Tag Archivio per: CVE

Greenbone AG

Greenbone Detection efficace anche durante l’interruzione NVD del NIST

Nonostante l’interruzione del NIST NVD, il sistema di rilevamento di Greenbone mantiene piena operatività, garantendo scansioni affidabili delle vulnerabilità senza dipendere dai dati di arricchimento CVE mancanti.

Dal 1999, il Common Vulnerabilities and Exposures (CVE), gestito dalla MITRE Corporation, fornisce gratuitamente informazioni pubbliche sulle vulnerabilità, pubblicando e aggiornando dati sulle falle del software. Dal 2005, il National Institute of Standards and Technology (NIST) ha arricchito questi rapporti CVE, dando maggiore contesto per migliorare la valutazione del rischio informatico. Tuttavia, all’inizio del 2024, la comunità della sicurezza informatica è stata sorpresa dall’interruzione delle attività del NIST National Vulnerability Database (NVD). A circa un anno di distanza, questa interruzione non è stata ancora completamente risolta [1][2]. Con il numero crescente di CVE segnalati ogni anno, le difficoltà del NIST hanno causato un ritardo significativo nell’assegnazione di contesti fondamentali come il punteggio di gravità (CVSS), gli elenchi di prodotti interessati (CPE) e le classificazioni delle debolezze (CWE).

I cambiamenti politici promossi di recente dall’amministrazione Trump hanno generato notevole incertezza riguardo al futuro della condivisione delle informazioni sulle vulnerabilità, influenzando anche numerosi fornitori di sicurezza che da tali dati dipendono. Parallelamente, il bilancio 2025  della Cybersecurity and Infrastructure Security Agency (CISA), riflette una significativa riduzione delle risorse in aree chiave. In particolare, si registra un taglio di circa 49,8 milioni di dollari destinati ad appalti, costruzioni e miglioramenti e una diminuzione di 4,7 milioni di dollari per attività di ricerca e sviluppo. Questi ridimensionamenti hanno spinto la CISA ad adottare misure di contenimento delle spese, tra cui la revisione dei contratti e l’ottimizzazione delle strategie di approvvigionamento.

Nonostante le recenti preoccupazioni, il programma CVE non ha subito alcuna interruzione: il 16 aprile 2025, la CISA ha esteso all’ultimo minuto il contratto con MITRE, garantendo la continuità dei servizi CVE per altri 11 mesi, proprio poche ore prima della scadenza prevista. Tuttavia, l’evoluzione degli eventi rimane imprevedibile. Il potenziale impatto negativo sulla condivisione dell’intelligence suscita allarme, configurando forse una nuova dimensione geopolitica, paragonabile a una forma di guerra fredda digitale.

Questo articolo fornisce una breve panoramica sul funzionamento del programma CVE e su come le capacità di rilevamento di Greenbone siano rimaste invariate durante l’interruzione del NIST NVD.

Funzionamento del programma CVE: una panoramica

La MITRE Corporation, organizzazione senza scopo di lucro, opera come pilastro strategico per la sicurezza interna statunitense abbracciando ricerca difensiva, protezione delle infrastrutture critiche e cybersecurity. Nella gestione del programma CVE, MITRE ricopre un ruolo centrale come Primary CNA (CVE Numbering Authority), coordinando l’infrastruttura chiave per l’assegnazione degli ID CVE, la pubblicazione dei record e i flussi di comunicazione tra tutti i CNA e gli Authorized Data Publishers (ADP). I dati CVE sono resi pubblici attraverso il sito web del MITRE CVE.org  e il repository cvelistV5 su GitHub, dove i record sono archiviati in formato JSON strutturato. Questo modello ha ottimizzato il reporting delle vulnerabilità, standardizzato i processi e assicurato una condivisione dei dati fluida nell’ecosistema della sicurezza informatica globale.

Quando in passato un CNA inviava una descrizione della vulnerabilità al MITRE, il NIST ha sempre aggiunto informazioni chiave quali:

  • CVSS (Common Vulnerability Scoring System): un punteggio di gravità (da 0 a 10) e una stringa vettoriale dettagliata che descrive il rischio associato alla vulnerabilità. Il CVSS valuta fattori come la complessità dell’attacco (Attack Complexity, AC), l’impatto su riservatezza (Confidentiality, C), integrità (Integrity, I) e disponibilità (Availability, A), oltre ad altri parametri.
  • CPE (Common Platform Enumeration): una stringa appositamente formattata che identifica in modo univoco i prodotti e le versioni interessate dalla vulnerabilità, includendo nome del prodotto, fornitore e dettagli architetturali.
  • CWE (Common Weakness Enumeration): classifica le cause profonde della vulnerabilità in base alla tipologia del difetto software.

ll CVSS consente alle organizzazioni di quantificare il rischio associato a una vulnerabilità attraverso un punteggio standardizzato (0-10), facilitando la prioritizzazione strategica degli interventi di bonifica. Poiché le segnalazioni CVE iniziali includono solo dichiarazioni non standardizzate sui prodotti coinvolti, l’integrazione dei CPE da parte del NIST consente alle piattaforme di sicurezza di utilizzare il matching CPE come metodo rapido, sebbene parzialmente inaffidabile, per identificare la presenza di vulnerabilità nell’infrastruttura di un’organizzazione.

Se desideri approfondire come funziona il procedimento di divulgazione delle vulnerabilità e il ruolo di CSAF 2.0 come alternativa decentralizzata al programma CVE del MITRE, leggi il nostro articolo: Cos’è il Common Security Advisory Framework 2.0 e come automatizza il vulnerability management. Di seguito procediamo ad esaminare le criticità del NIST NVD e identifichiamo gli elementi che garantiscono la capacità di Greenbone di rilevare le vulnerabilità nonostante il malfunzionamento del database federale.

Interruzione NVD del NIST: cos’è successo?

A partire dal 12 febbraio 2024, il NVD ha ridotto drasticamente l’arricchimento delle vulnerabilità CVE con metadati importanti come punteggi CVSS, identificatori CPE e classificazioni CWE. Il problema è emerso inizialmente grazie al vicepresidente della sicurezza di Anchore, che ne ha segnalato l’impatto operativo. A maggio 2024, circa il 93% delle CVE aggiunte dopo il 12 febbraio risultava privo di analisi contestuali. A settembre 2024, il NIST non ha rispettato la scadenza autoimposta per colmare il ritardo: il 72,4% delle CVE e il 46,7% delle KEV (Known Exploited Vulnerabilities) del CISA rimanevano non erano ancora state arricchite [3].

Il rallentamento del processo di arricchimento del National Vulnerability Database (NVD) ha avuto ripercussioni significative per la comunità della sicurezza informatica. Non solo perché i dati arricchiti sono fondamentali per i difensori nel definire con efficacia le priorità delle minacce, ma anche perché numerosi strumenti di scansione delle vulnerabilità si basano su questi metadati per rilevare e valutare le falle di sicurezza.

In qualità di difensore della cybersecurity, è lecito chiedersi se Greenbone sia stato colpito dall’interruzione del NIST NVD. La risposta è no. Continua a leggere per scoprire perché le capacità di rilevamento di Greenbone sono riuscite a far fronte all’interruzione del NIST NVD.

Il rilevamento di Greenbone risulta efficace nonostante l’interruzione NVD

Senza metadati CVE arricchiti, molte soluzioni di sicurezza risultano inefficaci a causa della dipendenza dalla corrispondenza CPE per identificare le vulnerabilità. Tuttavia, Greenbone è riuscito a far fronte all’interruzione del NIST NVD grazie a un approccio indipendente dal CPE: i test di vulnerabilità OpenVAS possono essere sviluppati direttamente dalle descrizioni CVE non arricchite, integrando anche il rilevamento di configurazioni errate e vulnerabilità senza CVE, come i benchmark CIS [4][5]. 

Per sviluppare i test di vulnerabilità (VT), Greenbone si avvale di un team dedicato di ingegneri software specializzati nell’analisi degli aspetti tecnici alla base delle vulnerabilità. Il sistema include uno scanner CVE in grado di eseguire una corrispondenza CPE tradizionale, ma si distingue dalle soluzioni dipendenti esclusivamente dai dati CPE del NIST NVD grazie a tecniche di rilevamento avanzate che superano i limiti del matching di base. Questa architettura ibrida – tra automazione standardizzata e analisi contestuale – garantisce capacità di rilevamento solide anche durante interruzioni critiche come quella recente del NIST NVD.

Per garantire un rilevamento delle vulnerabilità resiliente e all’avanguardia, lo scanner OpenVAS di Greenbone interagisce attivamente con i servizi di rete esposti, costruendo una mappa dettagliata della superficie di attacco di una rete target. Questo comprende l’identificazione dei servizi accessibili tramite connessioni di rete, l’analisi dei prodotti in esecuzione e l’esecuzione di test specifici (VT) per ogni vulnerabilità CVE o non-CVE, verificandone attivamente la presenza. L’Enterprise Vulnerability Feed di Greenbone include oltre 180.000 VT aggiornati quotidianamente, garantendo il rilevamento tempestivo delle ultime vulnerabilità segnalate e un’individuazione rapida delle minacce emergenti.

Oltre alle scansioni attive, Greenbone integra scansioni autenticate agentless che raccolgono dati dettagliati dagli endpoint, analizzando i pacchetti software installati e confrontandoli con i CVE noti. Questo approccio garantisce un rilevamento preciso delle vulnerabilità, bypassando la dipendenza dai dati CPE arricchiti del NVD.

Punti di forza:

  • Indipendenza dai dati CVE arricchiti: Greenbone garantisce il rilevamento continuo senza dipendere dai metadati arricchiti del NIST NVD, mantenendo prestazioni stabili anche durante interruzioni del database federale. Una descrizione di base di una vulnerabilità consente agli ingegneri di Greenbone di sviluppare un modulo di rilevamento.
  • Rilevamento avanzato oltre il CPE: sebbene Greenbone includa uno scanner CVE con corrispondenza CPE, le sue capacità si estendono ben oltre questo approccio tradizionale, integrando metodi attivi di interazione con i target per un rilevamento più accurato.
  • Mappatura della superficie di attacco: lo scanner OpenVAS di Greenbone interagisce attivamente con i servizi esposti per mappare la superficie di attacco della rete, identificando tutti i servizi raggiungibili. Le scansioni autenticate agentless raccolgono dati direttamente dagli endpoint per analizzare i pacchetti software installati, confrontandoli con i CVE noti senza dipendere dai dati CPE arricchiti.
  • Resilienza alle interruzioni dell’arricchimento NVD: il rilevamento di Greenbone risulta efficace anche senza dati NVD arricchiti, perché si serve delle descrizioni CVE dei CNA per sviluppare controlli attivi precisi e valutazioni basate sulle versioni software.

L’approccio di Greenbone è pratico, efficace e resistente

Greenbone rappresenta il punto di riferimento in termini di praticità, efficacia e resilienza nel campo della gestione delle vulnerabilità. Le sue soluzioni sono progettate per fornire una protezione proattiva e affidabile contro le minacce informatiche, adattandosi a una vasta gamma di ambienti IT. Utilizzando la mappatura attiva della rete e le scansioni autenticate, le soluzioni Greenbone interagiscono direttamente con l’infrastruttura di destinazione.

Questi standard elevati permettono alle aziende di identificare le vulnerabilità in modo preciso e tempestivo, anche in ambienti complessi e distribuiti. Anche in assenza dell’arricchimento del National Vulnerability Database (NVD), i metodi di rilevamento delle vulnerabilità di Greenbone rimangono efficaci e affidabili. Gli ingegneri di Greenbone possono sviluppare controlli attivi accurati e valutazioni delle vulnerabilità basate sulla versione del prodotto, utilizzando le informazioni disponibili nei rapporti iniziali dei CVE.

Grazie a un approccio intrinsecamente resiliente nel rilevamento delle vulnerabilità, Greenbone assicura una gestione affidabile delle minacce, emergendo come punto di riferimento nel panorama della cybersecurity.

Alternative a NVD / NIST / MITRE

La problematica del MITRE rappresenta un campanello d’allarme per la sovranità digitale europea, ma l’UE ha reagito con tempestività: l’EuVD di ENISA, l’Agenzia dell’Unione per la cybersecurity, è ora operativa. Ne parleremo nel nostro prossimo articolo.

Contatto Prova Ora Acquista Torna alla Panoramica

/da
Joseph Lee

Threat Report febbraio 2025: minacce latenti

Le minacce informatiche si stanno evolvendo rapidamente, ma le vulnerabilità sfruttate dagli attaccanti rimangono pressoché invariate. Per il 2025, molti analisti hanno fornito una retrospettiva sul 2024 e una previsione per l’anno a venire. Gli attacchi informatici diventano sempre più costosi per le aziende, ma le cause restano invariate. Il phishing [T1566] e lo sfruttamento di vulnerabilità software note [T1190] continuano a essere le principali minacce. È interessante notare che gli attaccanti stanno diventando sempre più veloci nel trasformare le informazioni pubbliche in armi, convertendo le rivelazioni di CVE (Common Vulnerabilities and Exposures) in codice exploit utilizzabile nel giro di pochi giorni o addirittura ore. Una volta penetrati nella rete di una vittima, gli aggressori eseguono i loro obiettivi con maggiore rapidità nella seconda fase, implementando il ransomware in tempi molto brevi.

In questo Threat Report, analizziamo le recenti rivelazioni sul gruppo ransomware Black Basta e le misure di protezione offerte da Greenbone. Esamineremo inoltre un rapporto di GreyNoise sullo sfruttamento di massa delle vulnerabilità, una nuova falla critica nella Zimbra Collaboration Suite e le minacce emergenti per i dispositivi di edge networking.

L’era delle tecnologie sismiche

Se le crisi di sicurezza informatica sono paragonabili a terremoti, l’ecosistema tecnologico globale rappresenta le placche tettoniche sottostanti. Questo sistema può essere efficacemente descritto come il corrispettivo informatico del periodo Paleozoico nella storia geologica terrestre. Le dinamiche competitive e le spinte innovative del mercato esercitano pressioni contrastanti sull’infrastruttura della cybersecurity, simili alle forze che portarono alla collisione dei supercontinenti di Pangea. Queste sollecitazioni continue generano “scosse” ricorrenti che provocano riassestamenti strutturali permanenti, modificando radicalmente il panorama della sicurezza digitale.

I nuovi paradigmi informatici come l’IA generativa e l’informatica quantistica offrono vantaggi significativi ma comportano anche rischi considerevoli. La corsa all’accesso ai dati personali sensibili da parte di governi e giganti tecnologici amplifica i rischi per la privacy e la sicurezza dei cittadini. L’impatto di queste lotte tecnologiche sulla sfera privata, la sicurezza e non da ultimo la società, è profondo e multiforme. Ecco alcune delle forze principali che destabilizzano attualmente la sicurezza informatica:

  • L’evoluzione rapida delle tecnologie guida l’innovazione e impone cambiamenti tecnologici continui.
  • Le aziende si trovano costrette ad adattarsi sia per la svalutazione di tecnologie e standard obsoleti, sia per mantenere la propria competitività sul mercato.
  • La concorrenza serrata accelera lo sviluppo dei prodotti e accorcia i cicli di rilascio.
  • L’obsolescenza programmata si è affermata come strategia aziendale per generare maggiori profitti.
  • La diffusa mancanza di responsabilità da parte dei fornitori di software ha portato a privilegiare le prestazioni rispetto al principio “Security First”.
  • Inoltre, gli stati nazionali impiegano tecnologie avanzate per condurre operazioni di guerra cibernetica, guerra dell’informazione e guerra elettronica.

Grazie a queste forze, i criminali informatici ben equipaggiati e organizzati trovano un numero praticamente illimitato di falle di sicurezza da sfruttare. Il Paleozoico è durato 300 milioni di anni; speriamo di non dover attendere altrettanto affinché i produttori di prodotti dimostrino responsabilità e adottino principi di progettazione sicura [1][2][3] per prevenire i cosiddetti punti deboli “imperdonabili” causati dalla negligenza [4][5]. Le aziende devono quindi sviluppare una flessibilità tecnica e implementare programmi efficienti per la gestione delle patch. Una gestione continua e prioritaria delle vulnerabilità è imprescindibile.

Greenbone contro Black Basta

I log di chat interni trapelati del gruppo ransomware Black Basta offrono uno sguardo senza precedenti sulle tattiche e i processi operativi del gruppo. La pubblicazione di questi verbali, attribuita a un individuo noto come “ExploitWhispers”, sarebbe una ritorsione contro gli attacchi controversi di Black Basta alle banche russe, che avrebbero scatenato conflitti interni al gruppo. Dall’inizio delle sue attività nell’aprile 2022, Black Basta ha dimostrato di essere un attore di spicco nel panorama del cybercrime, accumulando oltre 100 milioni di dollari in pagamenti di riscatto da più di 300 vittime a livello globale. Un’analisi approfondita dei documenti trapelati ha rivelato riferimenti a 62 CVE che illustrano le strategie del gruppo per sfruttare vulnerabilità note. Greenbone dispone di test di rilevamento per 61 di questi CVE, coprendo così il 98% delle vulnerabilità menzionate.

Il report di GreyNoise sullo sfruttamento massivo delle vulnerabilità

Gli attacchi di mass-exploitation sono operazioni automatizzate che prendono di mira i servizi di rete accessibili via Internet. Questo mese, GreyNoise ha pubblicato un rapporto dettagliato che analizza il panorama delle mass-exploitation, evidenziando i 20 principali CVE attaccati dalle botnet più estese (in termini di IP univoci) e i fornitori dei prodotti più frequentemente presi di mira. Inoltre, elenca i principali CVE inseriti nel catalogo KEV (Known Exploited Vulnerabilities) della CISA sfruttati dalle botnet Il Greenbone Enterprise Feed offre test di riconoscimento per l’86% di tutti i CVE (86 in tutto) menzionati nel report. Se si considerano solo CVE pubblicati nel 2020 o successivamente (66 in totale), il nostro Enterprise Feed ne copre il 90%.

Inoltre:

  • Il 60% dei CVE sfruttati negli attacchi di massa sono stati pubblicati nel 2020 o successivamente.
  • Gli attaccanti sono sempre più veloci nello sfruttare le nuove vulnerabilità, iniziando ad utilizzarle entro poche ore dalla loro pubblicazione.
  • Il 28% delle vulnerabilità presenti nel catalogo KEV della CISA viene attivamente sfruttato dai gruppi ransomware.

La Zimbra Collaboration Suite

Il CVE-2023-34192 (CVSS 9.0) è una vulnerabilità di cross-site scripting (XSS) critica nella Zimbra Collaboration Suite (ZCS) versione 8.8.15. Questa falla permette a un attaccante autenticato remoto di eseguire codice arbitrario attraverso uno script manipolato indirizzato alla funzione “/h/autoSaveDraft”. La CISA ha incluso il CVE-2023-34192 nel suo catalogo KEV, indicando che la vulnerabilità è stata attivamente sfruttata in attacchi reali. Il codice exploit PoC (Proof of Concept) è disponibile pubblicamente, rendendo possibile anche agli aggressori meno esperti di sfruttare la vulnerabilità. Fin dalla sua scoperta nel 2023, il CVE-2023-34192 ha mantenuto un punteggio EPSS molto elevato. Per i difensori che utilizzano l’EPSS (Exploit Prediction Scoring System) per prioritizzare le azioni correttive, questo implica la necessità di applicare patch con la massima urgenza.

Zimbra Collaboration Suite (ZCS) è una piattaforma open source per applicazioni da ufficio che combina e-mail, calendari, contatti, gestione delle attività e strumenti di collaborazione. Ciononostante, ZCS detiene una quota di mercato di nicchia, rappresentando meno dell’1% di tutte le piattaforme di posta elettronica e messaggistica.

Vivere sul filo del rasoio: vulnerabilità critiche nei dispositivi di rete

Nel nostro threat report mensile, abbiamo evidenziato la persistente vulnerabilità dei dispositivi di rete edge. All’inizio del mese, abbiamo documentato le gravi conseguenze derivanti dai modelli di router e firewall Zyxel giunti a fine ciclo di vita. In questa sezione, esaminiamo i nuovi rischi per la sicurezza che rientrano nella categoria “Edge Networking”. È importante sottolineare che Greenbone offre capacità di rilevamento per tutti i CVE discussi di seguito.

Hacker cinesi sfruttano PAN-OS di Palo Alto per attacchi ransomware

Il CVE-2024-0012 (CVSS 9.8), una vulnerabilità scoperta in Palo Alto PAN-OS nel novembre 2023, si è affermata come una delle più sfruttate del 2024. Fonti attendibili riportano che attori di minacce cinesi, presumibilmente supportati dal governo, stanno sfruttando questa falla per orchestrare attacchi ransomware. Recentemente, è emersa un’altra grave vulnerabilità che affligge PAN-OS: CVE-2025-0108 (CVSS 9.1). Annunciata questo mese, la CISA l’ha immediatamente classificata come attivamente sfruttata. Questa falla permette di aggirare l’autenticazione nell’interfaccia di gestione web. Particolarmente preoccupante è la possibilità di combinarla con CVE-2024-9474 (CVSS 7.2), una vulnerabilità distinta che consente l’escalation dei privilegi, consentendo a un attaccante non autenticato di ottenere il controllo completo sui file root di un dispositivo PAN-OS non aggiornato.

SonicWall corregge una vulnerabilità critica attivamente sfruttata in SonicOS

CVE-2024-53704, una vulnerabilità critica negli apparecchi SonicWall è stata recentemente inclusa nel catalogo KEV della CISA. Sorprendentemente, la CISA ha segnalato che questa è solo una delle otto vulnerabilità legate a SonicWall attivamente sfruttate negli attacchi ransomware. La nuova minaccia CVE-2024-53704 (CVSS 9.8) è una vulnerabilità creata da un meccanismo di autenticazione non pulito [CWE-287] in SSLVPN delle versioni SonicOS 7.1.1-7058 e precedenti, 7.1.2-7019 e 8.0.0-8035 di SonicWall. Consente agli aggressori di bypassare l’autenticazione e dirottare le sessioni VPN SSL attive, ottenendo potenzialmente l’accesso non autorizzato alla rete. Un’analisi tecnica completa è disponibile su BishopFox. Un Security Advisory di SonicWall menziona anche altri CVE ad alta gravità in SonicOS che sono stati patchati insieme a CVE-2024-53704.

CyberoamOS e firewall XG di Sophos a fine vita attivamente sfruttati

Il fornitore di sicurezza Sophos, che ha acquisito Cyberoam nel 2014, ha emesso un avviso e una patch per CVE-2020-29574. CyberoamOS fa parte dell’ecosistema dei prodotti Sophos. Oltre a questo CVE, anche il Sophos XG Firewall, che sta per scadere, è oggetto di un avviso di possibile sfruttamento attivo.

  • CVE-2020-29574 (CVSS 9.8 ): una vulnerabilità critica di SQL Injection [CWE-89] rilevata nell’interfaccia WebAdmin delle versioni CyberoamOS fino al 4 dicembre 2020. Questa falla consente agli aggressori non autenticati di eseguire da remoto istruzioni SQL arbitrarie, con la possibilità di ottenere l’accesso amministrativo completo al dispositivo. È stata rilasciata una patch hotfix che si applica anche a determinati prodotti End-of-Life (EOL) interessati.
  • CVE-2020-15069 (CVSS 9.8) è una vulnerabilità critica di overflow del buffer che colpisce le versioni di Sophos XG Firewall da 17.x a v17.5 MR12. Questa falla consente l’esecuzione di codice remoto (RCE) non autenticata attraverso la funzione di segnalibro HTTP/S per l’accesso clientless. Sebbene pubblicata nel 2020, la vulnerabilità è ora oggetto di sfruttamento attivo ed è stata inclusa nel catalogo KEV della CISA, indicando un incremento del rischio associato. In risposta alla scoperta della vulnerabilità nel 2020, Sophos ha prontamente emesso un avviso e rilasciato un hotfix per i firewall interessati. È importante notare che le appliance hardware della serie XG raggiungeranno la fine del loro ciclo di vita (EOL) il 31 marzo 2025.

Escalation di privilegi e bypass dell’autenticazione in Fortinet FortiOS e FortiProxy

Fortinet ha reso nota l’esistenza di due vulnerabilità critiche che interessano FortiOS e FortiProxy. In risposta il Canadian Center for Cybersecurity e il Belgian Center for Cybersecurity hanno emesso degli avvisi. Fortinet ha confermato che CVE-2024-55591 è oggetto di sfruttamento attivo e ha rilasciato una guida ufficiale contenente informazioni dettagliate sulle versioni colpite e sugli aggiornamenti raccomandati.

  • CVE-2024-55591 (CVSS 9.8 ): una vulnerabilità di bypass dell’autenticazione che sfrutta un percorso o canale alternativo [CWE-288] in FortiOS. Questa falla permette a un attaccante remoto di ottenere privilegi di super amministratore attraverso richieste appositamente create al modulo Node.js Websocket. La disponibilità di molteplici exploit (PoC) [1][2] incrementa significativamente il rischio di sfruttamento, rendendo la vulnerabilità accessibile anche ad aggressori con minori competenze tecniche.
  • CVE-2024-40591 (CVSS 8.8 ): permette a un amministratore autenticato con autorizzazioni Security Fabric di elevare i propri privilegi a super amministratore. Questo avviene collegando il dispositivo FortiGate bersaglio a un FortiGate upstream compromesso sotto il controllo dell’attaccante.

Vulnerabilità Cisco come vettori di accesso iniziale negli attacchi a Telekom

Negli ultimi mesi, il gruppo di spionaggio cinese Salt Typhoon ha regolarmente sfruttato almeno due vulnerabilità critiche nei dispositivi Cisco IOS XE per ottenere un accesso permanente alle reti di telecomunicazione. Le vittime includono ISP italiani, una società di telecomunicazioni sudafricana e una grande azienda thailandese, oltre a dodici università in tutto il mondo, tra cui l’UCLA, l’Universitas Negeri Malang indonesiana e l’UNAM messicana. In passato, Salt Typhoon aveva già preso di mira almeno nove società di telecomunicazioni statunitensi, tra cui Verizon, AT&T e Lumen Technologies. Secondo le autorità statunitensi, l’obiettivo principale del gruppo è la sorveglianza di persone di alto rango, personalità politiche e funzionari legati agli interessi politici cinesi.

I CVE sfruttati da Salt Typhoon includono:

  • CVE-2023-20198 (CVSS 10 ): una vulnerabilità di estensione dei privilegi nell’interfaccia web di Cisco IOS XE. Questa falla viene utilizzata per ottenere l’accesso iniziale, consentendo agli aggressori di creare un account amministratore.
  • CVE-2023-20273 (CVSS 7.2 ): un altro punto debole che facilita l’estensione dei privilegi. Dopo aver ottenuto l’accesso come amministratore, questa vulnerabilità viene sfruttata per ampliare l’accesso privilegiato ai file root e configurare un tunnel GRE (Generic Routing Encapsulation) per garantire una permanenza duratura nella rete.

Inoltre, nel febbraio 2025 sono stati resi noti altri due CVE nei prodotti Cisco:

  • CVE-2023-20118 (CVSS 7.2 ): una vulnerabilità di Command Injection nell’interfaccia di gestione basata sul web dei router Cisco Small Business consente agli aggressori autenticati e remoti di eseguire qualsiasi comando con privilegi di root inviando richieste http manipolate.
  • La CISA ha incluso CVE-2023-20118 nel suo catalogo RIC, suggerendo che la vulnerabilità è attivamente sfruttata.
  • CVE-2023-20026 (CVSS 7.2 ): una vulnerabilità di Command Injection nell’interfaccia di gestione basata sul web dei router Cisco Small Business serie RV042 consente agli aggressori remoti autenticati con credenziali amministrative valide di eseguire qualsiasi comando sul dispositivo.
  • La vulnerabilità è dovuta a una convalida impropria degli input dell’utente nei pacchetti http in entrata. Sebbene non sia noto che CVE-2023-20026 venga sfruttato nelle campagne attive, il Product Security Incident Response Team (PSIRT) di Cisco è a conoscenza che esiste un codice di exploit PoC per questa vulnerabilità.

Ivanti corregge quattro vulnerabilità critiche

Sono state identificate quattro vulnerabilità critiche che colpiscono Ivanti Connect Secure (ICS), Policy Secure (IPS) e Cloud Services Application (CSA). Al momento, non sono state riportate evidenze di attacchi attivi in natura o di exploit Proof of Concept. Ivanti raccomanda vivamente agli utenti di procedere immediatamente all’aggiornamento alle versioni più recenti per mitigare queste gravi falle di sicurezza.

Ecco un breve riassunto tecnico:

  • CVE-2025-22467 (CVSS 8.8): un overflow del buffer basato su stack [CWE-121] nelle versioni ICS antecedenti alla 22.7R2.6 permette agli aggressori autenticati di ottenere l’esecuzione di codice remoto (RCE).
  • CVE-2024-38657 (CVSS 9.1): un controllo esterno del nome del file nelle versioni ICS precedenti alla 22.7R2.4 e IPS precedenti alla 22.7R1.3 consente agli aggressori autenticati di scrivere file arbitrari.
  • CVE-2024-10644 (CVSS 9.1): una vulnerabilità di code injection in ICS (pre-22.7R2.4) e IPS (pre-22.7R1.3) permette agli amministratori autenticati di eseguire qualsiasi RCE.
  • CVE-2024-47908 (CVSS 7.2): una falla di Command Injection del sistema operativo [CWE-78] nella console web di amministrazione di CSA (versioni precedenti alla 5.0.5) consente agli amministratori autenticati di eseguire qualsiasi RCE.

Per riassumere

Il Threat Report di febbraio 2025 evidenzia sviluppi significativi nel panorama della cybersecurity, focalizzandosi sulle tattiche in rapida evoluzione di gruppi ransomware come Black Basta e sulla persistente minaccia critica ai dispositivi di rete edge. Potenziati da strumenti di intelligenza artificiale, gli aggressori sfruttano le vulnerabilità con crescente rapidità, talvolta entro poche ore dalla loro scoperta. Per contrastare queste minacce emergenti, le aziende devono mantenere un alto livello di vigilanza, implementando misure di sicurezza proattive, aggiornando costantemente le proprie difese e utilizzando efficacemente i dati sulle minacce per anticipare i nuovi vettori di attacco.

Contatto Prova Ora Acquista Torna alla Panoramica

/da
Greenbone AG

Nuove interessanti funzionalità per le Enterprise Appliance di Greenbone

Siamo lieti di annunciare il lancio di importanti aggiornamenti al Greenbone Operating System (GOS), il software alla base delle nostre appliance aziendali fisiche e virtuali. Questi aggiornamenti introducono nuove funzionalità front-end per migliorare la gestione delle vulnerabilità aziendali e allo stesso tempo potenziano le prestazioni nel back-end. La versione 24.10 del GOS riflette l’impegno di Greenbone nel promuovere buone pratiche di sicurezza informatica, permettendo alle organizzazioni di identificare e risolvere rapidamente le vulnerabilità.

In questo articolo presentiamo le nuove funzionalità e i miglioramenti che rendono le nostre appliance aziendali ancora più efficaci nella gestione delle esposizioni e della conformità alla sicurezza informatica.

Tutte le nuove funzionalità di GOS 24.10

Greenbone Security Assistant (GSA) rende la sicurezza informatica un argomento tangibile per i responsabili IT. La rinnovata interfaccia web GSA presenta un design moderno e minimalista che privilegia l’usabilità, mantenendo l’accessibilità alle potenti funzionalità di Greenbone. Questo restyling estetico è solo l’inizio: sono previsti cambiamenti più sostanziali che trasformeranno ulteriormente l’esperienza d’uso.

Finestra di visualizzazione del nuovo report di audit di conformità

La cybersecurity compliance sta assumendo un ruolo sempre più centrale. Le recenti normative UE come il Digital Operational Resilience Act (DORA), la Network and Information Security Directive 2 (NIS2) e il Cyber Resilience Act (CRA) impongono alle organizzazioni di implementare misure più proattive per salvaguardare la propria infrastruttura digitale. Altri fattori come l’adozione di assicurazioni specifiche per la cybersecurity, l’aumento della richiesta di verifiche esterne indipendenti e una responsabilità più elevata nei confronti dei clienti riguardo la protezione dei dati, stanno inducendo le organizzazioni a riconsiderare e potenziare i propri approcci alla gestione e al monitoraggio della sicurezza informatica.

L’aggiornamento GOS 24.10 introduce una nuova modalità di visualizzazione focalizzata sulla compliance, progettata per migliorare la comprensione dell’allineamento normativo e delle politiche. L’interfaccia utente rinnovata offre una migliore visibilità dei rischi per la sicurezza informatica, favorendo l’allineamento con gli obiettivi di governance IT. Questa vista include report di audit di conformità, nuove visualizzazioni della dashboard e opzioni di filtro avanzate. Le funzionalità permettono di separare efficacemente i dati relativi alla conformità dai report di scansione standard. Inoltre, i report di audit Delta mettono in evidenza i progressi nella conformità attraverso indicatori visivi e suggerimenti, facilitando l’identificazione delle aree di miglioramento.

Il supporto EPSS aggiunge la prioritizzazione basata sull’intelligenza artificiale

Con il costante aumento dei nuovi CVE (Common Vulnerabilities and Exposures), diventa essenziale stabilire delle priorità tra le vulnerabilità per focalizzarsi sulle minacce più critiche. L’Exploit Prediction Scoring System (EPSS) è un sistema di valutazione basato sull’intelligenza artificiale in grado di calcolare la probabilità che un CVE venga effettivamente sfruttato. Questo sistema utilizza il machine learning (ML) per analizzare dati storici e prevedere quali nuovi CVE hanno maggiori probabilità di essere oggetto di attacchi attivi.

I dati EPSS sono ora parte integrante delle nostre appliance aziendali. Le probabilità di sfruttamento, regolarmente aggiornate per ogni CVE attivo, sono ora disponibili nella piattaforma Greenbone. Gli amministratori possono utilizzare punteggi e percentili di probabilità di exploit aggiornati, in aggiunta alla tradizionale valutazione della gravità CVSS. Questo consente loro di concentrarsi sulle vulnerabilità più critiche e urgenti nelle loro operazioni di sicurezza.

Funzionalità di esportazione di report CSV e JSON più flessibili

Greenbone ha sempre adottato un approccio incentrato sulla semplicità e sulla flessibilità, permettendo alle sue soluzioni di adattarsi a una vasta gamma di esigenze operative specifiche. La versione GOS 24.10 introduce una nuova funzionalità: l’esportazione dei report in formato JSON. Inoltre, gli utenti hanno ora la possibilità di personalizzare i campi nei report esportati in formato CSV e JSON. Questa caratteristica consente di adattare i report direttamente all’interno di Greenbone, permettendo di soddisfare con maggiore precisione i requisiti specifici dei report e di focalizzarsi sugli elementi essenziali per l’analisi, la conformità o il processo decisionale.

Ulteriori ottimizzazioni nel backend

Per migliorare la flessibilità e l’accuratezza nell’identificazione delle vulnerabilità, Greenbone ha implementato diverse ottimizzazioni del back-end, focalizzandosi sulla gestione del CPE (Common Platform Enumeration) e dei feed. Ecco una panoramica delle novità introdotte:

  • Il back-end è ora in grado di convertire le stringhe CPEv2.3 in URI CPEv2.2, conservando entrambe le versioni per garantire una corrispondenza più affidabile dei prodotti interessati. Futuri sviluppi potrebbero includere un sistema di corrispondenza avanzato e in tempo reale, aumentando ulteriormente la precisione nella valutazione delle vulnerabilità.
  • Le appliance aziendali Greenbone hanno introdotto il supporto per feed CVE, CPE, EPSS e CERT basati su JSON, oltre alla compressione dei dati tramite gzip.

Indice

Di recente, Greenbone ha rilasciato una serie di aggiornamenti importanti per le sue Enterprise Appliances, introducendo diverse nuove funzionalità e miglioramenti. Gli aggiornamenti introducono un’interfaccia web GSA modernizzata, una visualizzazione dei report di audit incentrata sulla conformità per una migliore visibilità e funzionalità avanzate di esportazione CSV e JSON che offrono agli utenti il controllo sui dati dei report Inoltre, abbiamo aggiunto EPS basati sull’intelligenza artificiale alle opzioni disponibili per la prioritizzazione del rischio di vulnerabilità. Infine, le ottimizzazioni del back-end garantiscono una perfetta compatibilità con i nuovi formati CPE e i feed basati su JSON. Insieme, queste funzionalità si aggiungono alle capacità di gestione delle vulnerabilità adattabili di Greenbone, consentendo alle organizzazioni di stare al passo con le minacce emergenti con il rilevamento e la definizione delle priorità delle vulnerabilità leader del settore.

Contatto Prova Ora Acquista Torna alla Panoramica

/da
Greenbone AG

I prodotti Greenbone Enterprise nella lista dei migliori vulnerability scanner

OpenVAS nasce nel 2005 quando Nessus passa da una licenza open source a una proprietaria. Le aziende Intevation e DN Systems prendono in mano il progetto già in corso per mantenerlo e svilupparlo con una licenza GPL v2.0. Da allora OpenVAS ha preso il nome di Greenbone, la soluzione di scansione e gestione delle vulnerabilità open source più conosciuta e usata al mondo. Con la Greenbone Community Edition offriamo una versione di gratuita per gli sviluppatori, di cui siamo molto orogliosi. Inoltre, abbiamo creato una una gamma di soluzioni aziendali a pagamento che confluiscono nel Greenbone Enterprise Feed per il settore pubblico e privato.

Greenbone è pioniere del settore della cybersecurity e pur conoscendo le tattiche di marketing di alcune aziende di cybersecurity resta fedele ai propri obiettivi: condividere informazioni veritiere sui suoi prodotti e su quello che i suoi vulnerability test sono veramente in grado di fare. Non nascondiamo che siamo rimasti molto sorpresi quando abbiamo letto un report di benchmark (in inglese) pubblicato nel 2024 dalla concorrenza, in cui venivano presi in esame i principali scanner di vulnerabilità.

Greenbone è un sistema di scansione delle vulnerabilità open source conosciuto in tutto il mondo; quindi, va da sé che fosse stato incluso nell’elenco dei migliori. Tuttavia, anche se ci ha fatto piacere essere presi in considerazione per il test, alcune informazioni riportate ci hanno lasciati perplessi. Così abbiamo deciso di scrivere questo articolo per mettere alcune cose in chiaro ed esaminare i vari punti nel dettaglio.

I risultati del report di benchmark 2024

Il report di benchmark 2024 a cura di Pentest-Tools ha stilato una classifica dei principali sistemi di scansione delle vulnerabilità in base a due criteri: Detection Availability (disponibilità di rilevamento), cioè i CVE individuati da ogni sistema con appositi test, e Detection Accuracy (accuratezza di rilevamento), ovvero il grado di efficacia di questi test.

Il report ha messo a confronto la Community Edition gratuita di Greenbone e il Greenbone Community Feed con prodotti aziendali di altri fornitori: Qualys, Rapid7, Tenable, Nuclei, Nmap e il prodotto offerto da Pentest-Tools. Greenbone ha conquistato il 5° posto per Detection Availability e si è avvicinata al 4° per Detection Accuracy. Tutto sommato non male rispetto ai giganti del settore della cybersicurezza.

L’unico problema è che, come abbiamo detto prima, anche Greenbone offre un prodotto aziendale, che è stato escluso dalla classifica. Eseguendo il confronto con Greenbone Enterprise Feed invece che con la versione gratuita, Greenbone vince davvero a mani basse.

Ecco come stanno le cose veramente

Grafico a barre del benchmark 2024 dei sistemi di scansione delle vulnerabilità di rete: Greenbone Enterprise al primo posto per disponibilità e accuratezza di rilevamento, rispetto a strumenti come Pentest-Tools, Nessus, Rapid7, Qualys, Nmap, Nuclei e Greenbone Community.

Greenbone Enterprise è in testa alla classifica dei sistemi di scansione delle vulnerabilità.

 

Enterprise Feed è in testa alla classifica nell’ambito Detection Availability

I risultati delle nostre ricerche, che possono essere verificati nel nostro SecInfo Portal, indicano che Greenbone Enterprise Feed ha test di individuazione per 129 dei 164 CVE compresi nel test. Questo significa che la Detection Availability del nostro prodotto Enterprise supera addirittura del 70,5% quanto riportato nel resto, facendoci balzare nettamente in testa alla classifica.

Ci teniamo a chiarire che non abbiamo aggiunto i test di Greenbone Enterprise Feed dopo l’uscita del report. Greenbone aggiorna i Community ed Enterprise Feed ogni giorno e spesso siamo i primi a rilasciare test di vulnerabilità quando viene pubblicato un CVE. Un’analisi della nostra copertura dei test di vulnerabilità dimostra che questi sono sempre stati disponibili.

La nostra Detection Accuracy è stata ampiamente sottovalutata

C’è un altro aspetto da considerare: Greenbone è diverso dagli altri sistemi di scansione. Il modo con cui è progettato gli procura i vantaggi che lo rendono una delle soluzioni più apprezzate nel settore. Ad esempio, il nostro sistema di scansione si può controllare tramite API, così gli utenti possono sviluppare i propri tool e gestire tutte le funzionalità di Greenbone come preferiscono. Inoltre, noi usiamo il filtro Quality of Detection (QoD, qualità di rilevamento) che non esiste nella maggior parte dei sistemi di scansione delle vulnerabilità.

Chi ha compilato il report ha indicato di aver semplicemente utilizzato la configurazione predefinita di ogni sistema. Ma dato che il filtro QoD Greenbone non è stato applicato in modo corretto, il test di confronto non ha valutato in maniera equa il vero livello di rilevamento CVE di Greenbone. Tenendo in considerazione questi aspetti, Greenbone conquista di nuovo la classifica, con una stima di 112 CVE su 164.

Per ricapitolare

Ci fa molto piacere che Greenbone Community Edition sia arrivato al 5° posto per Detection Availability e a un passo dal 4° per Detection Accuracy in un confronto pubblicato nel 2024 sui sistemi di scansione delle vulnerabilità delle reti, ma questi risultati non tengono conto delle reali capacità di Greenbone Enterprise Feed. A rigor di logica, nell’elenco sarebbe dovuto comparire il nostro prodotto Enterprise. La classifica, infatti, comprendeva soluzioni aziendali di altri fornitori, non prodotti gratuiti come la nostra Community Edition.

Ricalcolata la Detection Availability di Greenbone alla luce di Enterprise Feed, questa arriva a 129 CVE sui 164 testati e supera del 70,5% il risultato precedente. Inoltre, le impostazioni predefinite non tengono conto della funzionalità Quality of Detection (QoD, qualità di rilevamento) di Greenbone. Se si tiene conto di queste imprecisioni, Greenbone conquista il gradino più alto del podio. È il sistema di scansione della vulnerabilità open source più utilizzato al mondo e continua a essere il migliore per copertura delle vulnerabilità, pubblicazione rapida dei test di vulnerabilità e vere e proprie funzionalità di livello aziendale, come architettura API flessibile, filtri avanzati e punteggi QoD.

Contatto Prova Ora Acquista Torna alla Panoramica

/da
Joseph Lee

Cos’è il Common Security Advisory Framework 2.0 e come automatizza il vulnerability management

Chi lavora nel settore della sicurezza informatica non deve necessariamente sapere cos’è il Common Security Advisory Framework (CSAF). Tuttavia, capire come funziona una piattaforma di vulnerability management può aiutare a capire come si stanno evolvendo le soluzioni di nuova generazione e quali vantaggi presenta la gestione delle vulnerabilità automatizzata. In questo articolo scopriremo cos’è il CSAF 2.0 e come questo standard può migliorare la gestione delle vulnerabilità all’interno delle aziende. 

Greenbone AG è partner ufficiale dell’Ufficio Federale Tedesco per la Sicurezza Informatica (BSI), con cui collabora nell’integrazione di tecnologie basate sullo standard CSAF 2.0, progettate per fornire raccomandazioni di sicurezza informatica automatizzate.

Cos’è il CSAF?

Il Common Security Advisory Framework (CSAF) 2.0 è uno standard aperto che rende gli avvisi di vulnerabilità leggibili dalle macchine. Grazie a questo formato, tutti gli attori della cybersecurity (dai fornitori di software e hardware fino ai governi e ai ricercatori indipendenti) sono in grado di condividere e raccogliere informazioni in modo più efficiente. A differenza dei metodi tradizionali, il CSAF consente agli utenti di centralizzare gli avvisi provenienti da un gruppo decentralizzato di provider e di automatizzare la valutazione del rischio.

Grazie al suo formato standardizzato e leggibile dalle macchine, il Common Security Advisory Framework segna un importante progresso verso la gestione automatizzata e di nuova generazione delle vulnerabilità. Questo standard aiuta i reparti IT aziendali a gestire con maggiore efficienza il , alleggerendo il loro carico di lavoro e migliorando la capacità di prendere decisioni basate sul rischio.

Il CSAF 2.0 rappresenta l’evoluzione del Common Vulnerability Reporting Framework (CVRF) e ha funzionalità ampliate che garantiscono una maggiore flessibilità.

Tra i principali punti di forza di CSAF 2.0 spiccano:

  • La definizione di uno standard internazionale aperto per documenti leggibili dalle macchine, che utilizzano il linguaggio di markup JSON per riferirsi alle vulnerabilità.
  • L’introduzione di un modello decentralizzato per l’aggregazione delle informazioni sulle vulnerabilità.
  • La progettazione mirata a supportare la gestione automatizzata delle vulnerabilità di nuova generazione.

Il processo tradizionale di vulnerability management

Per le organizzazioni di grandi dimensioni, gestire le vulnerabilità secondo i metodi tradizionali è un incubo. Il numero di CVE rilasciate ad ogni ciclo di patch continua a crescere a un ritmo esponenziale . I reparti di sicurezza informatica devono raccogliere manualmente le informazioni sulle vulnerabilità tramite ricerche online. Questo metodo richiede un notevole impegno manuale per raccogliere, analizzare e organizzare i dati provenienti da una moltitudine di fonti e documenti spesso strutturati in formati non uniformi.

Queste fonti di solito includono:

  • Database di tracciamento delle vulnerabilità, come il NIST NVD
  • Istruzioni di sicurezza del fornitore del prodotto
  • Consultazioni nazionali e internazionali del CERT
  • Valutazioni da parte dell’autorità di numerazione CVE (CNA)
  • Ricerca indipendente sulla sicurezza
  • Piattaforme per le informazioni sulla sicurezza
  • Database di exploit di codice

Una valutazione del rischio accurata e affidabile può essere compromessa in diversi modi nel corso di questo processo. Le raccomandazioni, persino quelle fornite dai produttori, risultano spesso incomplete e presentate in formati eterogenei e non standardizzati. Questa mancanza di uniformità ostacola un processo decisionale basato sui dati, aumentando significativamente il rischio di errori.

Analizziamo brevemente la pipeline delle informazioni sulle vulnerabilità, considerando sia la prospettiva dei produttori che quella dei consumatori:

Il processo di divulgazione delle vulnerabilità

I dataset Common Vulnerability and Exposure (CVE) pubblicati nel National Vulnerability Database (NVD) del NIST (National Institute of Standards and Technology), costituiscono l’archivio globale più centralizzato e autorevole per le informazioni sulle vulnerabilità. Di seguito è riportata una panoramica del funzionamento del processo di divulgazione delle vulnerabilità:

  1. I fornitori di prodotti rilevano vulnerabilità attraverso test di sicurezza interni o segnalazioni da parte di ricercatori indipendenti. Questo avvia una politica interna di divulgazione delle vulnerabilità. In alcuni casi, i ricercatori indipendenti collaborano direttamente con una CVE Numbering Authority (CNA) per pubblicare la vulnerabilità, bypassando il coinvolgimento iniziale del fornitore del prodotto.
  2. Aggregatori di vulnerabilità come il NIST NVD e i assegnano un ID di tracciamento univoco (ad esempio, un ID CVE) alla vulnerabilità segnalata e la aggiungono a un database centrale che consente agli utenti dei prodotti e a piattaforme di gestione delle vulnerabilità, , di monitorare i progressi e le eventuali correzioni.
  3. Diversi stakeholder, tra cui il produttore, il NIST NVD e ricercatori indipendenti, pubblicano avvisi di sicurezza. Tali avvisi possono includere informazioni relative a patch, date di pubblicazione di patch ufficiali, elenco di prodotti interessati, , livelli di gravità e riferimenti tecnici come Common Platform Enumeration (CPE) e Common Weakness Enumeration (CWE).
  4. Fornitori di informazioni sulle minacce informatiche, come Known Exploited Vulnerabilities (KEV) della CISA ed Exploit Prediction Scoring System (EPSS) di First.org, aggiungono ulteriori dettagli contestuali.

Il processo di gestione delle vulnerabilità

Gli utenti dei prodotti devono leggere le informazioni sulle vulnerabilità e applicarle per mitigare il rischio di sfruttamento. Ecco una panoramica del processo di gestione delle vulnerabilità nelle organizzazioni:

  1. Gli utenti dei prodotti devono cercare manualmente nei database CVE e monitorare gli avvisi di sicurezza relativi ai loro asset software e hardware. In alternativa, possono utilizzare piattaforme di gestione delle vulnerabilità, , che aggregano automaticamente gli avvisi di minacce provenienti da fonti varie.
  2. Gli utenti devono confrontare le informazioni sulle vulnerabilità con il proprio inventario IT. Questo processo consiste nell’aggiornamento di un inventario esistente e può essere eseguito manualmente o utilizzando un che automatizza la creazione dell’inventario e l’esecuzione dei test di vulnerabilità.
  3. I team di sicurezza informatica classificano le vulnerabilità scoperte in base al rischio contestuale per i sistemi IT critici, i processi aziendali e, in alcuni casi, la sicurezza pubblica.
  4. I task di mitigazione vengono assegnati in base alla valutazione finale del rischio e alle risorse disponibili.

Cosa non funziona nella gestione delle vulnerabilità tradizionale?

Le procedure tradizionali per la gestione delle vulnerabilità, che spesso si basano su processi manuali, si rivelano nella pratica complesse e poco efficienti. Oltre alle difficoltà operative legate all’implementazione delle patch software, la mancanza di informazioni accessibili e affidabili rende più difficile individuare rapidamente le vulnerabilità e intervenire con soluzioni mirate. Anche l’utilizzo esclusivo del CVSS come metodo di valutazione del rischio presenta dei limiti: è stato criticato [2], perché non offre un contesto sufficientemente ricco per guidare . Anche se piattaforme possono alleviare parte del lavoro dei team di sicurezza, il processo complessivo resta ancora appesantito dalla necessità di raccogliere manualmente spesso frammentarie e poco strutturate.

Con l’aumento costante del numero di vulnerabilità, l’aggregazione ad hoc delle informazioni di sicurezza rischia di essere troppo lenta e di introdurre più errori umani. Questo può prolungare il tempo di esposizione alle vulnerabilità e complicare la prioritizzazione basata sul rischio.

La mancanza di standardizzazione porta a un’intelligence frammentata

L’attuale processo di divulgazione delle vulnerabilità manca di un metodo formale per distinguere tra le informazioni affidabili messe a disposizione dai fornitori e quelle fornite da ricercatori di sicurezza indipendenti come i partner CNA. In effetti, lo stesso sito web ufficiale del CVE pubblicizza che per aderire al CNA sono necessari requisiti minimi. Questo fa sì che un gran numero di CVE venga rilasciato in assenza di un contesto dettagliato, costringendo a ricerche più dettagliate a valle.

Le informazioni fornite sono lasciate alla discrezione della CNA, e non esiste un metodo standard per valutarne l’affidabilità. Un esempio lampante di questo problema si riscontra nella specificazione dei prodotti interessati, spesso inseriti in avvisi ad hoc con descrittori variabili e non standardizzati che richiedono un’interpretazione manuale. Ad esempio:

  • Versione 8.0.0 – 8.0.1
  • Versione 8.1.5 e successive
  • Versione <= 8.1.5
  • Versioni precedenti alla 8.1.5
  • Tutte le versioni < V8.1.5
  • 0, V8.1, V8.1.1, V8.1.2, V8.1.3, V8.1.4, V8.1.5

Scalabilità

Poiché fornitori, auditor (CNA) e aggregatori adottano metodi e formati di distribuzione eterogenei per le loro notifiche, la gestione efficiente delle vulnerabilità diventa una sfida operativa complessa e difficilmente scalabile. Questo problema è ulteriormente aggravato dall’aumento continuo delle vulnerabilità segnalate, che mette sotto pressione i processi manuali, sovraccarica i team di sicurezza e incrementa il rischio di errori o ritardi nelle attività di mitigazione.

Difficile contesto della valutazione di rischio

La sezione 3 del NIST SP 800-40r4 “Guide to Enterprise Patch Management Planning” suggerisce l’adozione di metriche di vulnerabilità orientate al contesto aziendale. Tuttavia, poiché il rischio associato a una vulnerabilità dipende in ultima analisi da fattori specifici come i sistemi coinvolti, l’impatto potenziale e la facilità di sfruttamento, l’attuale panorama frammentato delle informazioni di sicurezza rappresenta un serio ostacolo per una gestione delle vulnerabilità basata sul rischio.

In che modo CSAF 2.0 risolve questi problemi?

I documenti CSAF sono avvisi essenziali sulle minacce informatiche progettati per ottimizzare la catena di approvvigionamento delle informazioni sulla vulnerabilità. Invece di aggregare manualmente dati sulle vulnerabilità in modo frammentario, gli utenti del prodotto possono sfruttare l’aggregazione automatica degli avvisi CSAF da fonti affidabili. Questo approccio consente di integrarli in un sistema di gestione che combina funzionalità fondamentali, come la corrispondenza degli asset e la valutazione del rischio. In questo modo, l’automazione dei contenuti di sicurezza con CSAF affronta le sfide della gestione tradizionale delle vulnerabilità fornendo una security intelligence più affidabile ed efficiente e creando il potenziale per una gestione delle vulnerabilità di nuova generazione.

Ecco alcuni modi specifici in cui CSAF 2.0 risolve i problemi della gestione tradizionale delle vulnerabilità:

Informazioni sulla sicurezza più affidabili

CSAF 2.0 diminuisce la frammentazione delle informazioni di sicurezza introducendo una standardizzazione avanzata nei processi di divulgazione delle vulnerabilità. Grazie a campi strutturati per identificare le versioni dei prodotti interessati, il framework consente l’impiego di dati standardizzati come il Version Range Specifier (vers), il Common Platform Enumeration (CPE), il Package URL specification e il CycloneDX SBOM. Oltre a questi formati tecnici, CSAF supporta anche l’uso di identificatori più generali, come il nome del prodotto, il numero di serie, il numero di modello, lo SKU o persino l’hash del file.

Oltre a introdurre una standardizzazione per le versioni dei prodotti, offre anche un’importante innovazione con il Vulnerability Exploitability eXchange (VEX). Questo strumento permette ai produttori, ai fornitori CSAF di fiducia e persino ai ricercatori di sicurezza indipendenti di relative ai prodotti interessati.

Le dichiarazioni di stato VEX esplicite sono:

  • Non interessato: non è necessaria alcuna azione correttiva in relazione a una vulnerabilità.
  • Interessato: si consigliano misure per correggere o eliminare una vulnerabilità.
  • Risolto: significa che queste versioni del prodotto contengono una correzione per una vulnerabilità di sicurezza.
  • In corso di verifica: non è ancora noto se queste versioni del prodotto siano affette da una vulnerabilità di sicurezza. Un aggiornamento sarà reso disponibile in una versione successiva.

    Uso più efficace delle risorse

CSAF introduce numerose opportunità per ottimizzare sia la parte iniziale che quella finale del tradizionale processo di gestione delle vulnerabilità. La documentazione ufficiale di OASIS CSAF 2.0 descrive diversi obiettivi di conformità, pensati per aiutare i responsabili IT a sfruttare l’automazione e rendere le operazioni di sicurezza più rapide ed efficienti.

Ecco alcuni degli obiettivi di conformità chiave inclusi in CSAF 2.0, progettati per superare i limiti del processo tradizionale e consentire un utilizzo più efficace delle risorse:

  • Sistema di gestione degli avvisi: questo sistema software è progettato per elaborare dati grezzi e trasformarli in documenti di avviso conformi a CSAF 2.0. La sua implementazione consente ai team che producono avvisi CSAF di monitorare la qualità dei dati in entrata, valutarli accuratamente, convertirli nel formato standardizzato e pubblicarli come avvisi di sicurezza validi. Questo approccio non solo migliora l’efficienza della pipeline informativa, ma garantisce anche che gli avvisi rilasciati siano precisi e affidabili, offrendo un supporto più solido agli utenti finali.
  • Sistema di gestione CSAF: questo programma è progettato per gestire i documenti CSAF e visualizzarne i dettagli in conformità con i requisiti del visualizzatore CSAF. A livello di base, consente sia ai produttori che ai consumatori di avvisi di sicurezza di visualizzare il contenuto dei documenti in un formato facilmente comprensibile e leggibile dall’uomo.
  • CSAF asset matching system / SBOM matching system: un sistema avanzato che si integra con un database di asset IT, inclusa la Software Bill of Materials (SBOM), per confrontare gli asset registrati con tutti gli avvisi CSAF disponibili. Questo strumento offre una panoramica chiara e dettagliata della struttura IT di un’organizzazione, consentendo di individuare rapidamente prodotti vulnerabili. Inoltre, fornisce dati strutturati per facilitare valutazioni automatizzate del rischio e supportare strategie di bonifica efficienti e mirate.
  • Sistema tecnico: un ambiente integrato dedicato all’analisi e allo sviluppo del software, in cui possono operare diversi strumenti specifici. Questo sistema comprende componenti come il sistema di compilazione, il sistema di controllo delle versioni, il sistema di gestione dei risultati, il sistema di tracciamento dei difetti e il sistema di esecuzione dei test.

Informazioni decentralizzate sulla sicurezza informatica

Il del processo di arricchimento del CVE nel National Vulnerability Database (NVD) del NIST evidenzia i rischi associati all’affidarsi esclusivamente a una singola fonte per le informazioni sulle vulnerabilità. CSAF, al contrario, adotta un approccio decentralizzato, permettendo agli utenti a valle di accedere e integrare informazioni provenienti da una varietà di fonti. Questo modello decentralizzato non solo migliora la resilienza complessiva del sistema, riducendo il rischio derivante dal fallimento di un unico fornitore, ma distribuisce anche in modo più equo l’onere dell’arricchimento delle vulnerabilità tra un numero maggiore di parti interessate.

I principali fornitori di prodotti IT aziendali come e Cisco hanno già implementato feed CSAF e VEX. Allo stesso tempo, diverse agenzie governative di cybersecurity e programmi CERT nazionali, tra cui l’Ufficio Federale tedesco per la Sicurezza Informatica (BSI) e l’Agenzia per la Sicurezza delle Infrastrutture e la Cybersecurity degli Stati Uniti (CISA) hanno sviluppato funzionalità per supportare lo scambio di informazioni basato su CSAF 2.0.

Il modello decentralizzato offre un ulteriore vantaggio: permette a più stakeholder di contribuire alla valutazione di una vulnerabilità specifica. Questo significa che, laddove un avviso o un’analisi risultino incompleti, altre fonti possono colmare tali lacune, fornendo un quadro più completo e approfondito.

Miglioramento della valutazione dei rischi e della definizione delle priorità delle vulnerabilità

Nel complesso, CSAF 2.0 migliora la gestione delle vulnerabilità, offrendo valutazioni più precise e interventi più rapidi. I fornitori possono rilasciare avvisi VEX affidabili, fornendo informazioni accurate per azioni correttive. L’introduzione dell’oggetto aggregate severity (aggregate_severity) semplifica l’analisi del rischio e la definizione delle priorità, riducendo il tempo di esposizione alle vulnerabilità critiche e aumentando la resilienza IT.

Conclusione

I metodi tradizionali di gestione delle vulnerabilità presentano gravi limitazioni dovute alla mancanza di standardizzazione, che si traducono in problemi di affidabilità, scalabilità e difficoltà nell’analisi del contesto di rischio e della probabilità di sfruttamento.

Il Common Security Advisory Framework (CSAF) 2.0 rappresenta un’evoluzione significativa in questo ambito, mirata a trasformare il processo di gestione delle vulnerabilità. Questo standard introduce un formato leggibile dalle macchine per lo scambio di informazioni sulle vulnerabilità, garantendo una raccolta più automatizzata e affidabile. Inoltre, decentralizzando le fonti di queste informazioni, CSAF 2.0 offre alle organizzazioni l’opportunità di accedere a dati di sicurezza più consistenti e verificabili, facilitando una gestione delle vulnerabilità più precisa, efficiente e scalabile.

Greenbone AG è partner ufficiale dell’Ufficio Federale Tedesco per la Sicurezza Informatica (BSI), con cui collabora nell’integrazione di tecnologie basate sullo standard CSAF 2.0, progettate per fornire raccomandazioni di sicurezza informatica automatizzate.

Contatto Prova Ora Acquista Torna alla Panoramica

/da