Tag Archivio per: CVSS

Threat Report luglio 2025: sfruttamento attivo colpisce Cisco, CrushFTP, HPE IRS e altri

Il nostro Threat Report di luglio 2025 offre una panoramica approfondita delle principali minacce informatiche emerse lo scorso mese. Gli attacchi contro Microsoft SharePoint, noti come “ToolShell” hanno fatto notizia: per ulteriori dettagli e approfondimenti, consulta il nostro rapporto su ToolShell. Nel solo mese di luglio, sono stati pubblicati più di 4.000 nuove CVE, di cui quasi 500 classificate come “critiche”, con un CVSS superiore a 9.0. Gestire un volume di rischi così elevato rappresenta una vera e propria guerra di logoramento per chi si occupa di difesa informatica. Per rispondere a queste nuove sfide, Greenbone ha rilasciato quasi 5.000 nuovi test di rilevamento: strumenti fondamentali che aiutano le aziende a individuare facilmente le vulnerabilità note nei loro ambienti, verificare i livelli di patch e impedire agli attaccanti di passare all’azione.

Blog Banner Threat - report July 2025

Cisco ISE: falle critiche consentono RCE non autenticato con privilegi root

Cisco ha confermato che le versioni 3.3 e 3.4 di Cisco Identity Services Engine (ISE) e Cisco ISE-PIC (Passive Identity Connector) sono già oggetto di sfruttamento attivo. Le CVE di gravità più elevata sono: CVE-2025-20281, CVE-2025-20337 e CVE-2025-20282; tutti con un punteggio CVSS 10. Le vulnerabilità CVE-2025-20281 e CVE-2025-20337 sono state inserite nel catalogo KEV di CISA (Known Exploited Vulnerabilities). Ognuna di queste falle può essere sfruttato per compromettere i dispositivi tramite richieste API opportunamente costruite, ottenendo privilegi di root sul sistema. Sono stati pubblicati avvisi da diverse agenzie nazionali, tra cui EU-CERT, CSA Singapore, NHS UK e NCSC Ireland. Cisco raccomanda di applicare immediatamente le patch risolutive; non sono disponibili soluzioni alternative. I test di rilevamento per queste versioni sono integrati nell’OPENVAS ENTERPRISE FEED [1][2][3].

A inizio luglio, una vulnerabilità critica ha colpito anche Cisco Unified Communications Manager. CVE-2025-20309 con un CVSS pari a 10, permette l’accesso remoto all’account root sfruttando credenziali SSH statiche. A segnalarlo è stato il CERT.be belga, NSSC Ireland e il problema è stato approfondito anche nella Week in Review di AUSCERT.

I server CrushFTP e WingFTP sotto attacco attivo

Sono state pubblicate vulnerabilità ad alta gravità che coinvolgono sia CrushFTP che WingFTP , prontamente inserite nel catalogo CISA KEV, con avvisi di sicurezza diffusi da diversi CERT a livello globale [1][2][3]. I server FTP sono spesso esposti su Internet, ma anche quelli di rete locale possono offrire agli hacker un’opportunità di persistenza e movimento laterale [4]. Va inoltre sottolineato che questi server archiviano frequentemente dati sensibili, aumentando notevolmente il rischio di furto, ricatto o perdita di informazioni critiche.

CVE-2025-54309 (CVSS 9.8, EPSS ≥ 91%): se la funzione proxy DMZ non è in uso, CrushFTP è vulnerabile a un accesso non autorizzato tramite un canale alternativo non protetto [CWE-420] a causa di una gestione errata della convalida AS2. Questo permette l’accesso remoto al ruolo di amministratore HTTPS. L’OPENVAS ENTERPRISE FEED include un test di rilevamento banner remoto per identificare le istanze vulnerabili. Gli utenti devono eseguire l’aggiornamento a CrushFTP 10.8.5_12 (o successivo) o 11.3.4_23 (o successivo).
CVE-2025-47812 (CVSS 10, EPSS ≥ 99%): caratteri null-byte non sanificati nell’interfaccia web di WingFTP, presenti nelle versioni precedenti alla 7.4.4 consentono l’esecuzione remota di codice Lua arbitrario con i privilegi del servizio FTP (root o SYSTEM di default). Greenbone offre un controllo attivo e un test di rilevamento versione per identificare istanze vulnerabili. Si raccomanda vivamente di aggiornare alla versione 7.4.4 o successive.

Vulnerabilità critica in Node.js: patch bypassata, accesso arbitrario ai file

Il CVE-2025-27210 (CVSS 7.5) rappresenta un bypass della vulnerabilità CVE-2025-23084 (CVSS 5.6) corretta in precedenza sulle piattaforme Windows Node.js e pubblicata a gennaio 2025. Si stima che il 4.8% dei server web a livello globale utilizzi Node.js, che alimenta anche numerose applicazioni sia on-premise che cloud-native. Sono stati emessi avvisi di alto rischio da parte di diversi CERT nazionali[1][2]. È stato pubblicato almeno un proof-of-concept (PoC)[3]. Sia l’OPENVAS ENTERPRISE FEED che il COMMUNITY FEED includono un test per il rilevamento della versione vulnerabile.

La falla, classificata come vulnerabilità di tipo path traversal [CWE-22], è causato dal fatto che le funzioni integrate path.join() e path.normalize() di Node.js non filtrano correttamente i nomi dei dispositivi di Windows come CON, PRN e AUX, riservati a dispositivi di sistema speciali [4]. Questa falla può essere sfruttata da remoto per aggirare le protezioni sui percorsi qualora l’input utente venga passato a queste funzioni. Sono interessate dalla vulnerabilità le versioni di Node.js 20.x precedenti alla 20.19.4, 22.x precedenti alla 22.17.1 e 24.x precedenti alla 24.4.1.

CVE-2025-37099: compromissione remota completa in HPE Insight Remote Support

Le nuove vulnerabilità in HPE Insight Remote Support rappresentano un rischio estremo di compromissione completa del sistema all’interno dell’infrastruttura aziendale. IRS viene utilizzato nelle reti aziendali locali per automatizzare i controlli sullo stato dell’hardware, il monitoraggio dell’infrastruttura e la generazione automatica di ticket di supporto.

CVE-2025-37099 (CVSS 9.8) permette l’esecuzione remota di codice non autenticato (RCE) con privilegi di SISTEMA, a causa di una convalida errata dell’input [CWE-20] nella funzione processAttachmentDataStream. Ciò consente l’esecuzione di payload dannosi come codice arbitrario [CWE‑94][1]. Ciò consente agli aggressori di eseguire malware su tutti i sistemi gestiti. Sebbene non sia esplicitamente documentato, l’accesso a livello di sistema potrebbe anche consentire agli aggressori di manipolare o eliminare i registri di monitoraggio per nascondere l’attività. Poiché il servizio interessato comunica spesso con dispositivi come server e controller iLO, compromettere il mio pivoting laterale all’interno di una rete [2].

Gli utenti devono aggiornare immediatamente alla versione 7.15.0.646 o successive. La divulgazione coordinata ha incluso anche due vulnerabilità aggiuntive: CVE-2025-37098 e CVE-2025-37097, entrambe con un punteggio CVSS 7.5. L’OPENVAS ENTERPRISE FEED include un test specifico di rilevamento della versione che permette di identificare rapidamente le istanze vulnerabili e verificare che il livello di patch sia adeguato ai requisiti di conformità.

Patch essenziali per i CVE Dell con punteggi EPSS elevati

Sono state rilasciate patch cumulative per un’ampia gamma di prodotti Dell Technologies, al fine di correggere diverse vulnerabilità dei componenti. Il Canadian Cyber CSE ha pubblicato tre avvisi nel mese di luglio per segnalare questi aggiornamenti[1][2][3]. Tra i CVE più rilevanti di questa ondata di aggiornamenti, diversi possono essere rilevati tramite l’OPENVAS ENTERPRISE FEED [1][2][3][4][5]:

CVE-2024-53677 (CVSS 9.8, EPSS ≥ 99%): Dell Avamar Data Store e Avamar Virtual Edition hanno ricevuto aggiornamenti per coreggere una vulnerabilità in Apache Struts. Non sono disponibili mitigazioni o soluzioni alternative. Consultare l’advisory del fornitore per l’elenco completo dei prodotti coinvolti.
CVE-2025-24813 (CVSS 9.8, EPSS ≥ 99%): le versioni di Dell Secure Connect Gateway precedenti alla 5.30.0.14 sono esposti a una vulnerabilità critica di Apache Tomcat e altri CVE critici. Dell ha segnalato questo aggiornamento come essenziale.
CVE-2004-0597 (CVSS 10, EPSS ≥ 99%): Dell Networker è interessato da vulnerabilità critiche di overflow del buffer nella libreria libpng, che permettono a un aggressore remoto di eseguire codice arbitrario tramite immagini PNG malformate, oltre ad altre vulnerabilità. Per ulteriori dettagli si rimanda agli avvisi del fornitore [1][2][3][4].
CVE-2016-2842 (CVSS 9.8, EPSS ≥ 98%): Dell Data Protection Advisor presenta vulnerabilità in diversi componenti, tra cui CVE-2016-2842 in OpenSSL, che non verifica correttamente l’allocazione della memoria, consentendo potenziali attacchi DoS o RCE. Per maggiori dettagli, consultare l’advisory del fornitore.
CVE-2025-30477 (CVSS 4.4): Dell PowerScale utilizza un algoritmo crittografico rischioso, che potrebbe portare alla divulgazione di informazioni. Nel giugno 2025, PowerScale ha corretto i difetti di gravità elevata. Consultare le avvertenze del fornitore per ulteriori informazioni [1][2].

Rassegna delle vulnerabilità D-Link per il 2025

L’OPENVAS ENTERPRISE FEED e il COMMUNITY FEED includono attualmente 27 test di vulnerabilità che coprono la maggior parte dei CVE che interessano i prodotti D-Link pubblicati finora nel 2025. Data l’importanza della sicurezza periferica della rete, gli utenti dovrebbero prestare particolare attenzione alle vulnerabilità nei router e in altri dispositivi gateway. Dopo l’accordo di un’azione normativa statunitense che coinvolge D‑Link e la Federal Trade Commission, nel 2019 D‑Link ha accettato di attuare un programma di sicurezza completo. Tuttavia, è lecito chiedersi se misure simili dovrebbero essere applicate più ampiamente. Ad esempio, i prodotti Ivanti hanno registrato negli ultimi anni numerosi difetti di alta gravità [1][2][3][4][5], molti dei quali sono stati sfruttati in attacchi ransomware.

Adobe rilascia patch per difetti critici in ColdFusion

Gli aggiornamenti di sicurezza per ColdFusion 2025, 2023 e 2021 risolvono 13 nuove vulnerabilità (CVE), tra cui figurano (XXE) (CVE-2025-49535, CVSS 9.3), credenziali hard-coded (CVE-2025-49551, CVSS 8.8) e vulnerabilità di command injection del sistema operativo, XML injection e Server-Side Request Forgery (SSRF). Nel 2023, la vulnerabilità CVE‑2023‑26360 (CVSS 9.8) è stata sfruttata da gruppi di minaccia per ottenere accesso iniziale alle agenzie civili federali degli Stati Uniti.

L’OPENVAS ENTERPRISE FEED include un controllo remoto di versione che consente di identificare le istanze di ColdFusion prive di patch. Si raccomanda di applicare immediatamente le patch disponibili: Update 3 (ColdFusion 2025), Update 15 (versione 2023) e Update 21 (versione 2021).

Splunk Enterprise aggiorna componenti con vulnerabilità di gravità elevata

Aggiornamenti cumulativi per Splunk Enterprise includono patch per diversi componenti di terze parti come golang, postgres, aws-sdk-java, idna e altri. Alcuni di questi difetti sono classificati come critici, tra cui CVE-2024-45337 (con un punteggio CVSS 9.1) e un percentile EPSS ≥ 97%, indicativo di un’alta probabilità di exploit attivo. Sia il CERT-FR che il Canadian Cyber CSE hanno pubblicato avvisi relativi agli aggiornamenti di luglio di Splunk. Gli utenti possono verificare lo stato delle patch tramite un controllo di versione disponibile in OPENVAS ENTERPRISE FEED, che include anche test di vulnerabilità per precedenti avvisi e CVE legati a Splunk.

Oracle rilascia patch per vulnerabilità ad alta gravità in VirtualBox

Diversi CVE pubblicati a metà luglio 2025 riguardano Oracle VM VirtualBox 7.1.10 e permettono a un utente locale con privilegi elevati, che abbia accesso all’infrastruttura host o all’ambiente di esecuzione della VM guest, di compromettere VirtualBox. Queste vulnerabilità possono consentire un aumento dei privilegi o il pieno controllo del componente principale dell’hypervisor. Il CVE‑2025‑53024 (CVSS 8.2) è un bug di overflow di numeri interi nel dispositivo virtuale VMSVGA causato da una convalida insufficiente dei dati forniti dall’utente. Questa falla può portare al danneggiamento della memoria e alla compromissione completa dell’hypervisor[1]. L’OPENVAS ENTERPRISE FEED e il COMMUNITY FEED includono test di rilevamento delle versioni Windows, Linux e macOS.

SonicWall SMA100: RCE post-autenticazione

Il CVE-2025-40599 (CVSS 9.1) nelle appliance SonicWall serie SMA 100 consente a un utente remoto autenticato con privilegi amministrativi di eseguire codice arbitrario e ottenere accesso persistente tramite caricamento di file arbitrario. Il rischio associato a questa vulnerabilità aumenta in presenza di credenziali deboli o rubate. Il difetto interessa i modelli SMA 210, 410, 500v con versioni 10.2.1.15-81sv e precedenti. Secondo l’advisory del fornitore, non esistono soluzioni alternative efficaci. L’OPENVAS ENTERPRISE FEED include un controllo remoto di versione per identificare i dispositivi colpiti.

Nuovi CVE MySQL consentono attacchi DoS autenticati

Tra le numerose vulnerabilità che permettono l’esecuzione remota di codice non autorizzata (RCE) è facile trascurare quelle che causano semplicemente Denial of Service (DoS). A luglio, Oracle ha rilasciato una serie di patch per vulnerabilità DoS che interessano MySQL 8 e MySQL 9 [1]. Sebbene queste falle richiedano accesso privilegiato per essere sfruttate, i Managed Service Provider (MSP) offrono hosting MySQL condiviso a piccole e medie imprese (PMI), enti governativi o organizzazioni non profit, che preferiscono evitare il sovraccarico della gestione diretta della propria infrastruttura di database. In questo contesto, i tenant accedono a database separati all’interno della medesima istanza del server MySQL. Un’istanza non aggiornata potrebbe permettere a un utente malintenzionato di compromettere altre organizzazioni presenti sulla stessa piattaforma. Questi difetti evidenziano anche l’importanza di utilizzare password complesse e di adottare misure per mitigare il rischio di attacchi di brute-force e di password spraying.

I test di rilevamento remoto delle versioni sono disponibili per tutti i CVE indicati di seguito. Questi test sono inclusi sia nell’OPENVAS ENTERPRISE FEED e COMMUNITY FEED e coprono le installazioni di MySQL su Linux e su Windows.

ID CVE	Versione interessate	Impatto	Vettore d’accesso	Status della patch
CVE-2025-50078 (CVSS 6.5)	8.0.0–8.0.42, 8.4.0–8.4.5, 9.0.0–9.3.0	DoS (hang/crash)	Remote authenticated access	Patch disponibile (luglio 2025)
CVE-2025-50082 (CVSS 6.5)	8.0.0–8.0.42, 8.4.0–8.4.5, 9.0.0–9.3.0	DoS (crash)	Remote authenticated access	Patch disponibile (luglio 2025)
CVE-2025-50083 (CVSS 6.5)	8.0.0–8.0.42, 8.4.0–8.4.5, 9.0.0–9.3.0	DoS (crash)	Remote authenticated access	Patch disponibile (luglio 2025)

Contatto Prova Ora Acquista Torna alla Panoramica

20. Agosto 2025/da Joseph Lee

Greenbone Detection efficace anche durante l’interruzione NVD del NIST

Blog

Nonostante l’interruzione del NIST NVD, il sistema di rilevamento di Greenbone mantiene piena operatività, garantendo scansioni affidabili delle vulnerabilità senza dipendere dai dati di arricchimento CVE mancanti.

Dal 1999, il Common Vulnerabilities and Exposures (CVE), gestito dalla MITRE Corporation, fornisce gratuitamente informazioni pubbliche sulle vulnerabilità, pubblicando e aggiornando dati sulle falle del software. Dal 2005, il National Institute of Standards and Technology (NIST) ha arricchito questi rapporti CVE, dando maggiore contesto per migliorare la valutazione del rischio informatico. Tuttavia, all’inizio del 2024, la comunità della sicurezza informatica è stata sorpresa dall’interruzione delle attività del NIST National Vulnerability Database (NVD). A circa un anno di distanza, questa interruzione non è stata ancora completamente risolta [1][2]. Con il numero crescente di CVE segnalati ogni anno, le difficoltà del NIST hanno causato un ritardo significativo nell’assegnazione di contesti fondamentali come il punteggio di gravità (CVSS), gli elenchi di prodotti interessati (CPE) e le classificazioni delle debolezze (CWE).

I cambiamenti politici promossi di recente dall’amministrazione Trump hanno generato notevole incertezza riguardo al futuro della condivisione delle informazioni sulle vulnerabilità, influenzando anche numerosi fornitori di sicurezza che da tali dati dipendono. Parallelamente, il bilancio 2025 della Cybersecurity and Infrastructure Security Agency (CISA), riflette una significativa riduzione delle risorse in aree chiave. In particolare, si registra un taglio di circa 49,8 milioni di dollari destinati ad appalti, costruzioni e miglioramenti e una diminuzione di 4,7 milioni di dollari per attività di ricerca e sviluppo. Questi ridimensionamenti hanno spinto la CISA ad adottare misure di contenimento delle spese, tra cui la revisione dei contratti e l’ottimizzazione delle strategie di approvvigionamento.

Nonostante le recenti preoccupazioni, il programma CVE non ha subito alcuna interruzione: il 16 aprile 2025, la CISA ha esteso all’ultimo minuto il contratto con MITRE, garantendo la continuità dei servizi CVE per altri 11 mesi, proprio poche ore prima della scadenza prevista. Tuttavia, l’evoluzione degli eventi rimane imprevedibile. Il potenziale impatto negativo sulla condivisione dell’intelligence suscita allarme, configurando forse una nuova dimensione geopolitica, paragonabile a una forma di guerra fredda digitale.

Questo articolo fornisce una breve panoramica sul funzionamento del programma CVE e su come le capacità di rilevamento di Greenbone siano rimaste invariate durante l’interruzione del NIST NVD.

Funzionamento del programma CVE: una panoramica

La MITRE Corporation, organizzazione senza scopo di lucro, opera come pilastro strategico per la sicurezza interna statunitense abbracciando ricerca difensiva, protezione delle infrastrutture critiche e cybersecurity. Nella gestione del programma CVE, MITRE ricopre un ruolo centrale come Primary CNA (CVE Numbering Authority), coordinando l’infrastruttura chiave per l’assegnazione degli ID CVE, la pubblicazione dei record e i flussi di comunicazione tra tutti i CNA e gli Authorized Data Publishers (ADP). I dati CVE sono resi pubblici attraverso il sito web del MITRE CVE.org e il repository cvelistV5 su GitHub, dove i record sono archiviati in formato JSON strutturato. Questo modello ha ottimizzato il reporting delle vulnerabilità, standardizzato i processi e assicurato una condivisione dei dati fluida nell’ecosistema della sicurezza informatica globale.

Quando in passato un CNA inviava una descrizione della vulnerabilità al MITRE, il NIST ha sempre aggiunto informazioni chiave quali:

CVSS (Common Vulnerability Scoring System): un punteggio di gravità (da 0 a 10) e una stringa vettoriale dettagliata che descrive il rischio associato alla vulnerabilità. Il CVSS valuta fattori come la complessità dell’attacco (Attack Complexity, AC), l’impatto su riservatezza (Confidentiality, C), integrità (Integrity, I) e disponibilità (Availability, A), oltre ad altri parametri.
CPE (Common Platform Enumeration): una stringa appositamente formattata che identifica in modo univoco i prodotti e le versioni interessate dalla vulnerabilità, includendo nome del prodotto, fornitore e dettagli architetturali.
CWE (Common Weakness Enumeration): classifica le cause profonde della vulnerabilità in base alla tipologia del difetto software.

ll CVSS consente alle organizzazioni di quantificare il rischio associato a una vulnerabilità attraverso un punteggio standardizzato (0-10), facilitando la prioritizzazione strategica degli interventi di bonifica. Poiché le segnalazioni CVE iniziali includono solo dichiarazioni non standardizzate sui prodotti coinvolti, l’integrazione dei CPE da parte del NIST consente alle piattaforme di sicurezza di utilizzare il matching CPE come metodo rapido, sebbene parzialmente inaffidabile, per identificare la presenza di vulnerabilità nell’infrastruttura di un’organizzazione.

Se desideri approfondire come funziona il procedimento di divulgazione delle vulnerabilità e il ruolo di CSAF 2.0 come alternativa decentralizzata al programma CVE del MITRE, leggi il nostro articolo: Cos’è il Common Security Advisory Framework 2.0 e come automatizza il vulnerability management. Di seguito procediamo ad esaminare le criticità del NIST NVD e identifichiamo gli elementi che garantiscono la capacità di Greenbone di rilevare le vulnerabilità nonostante il malfunzionamento del database federale.

Interruzione NVD del NIST: cos’è successo?

A partire dal 12 febbraio 2024, il NVD ha ridotto drasticamente l’arricchimento delle vulnerabilità CVE con metadati importanti come punteggi CVSS, identificatori CPE e classificazioni CWE. Il problema è emerso inizialmente grazie al vicepresidente della sicurezza di Anchore, che ne ha segnalato l’impatto operativo. A maggio 2024, circa il 93% delle CVE aggiunte dopo il 12 febbraio risultava privo di analisi contestuali. A settembre 2024, il NIST non ha rispettato la scadenza autoimposta per colmare il ritardo: il 72,4% delle CVE e il 46,7% delle KEV (Known Exploited Vulnerabilities) del CISA rimanevano non erano ancora state arricchite [3].

Il rallentamento del processo di arricchimento del National Vulnerability Database (NVD) ha avuto ripercussioni significative per la comunità della sicurezza informatica. Non solo perché i dati arricchiti sono fondamentali per i difensori nel definire con efficacia le priorità delle minacce, ma anche perché numerosi strumenti di scansione delle vulnerabilità si basano su questi metadati per rilevare e valutare le falle di sicurezza.

In qualità di difensore della cybersecurity, è lecito chiedersi se Greenbone sia stato colpito dall’interruzione del NIST NVD. La risposta è no. Continua a leggere per scoprire perché le capacità di rilevamento di Greenbone sono riuscite a far fronte all’interruzione del NIST NVD.

Il rilevamento di Greenbone risulta efficace nonostante l’interruzione NVD

Senza metadati CVE arricchiti, molte soluzioni di sicurezza risultano inefficaci a causa della dipendenza dalla corrispondenza CPE per identificare le vulnerabilità. Tuttavia, Greenbone è riuscito a far fronte all’interruzione del NIST NVD grazie a un approccio indipendente dal CPE: i test di vulnerabilità OpenVAS possono essere sviluppati direttamente dalle descrizioni CVE non arricchite, integrando anche il rilevamento di configurazioni errate e vulnerabilità senza CVE, come i benchmark CIS [4][5].

Per sviluppare i test di vulnerabilità (VT), Greenbone si avvale di un team dedicato di ingegneri software specializzati nell’analisi degli aspetti tecnici alla base delle vulnerabilità. Il sistema include uno scanner CVE in grado di eseguire una corrispondenza CPE tradizionale, ma si distingue dalle soluzioni dipendenti esclusivamente dai dati CPE del NIST NVD grazie a tecniche di rilevamento avanzate che superano i limiti del matching di base. Questa architettura ibrida – tra automazione standardizzata e analisi contestuale – garantisce capacità di rilevamento solide anche durante interruzioni critiche come quella recente del NIST NVD.

Per garantire un rilevamento delle vulnerabilità resiliente e all’avanguardia, lo scanner OpenVAS di Greenbone interagisce attivamente con i servizi di rete esposti, costruendo una mappa dettagliata della superficie di attacco di una rete target. Questo comprende l’identificazione dei servizi accessibili tramite connessioni di rete, l’analisi dei prodotti in esecuzione e l’esecuzione di test specifici (VT) per ogni vulnerabilità CVE o non-CVE, verificandone attivamente la presenza. L’Enterprise Vulnerability Feed di Greenbone include oltre 180.000 VT aggiornati quotidianamente, garantendo il rilevamento tempestivo delle ultime vulnerabilità segnalate e un’individuazione rapida delle minacce emergenti.

Oltre alle scansioni attive, Greenbone integra scansioni autenticate agentless che raccolgono dati dettagliati dagli endpoint, analizzando i pacchetti software installati e confrontandoli con i CVE noti. Questo approccio garantisce un rilevamento preciso delle vulnerabilità, bypassando la dipendenza dai dati CPE arricchiti del NVD.

Punti di forza:

Indipendenza dai dati CVE arricchiti: Greenbone garantisce il rilevamento continuo senza dipendere dai metadati arricchiti del NIST NVD, mantenendo prestazioni stabili anche durante interruzioni del database federale. Una descrizione di base di una vulnerabilità consente agli ingegneri di Greenbone di sviluppare un modulo di rilevamento.
Rilevamento avanzato oltre il CPE: sebbene Greenbone includa uno scanner CVE con corrispondenza CPE, le sue capacità si estendono ben oltre questo approccio tradizionale, integrando metodi attivi di interazione con i target per un rilevamento più accurato.
Mappatura della superficie di attacco: lo scanner OpenVAS di Greenbone interagisce attivamente con i servizi esposti per mappare la superficie di attacco della rete, identificando tutti i servizi raggiungibili. Le scansioni autenticate agentless raccolgono dati direttamente dagli endpoint per analizzare i pacchetti software installati, confrontandoli con i CVE noti senza dipendere dai dati CPE arricchiti.
Resilienza alle interruzioni dell’arricchimento NVD: il rilevamento di Greenbone risulta efficace anche senza dati NVD arricchiti, perché si serve delle descrizioni CVE dei CNA per sviluppare controlli attivi precisi e valutazioni basate sulle versioni software.

L’approccio di Greenbone è pratico, efficace e resistente

Greenbone rappresenta il punto di riferimento in termini di praticità, efficacia e resilienza nel campo della gestione delle vulnerabilità. Le sue soluzioni sono progettate per fornire una protezione proattiva e affidabile contro le minacce informatiche, adattandosi a una vasta gamma di ambienti IT. Utilizzando la mappatura attiva della rete e le scansioni autenticate, le soluzioni Greenbone interagiscono direttamente con l’infrastruttura di destinazione.

Questi standard elevati permettono alle aziende di identificare le vulnerabilità in modo preciso e tempestivo, anche in ambienti complessi e distribuiti. Anche in assenza dell’arricchimento del National Vulnerability Database (NVD), i metodi di rilevamento delle vulnerabilità di Greenbone rimangono efficaci e affidabili. Gli ingegneri di Greenbone possono sviluppare controlli attivi accurati e valutazioni delle vulnerabilità basate sulla versione del prodotto, utilizzando le informazioni disponibili nei rapporti iniziali dei CVE.

Grazie a un approccio intrinsecamente resiliente nel rilevamento delle vulnerabilità, Greenbone assicura una gestione affidabile delle minacce, emergendo come punto di riferimento nel panorama della cybersecurity.

Alternative a NVD / NIST / MITRE

La problematica del MITRE rappresenta un campanello d’allarme per la sovranità digitale europea, ma l’UE ha reagito con tempestività: l’EuVD di ENISA, l’Agenzia dell’Unione per la cybersecurity, è ora operativa. Ne parleremo nel nostro prossimo articolo.