia web GSA modernizzata, una visualizzazione dei report di audit incentrata sulla conformità per una migliore visibilità e funzionalità avanzate di esportazione CSV e JSON che offrono agli utenti il controllo sui dati dei report Inoltre, abbiamo aggiunto EPS basati sull’intelligenza artificiale alle opzioni disponibili per la prioritizzazione del rischio di vulnerabilità. Infine, le ottimizzazioni del back-end garantiscono una perfetta compatibilità con i nuovi formati CPE e i feed basati su JSON. Insieme, queste funzionalità si aggiungono alle capacità di gestione delle vulnerabilità adattabili di Greenbone, consentendo alle organizzazioni di stare al passo con le minacce emergenti con il rilevamento e la definizione delle priorità delle vulnerabilità leader del settore.

Contatto Prova Ora Acquista Torna alla Panoramica

/da