Tag Archivio per: Greenbone

Greenbone AG

Intuitivo e trasparente: una panoramica completa e aggiornata della sicurezza della tua infrastruttura IT, per tutti i livelli decisionali

OPENVAS REPORT nostro ultimo prodotto, è in grado di aggregare i dati provenienti da un numero pressoché illimitato di Greenbone Enterprise Appliance, presentandoli in modo chiaro su una dashboard ben strutturata. L’interfaccia user-friendly e completa semplifica notevolmente la protezione e la messa in sicurezza anche di reti di grandi dimensioni.

Dal 2008, Greenbone AG sviluppa tecnologie open source leader per la gestione automatizzata delle vulnerabilità. Oltre 100.000 organizzazioni in tutto il mondo si affidano alla Community di Greenbone e alle edizioni Enterprise per rafforzare la loro resilienza informatica.

“OPENVAS REPORT è sinonimo di innovazione da parte del leader del mercato open source.”

“Con il nostro nuovo prodotto riduciamo in modo decisivo la lacuna fra le attuali conoscenze di sicurezza e la capacità di agire in modo più rapido, chiaro e flessibile che mai”, dichiara il Dott. Jan-Oliver Wagner, CEO di Greenbone AG.

Riconoscere le situazioni di rischio in modo più rapido ed efficace

Per proteggere le proprie infrastrutture digitali è fondamentale essere sempre aggiornati sugli eventi relativi alla sicurezza e mantenere i tempi di risposta agli eventi critici il più brevi possibili.

OPENVAS REPORT fornisce una panoramica completa e aggiornata della situazione della sicurezza dell’infrastruttura IT, per tutti i livelli decisionali.

Grazie alle appliance aziendali Greenbone collegate, OPENVAS REPORT rileva automaticamente computer e software in azienda. Gli utenti possono contrassegnarli con parole chiave, raggrupparli e ordinarli a proprio piacimento, così da mantenere una visione d’insieme anche in reti molto grandi.

Dashboard moderna e intuitiva

La dashboard di OPENVAS REPORT è uno strumento moderno, intuitivo e altamente flessibile. Consente, ad esempio, di filtrare e ordinare i dati in base alla gravità generale o al rischio specifico delle vulnerabilità. Le aziende possono così creare autonomamente visualizzazioni personalizzate che mostrano un quadro sempre aggiornato della situazione di rischio nella rete aziendale.

 

Panoramica centralizzata

OPENVAS REPORT ti permette di acquisire e valutare con un colpo d’occhio la situazione della sicurezza della tua azienda. Grazie a una guida utente semplice e chiara, anche i dati più complessi diventano leggibili e comprensibili, accelerando così il processo decisionale in situazioni critiche.

Con opzioni di filtro flessibili e personalizzabili, OPENVAS REPORT semplifica notevolmente il lavoro quotidiano di amministratori e responsabili della sicurezza.

Interfaccia flessibile

Le ampie funzioni di esportazione consentono di integrare OPENVAS REPORT in modo ancora più approfondito nell’infrastruttura, ad esempio per elaborare dati esterni all’interno dello stesso OPENVAS REPORT.

I vantaggi in sintesi

Funzione Valore aggiunto per la vostra azienda
Visibilità completa degli asset Una panoramica completa di tutti gli asset IT e delle relative vulnerabilità in un’unica interfaccia, per una valutazione accurata e aggiornata della tua sicurezza.
Dashboard user-friendly Una dashboard interattiva e ben strutturata che rende immediatamente comprensibili anche le informazioni più complesse sulle vulnerabilità, facilitando decisioni rapide e informate.
Elaborazione flessibile dei dati Diverse opzioni di esportazione, API e automazione si integrano perfettamente nei flussi di lavoro esistenti, adattandosi alle specifiche esigenze operative.
Consolidamento efficiente dei dati Aggregazione centralizzata dei risultati provenienti da più scanner e sedi, che riduce il carico amministrativo e accelera i tempi di risposta.
Classificazione personalizzabile delle vulnerabilità Livelli di gravità e tag configurabili liberamente, per mappare con precisione i modelli interni di compliance e gestione del rischio.
Funzioni di reporting avanzate Creazione istantanea di report mirati per i dirigenti, gli audit o team: filtri e link drill-down forniscono dettagli approfonditi sui problemi di sicurezza critici.

Scopri di più

Sei interessato a una demo o desideri un’offerta personalizzata? Contatta il nostro team vendite per scoprire di più su OPENVAS REPORT. Scrivici a sales@greenbone.net oppure contattaci direttamente su. Saremo lieti di rispondere a tutte le tue domande!

Contatto Prova Ora Acquista Torna alla Panoramica

/da
Greenbone AG

Greenbone Detection efficace anche durante l’interruzione NVD del NIST

Nonostante l’interruzione del NIST NVD, il sistema di rilevamento di Greenbone mantiene piena operatività, garantendo scansioni affidabili delle vulnerabilità senza dipendere dai dati di arricchimento CVE mancanti.

Dal 1999, il Common Vulnerabilities and Exposures (CVE), gestito dalla MITRE Corporation, fornisce gratuitamente informazioni pubbliche sulle vulnerabilità, pubblicando e aggiornando dati sulle falle del software. Dal 2005, il National Institute of Standards and Technology (NIST) ha arricchito questi rapporti CVE, dando maggiore contesto per migliorare la valutazione del rischio informatico. Tuttavia, all’inizio del 2024, la comunità della sicurezza informatica è stata sorpresa dall’interruzione delle attività del NIST National Vulnerability Database (NVD). A circa un anno di distanza, questa interruzione non è stata ancora completamente risolta [1][2]. Con il numero crescente di CVE segnalati ogni anno, le difficoltà del NIST hanno causato un ritardo significativo nell’assegnazione di contesti fondamentali come il punteggio di gravità (CVSS), gli elenchi di prodotti interessati (CPE) e le classificazioni delle debolezze (CWE).

I cambiamenti politici promossi di recente dall’amministrazione Trump hanno generato notevole incertezza riguardo al futuro della condivisione delle informazioni sulle vulnerabilità, influenzando anche numerosi fornitori di sicurezza che da tali dati dipendono. Parallelamente, il bilancio 2025  della Cybersecurity and Infrastructure Security Agency (CISA), riflette una significativa riduzione delle risorse in aree chiave. In particolare, si registra un taglio di circa 49,8 milioni di dollari destinati ad appalti, costruzioni e miglioramenti e una diminuzione di 4,7 milioni di dollari per attività di ricerca e sviluppo. Questi ridimensionamenti hanno spinto la CISA ad adottare misure di contenimento delle spese, tra cui la revisione dei contratti e l’ottimizzazione delle strategie di approvvigionamento.

Nonostante le recenti preoccupazioni, il programma CVE non ha subito alcuna interruzione: il 16 aprile 2025, la CISA ha esteso all’ultimo minuto il contratto con MITRE, garantendo la continuità dei servizi CVE per altri 11 mesi, proprio poche ore prima della scadenza prevista. Tuttavia, l’evoluzione degli eventi rimane imprevedibile. Il potenziale impatto negativo sulla condivisione dell’intelligence suscita allarme, configurando forse una nuova dimensione geopolitica, paragonabile a una forma di guerra fredda digitale.

Questo articolo fornisce una breve panoramica sul funzionamento del programma CVE e su come le capacità di rilevamento di Greenbone siano rimaste invariate durante l’interruzione del NIST NVD.

Funzionamento del programma CVE: una panoramica

La MITRE Corporation, organizzazione senza scopo di lucro, opera come pilastro strategico per la sicurezza interna statunitense abbracciando ricerca difensiva, protezione delle infrastrutture critiche e cybersecurity. Nella gestione del programma CVE, MITRE ricopre un ruolo centrale come Primary CNA (CVE Numbering Authority), coordinando l’infrastruttura chiave per l’assegnazione degli ID CVE, la pubblicazione dei record e i flussi di comunicazione tra tutti i CNA e gli Authorized Data Publishers (ADP). I dati CVE sono resi pubblici attraverso il sito web del MITRE CVE.org  e il repository cvelistV5 su GitHub, dove i record sono archiviati in formato JSON strutturato. Questo modello ha ottimizzato il reporting delle vulnerabilità, standardizzato i processi e assicurato una condivisione dei dati fluida nell’ecosistema della sicurezza informatica globale.

Quando in passato un CNA inviava una descrizione della vulnerabilità al MITRE, il NIST ha sempre aggiunto informazioni chiave quali:

  • CVSS (Common Vulnerability Scoring System): un punteggio di gravità (da 0 a 10) e una stringa vettoriale dettagliata che descrive il rischio associato alla vulnerabilità. Il CVSS valuta fattori come la complessità dell’attacco (Attack Complexity, AC), l’impatto su riservatezza (Confidentiality, C), integrità (Integrity, I) e disponibilità (Availability, A), oltre ad altri parametri.
  • CPE (Common Platform Enumeration): una stringa appositamente formattata che identifica in modo univoco i prodotti e le versioni interessate dalla vulnerabilità, includendo nome del prodotto, fornitore e dettagli architetturali.
  • CWE (Common Weakness Enumeration): classifica le cause profonde della vulnerabilità in base alla tipologia del difetto software.

ll CVSS consente alle organizzazioni di quantificare il rischio associato a una vulnerabilità attraverso un punteggio standardizzato (0-10), facilitando la prioritizzazione strategica degli interventi di bonifica. Poiché le segnalazioni CVE iniziali includono solo dichiarazioni non standardizzate sui prodotti coinvolti, l’integrazione dei CPE da parte del NIST consente alle piattaforme di sicurezza di utilizzare il matching CPE come metodo rapido, sebbene parzialmente inaffidabile, per identificare la presenza di vulnerabilità nell’infrastruttura di un’organizzazione.

Se desideri approfondire come funziona il procedimento di divulgazione delle vulnerabilità e il ruolo di CSAF 2.0 come alternativa decentralizzata al programma CVE del MITRE, leggi il nostro articolo: Cos’è il Common Security Advisory Framework 2.0 e come automatizza il vulnerability management. Di seguito procediamo ad esaminare le criticità del NIST NVD e identifichiamo gli elementi che garantiscono la capacità di Greenbone di rilevare le vulnerabilità nonostante il malfunzionamento del database federale.

Interruzione NVD del NIST: cos’è successo?

A partire dal 12 febbraio 2024, il NVD ha ridotto drasticamente l’arricchimento delle vulnerabilità CVE con metadati importanti come punteggi CVSS, identificatori CPE e classificazioni CWE. Il problema è emerso inizialmente grazie al vicepresidente della sicurezza di Anchore, che ne ha segnalato l’impatto operativo. A maggio 2024, circa il 93% delle CVE aggiunte dopo il 12 febbraio risultava privo di analisi contestuali. A settembre 2024, il NIST non ha rispettato la scadenza autoimposta per colmare il ritardo: il 72,4% delle CVE e il 46,7% delle KEV (Known Exploited Vulnerabilities) del CISA rimanevano non erano ancora state arricchite [3].

Il rallentamento del processo di arricchimento del National Vulnerability Database (NVD) ha avuto ripercussioni significative per la comunità della sicurezza informatica. Non solo perché i dati arricchiti sono fondamentali per i difensori nel definire con efficacia le priorità delle minacce, ma anche perché numerosi strumenti di scansione delle vulnerabilità si basano su questi metadati per rilevare e valutare le falle di sicurezza.

In qualità di difensore della cybersecurity, è lecito chiedersi se Greenbone sia stato colpito dall’interruzione del NIST NVD. La risposta è no. Continua a leggere per scoprire perché le capacità di rilevamento di Greenbone sono riuscite a far fronte all’interruzione del NIST NVD.

Il rilevamento di Greenbone risulta efficace nonostante l’interruzione NVD

Senza metadati CVE arricchiti, molte soluzioni di sicurezza risultano inefficaci a causa della dipendenza dalla corrispondenza CPE per identificare le vulnerabilità. Tuttavia, Greenbone è riuscito a far fronte all’interruzione del NIST NVD grazie a un approccio indipendente dal CPE: i test di vulnerabilità OpenVAS possono essere sviluppati direttamente dalle descrizioni CVE non arricchite, integrando anche il rilevamento di configurazioni errate e vulnerabilità senza CVE, come i benchmark CIS [4][5]. 

Per sviluppare i test di vulnerabilità (VT), Greenbone si avvale di un team dedicato di ingegneri software specializzati nell’analisi degli aspetti tecnici alla base delle vulnerabilità. Il sistema include uno scanner CVE in grado di eseguire una corrispondenza CPE tradizionale, ma si distingue dalle soluzioni dipendenti esclusivamente dai dati CPE del NIST NVD grazie a tecniche di rilevamento avanzate che superano i limiti del matching di base. Questa architettura ibrida – tra automazione standardizzata e analisi contestuale – garantisce capacità di rilevamento solide anche durante interruzioni critiche come quella recente del NIST NVD.

Per garantire un rilevamento delle vulnerabilità resiliente e all’avanguardia, lo scanner OpenVAS di Greenbone interagisce attivamente con i servizi di rete esposti, costruendo una mappa dettagliata della superficie di attacco di una rete target. Questo comprende l’identificazione dei servizi accessibili tramite connessioni di rete, l’analisi dei prodotti in esecuzione e l’esecuzione di test specifici (VT) per ogni vulnerabilità CVE o non-CVE, verificandone attivamente la presenza. L’Enterprise Vulnerability Feed di Greenbone include oltre 180.000 VT aggiornati quotidianamente, garantendo il rilevamento tempestivo delle ultime vulnerabilità segnalate e un’individuazione rapida delle minacce emergenti.

Oltre alle scansioni attive, Greenbone integra scansioni autenticate agentless che raccolgono dati dettagliati dagli endpoint, analizzando i pacchetti software installati e confrontandoli con i CVE noti. Questo approccio garantisce un rilevamento preciso delle vulnerabilità, bypassando la dipendenza dai dati CPE arricchiti del NVD.

Punti di forza:

  • Indipendenza dai dati CVE arricchiti: Greenbone garantisce il rilevamento continuo senza dipendere dai metadati arricchiti del NIST NVD, mantenendo prestazioni stabili anche durante interruzioni del database federale. Una descrizione di base di una vulnerabilità consente agli ingegneri di Greenbone di sviluppare un modulo di rilevamento.
  • Rilevamento avanzato oltre il CPE: sebbene Greenbone includa uno scanner CVE con corrispondenza CPE, le sue capacità si estendono ben oltre questo approccio tradizionale, integrando metodi attivi di interazione con i target per un rilevamento più accurato.
  • Mappatura della superficie di attacco: lo scanner OpenVAS di Greenbone interagisce attivamente con i servizi esposti per mappare la superficie di attacco della rete, identificando tutti i servizi raggiungibili. Le scansioni autenticate agentless raccolgono dati direttamente dagli endpoint per analizzare i pacchetti software installati, confrontandoli con i CVE noti senza dipendere dai dati CPE arricchiti.
  • Resilienza alle interruzioni dell’arricchimento NVD: il rilevamento di Greenbone risulta efficace anche senza dati NVD arricchiti, perché si serve delle descrizioni CVE dei CNA per sviluppare controlli attivi precisi e valutazioni basate sulle versioni software.

L’approccio di Greenbone è pratico, efficace e resistente

Greenbone rappresenta il punto di riferimento in termini di praticità, efficacia e resilienza nel campo della gestione delle vulnerabilità. Le sue soluzioni sono progettate per fornire una protezione proattiva e affidabile contro le minacce informatiche, adattandosi a una vasta gamma di ambienti IT. Utilizzando la mappatura attiva della rete e le scansioni autenticate, le soluzioni Greenbone interagiscono direttamente con l’infrastruttura di destinazione.

Questi standard elevati permettono alle aziende di identificare le vulnerabilità in modo preciso e tempestivo, anche in ambienti complessi e distribuiti. Anche in assenza dell’arricchimento del National Vulnerability Database (NVD), i metodi di rilevamento delle vulnerabilità di Greenbone rimangono efficaci e affidabili. Gli ingegneri di Greenbone possono sviluppare controlli attivi accurati e valutazioni delle vulnerabilità basate sulla versione del prodotto, utilizzando le informazioni disponibili nei rapporti iniziali dei CVE.

Grazie a un approccio intrinsecamente resiliente nel rilevamento delle vulnerabilità, Greenbone assicura una gestione affidabile delle minacce, emergendo come punto di riferimento nel panorama della cybersecurity.

Alternative a NVD / NIST / MITRE

La problematica del MITRE rappresenta un campanello d’allarme per la sovranità digitale europea, ma l’UE ha reagito con tempestività: l’EuVD di ENISA, l’Agenzia dell’Unione per la cybersecurity, è ora operativa. Ne parleremo nel nostro prossimo articolo.

Contatto Prova Ora Acquista Torna alla Panoramica

/da
Dirk Boeing

Vulnerabilità nei processori: strategie per mitigare i rischi hardware

Le falle di sicurezza informatica nell’ambito IT si presentano in diverse forme. Tra le più comuni figurano le vulnerabilità legate a software non aggiornati, password deboli, configurazioni errate e l’utilizzo di switch di rete obsoleti. Tuttavia, un tipo di esposizione che spesso genera confusione durante le scansioni riguarda le vulnerabilità hardware.

Abbiamo imparato a convivere con la continua scoperta di vulnerabilità software. Per garantire una sicurezza informatica affidabile, ormai è prassi consolidata per ogni azienda (o almeno si spera) eseguire regolarmente scansioni della rete per identificare tali vulnerabilità e applicare le relative patch. Tuttavia, non sono solo gli sviluppatori di software a commettere errori: anche i processori possono contenere difetti. Le vulnerabilità nei chip spesso derivano da errori di progettazione che permettono a malintenzionati di sfruttare effetti collaterali imprevisti per accedere a dati sensibili. A differenza delle vulnerabilità software, generalmente correggibili con patch o aggiornamenti, quelle hardware richiedono aggiornamenti del microcodice o, in alcuni casi, modifiche strutturali nei progetti futuri dei processori.

Aggiornamenti del microcodice

L’unico metodo per risolvere le vulnerabilità della CPU e continuare così a garantire la sicurezza informatica è l’applicazione di aggiornamenti del microcodice, normalmente distribuiti tramite il sistema operativo o, in alcuni casi, attraverso il firmware (UEFI/BIOS). Il microcodice rappresenta un livello software all’interno del processore che traduce i comandi di alto livello in operazioni interne specifiche.

Anche se gli utenti finali generalmente non aggiornano il microcodice autonomamente, produttori come Intel forniscono update mirati per correggere alcune vulnerabilità, evitando la necessità di sostituire completamente l’hardware. Tuttavia, tali aggiornamenti possono comportare una diminuzione delle prestazioni, poiché disattivano o modificano alcune ottimizzazioni della CPU per prevenire il rischio di sfruttamento. In alcuni casi, questo può anche causare fino a un 50% di riduzione delle prestazioni.

Vulnerabilità su più fronti

Poiché queste vulnerabilità si trovano a livello di CPU, vengono rilevate e segnalate da tool come Greenbone Enterprise Appliance. Tuttavia, questo può generare confusione, poiché gli utenti potrebbero erroneamente pensare che le vulnerabilità segnalate riguardino il sistema operativo. È fondamentale comprendere che non si tratta di falle di sicurezza informatica nel sistema operativo, ma di difetti architetturali all’interno del processore stesso.

Le vulnerabilità vengono rilevate verificando la presenza delle patch di microcodice appropriate per la CPU identificata. Ad esempio, se una scansione rileva un sistema privo dell’aggiornamento del microcodice Intel per Downfall, viene segnalato come vulnerabile. Tuttavia, questo non implica che il sistema operativo stesso sia insicuro o la sicurezza informatica in generale sia a rischio.

Performance o sicurezza?

Per gestire le vulnerabilità della CPU è sempre necessario scendere a compromessi, e gli utenti devono scegliere l’approccio più adatto alle loro esigenze per garantire una sicurezza informatica ottimale. In generale, le opzioni disponibili sono tre:

  • Applicare gli aggiornamenti del microcodice, accettando una possibile riduzione delle prestazioni, soprattutto per i carichi di lavoro ad alta intensità di calcolo.
  • Evitare alcuni aggiornamenti del microcodice, assumendosi il rischio qualora la probabilità di sfruttamento nell’ambiente in uso sia considerata bassa.
  • Sostituire l’hardware interessato con CPU non affette da queste vulnerabilità.

In ultima analisi, la scelta dipende dal caso d’uso specifico e dal livello di tolleranza al rischio dell’organizzazione o dei singoli responsabili.

Contatto Prova Ora Acquista Torna alla Panoramica

/da
Joseph Lee

CVE-2024-54085 con CVSS 10: AMI BMC a rischio di compromissione remota

Di recente, nel software MegaRAC BMC (Baseboard Management Controller) di American Megatrends International (AMI) è stata identificata la falla di sicurezza CVE-2024-54085, valutata con il punteggio di rischio CVSS 10, il più elevato possibile. Questa vulnerabilità consente agli aggressori di bypassare i meccanismi di autenticazione e accedere ai sistemi vulnerabili. Considerando il ruolo predominante di AMI nella supply chain delle schede madri, numerosi fornitori hardware di rilievo potrebbero essere coinvolti. Oltre a una dichiarazione tecnica, è disponibile un Proof-of-Concept (PoC) dettagliata, il che indica che la vulnerabilità non è più solo un rischio teorico.

Utilizzando il Proof of Concept (PoC) disponibile, gli aggressori possono creare un account di servizio sulla console di gestione Redfish, ottenendo così accesso non autenticato a tutte le funzionalità remote di BMC. L’exploit è stato verificato su dispositivi come HPE Cray XD670, Asus RS720A-E11-RS24U e ASRockRack. Sebbene questa CVE sia stata pubblicata nel 2025, l’ID (CVE-2024-54085) è stato probabilmente riservato già nel 2024.

La CVE-2024-54085 permette agli aggressori di:

  • compromettere il server, assumerne il controllo totale e gestirlo da remoto
  • installare software malevolo, inclusi ransomware​
  • modificare il firmware
  • rendere inutilizzabili componenti della scheda madre (BMC o anche BIOS/UEFI) ​
  • causare danni hardware, ad esempio sovratensioni
  • indurre il server in cicli di riavvio continui, causando interruzioni prolungate del servizio (DoS).

Greenbone è in grado di individuare un server colpito attraverso test di vulnerabilità remoti che rilevano attivamente BMC esposti.

Impatto potenziale

L’interfaccia Redfish, utilizzata nel MegaRAC BMC di AMI, è una delle numerose soluzioni BMC che supportano la gestione remota dei server. Lo standard Redfish si è affermato nel mercato dei server aziendali come sostituto moderno di interfacce di gestione obsolete come l’IPMI. La vulnerabilità ha un impatto significativo su tutti i prodotti che utilizzano AMI MegaRAC, inclusi dispositivi OT, IoT e IT.  In passato, vulnerabilità simili in MegaRAC hanno interessato prodotti di numerosi produttori, tra cui Asus, Dell, Gigabyte, Hewlett Packard Enterprise (HPE), Lanner, Lenovo, NVIDIA e Tyan. AMI ha rilasciato patch per questa vulnerabilità l’11 marzo 2025. HPE e Lenovo hanno già distribuito aggiornamenti per i loro prodotti interessati.

Aspetti tecnici di CVE-2024-54085

La vulnerabilità CVE-2024-54085 è un difetto critico individuato nello stack firmware SPx (Service Processor) di AMI, componente chiave della soluzione MegaRAC BMC. I BMC (Baseboard Management Controller) sono microcontroller integrati nelle schede madri dei server che permettono la gestione e il monitoraggio remoto, anche quando il sistema è spento o non risponde.

La CVE-2024-54085 è classificata come “bypass dell’autenticazione tramite spoofing” [CWE-290]. Questo tipo di vulnerabilità si verifica quando un sistema utilizza informazioni facilmente falsificabili, come l’indirizzo IP del client, per autenticare le richieste. Sebbene la raccomandazione di AMI fornisca pochi dettagli, i ricercatori di Eclypsium, ai quali è attribuita la scoperta, hanno pubblicato un articolo dettagliato che ne spiega le cause. La vulnerabilità CVE-2024-54085 deriva dall’utilizzo dell’indirizzo IP come metodo di autenticazione. Nello specifico, la logica di controllo degli accessi basata su Lua nell’interfaccia Redfish utilizza le intestazioni HTTP, come X-Server-Addr o Host, per determinare se una richiesta HTTP è interna o esterna; le richieste interne vengono automaticamente considerate autenticate.

Nei sistemi BMC come MegaRAC, “l’interfaccia host” rappresenta la connessione, sia fisica che logica, tra il BMC e il server principale (l’host). Questa connessione può essere paragonata all’interfaccia di loopback (spesso denominata lo), comunemente associata all’indirizzo IP 127.0.0.1 e al nome host localhost. Nel contesto di MegaRAC, all’interfaccia che collega il chip BMC all’host viene assegnato un indirizzo IP dalla gamma Link-Local, specificamente nell’intervallo 169.254.0.0 fino a 169.254.255.255). Inoltre, questo indirizzo IP è incluso in un elenco di indirizzi considerati attendibili durante il processo di autenticazione HTTP di MegaRAC; pertanto, un attaccante che riesca a falsificare questo indirizzo può eludere l’autenticazione. Attraverso reverse engineering del firmware MegaRAC, i ricercatori hanno identificato che l’indirizzo Link-Local 169.254.0.17 viene utilizzato su più chip BMC.

L’errore è dovuto all’implementazione di un’espressione regolare che estrae il testo dall’intestazione HTTP X-Server-Addr fino al primo due punti e verifica se corrisponde agli indirizzi IP attendibili memorizzati in un database Redis. I chip BMC utilizzano Lighttpd come server web incorporato, che aggiunge automaticamente un’intestazione X-Server-Addr con l’indirizzo IP dell’istanza Redfish. Se una richiesta include già l’intestazione fornita dal client, Lighttpd concatena il proprio valore a quello ricevuto. Questo permette a un attaccante di inviare un’intestazione appositamente modificata, manipolando così il valore estratto dall’espressione regolare. Fornendo un valore X-Server-Addr corrispondente all’indirizzo Link-Local del sistema host seguito da due punti (ad esempio, 169.254.0.17:), un malintenzionato può indurre il BMC a interpretare la richiesta come proveniente dall’interfaccia host interna, bypassando completamente l’autenticazione.

Una volta bypassata l’autenticazione, il resto della richiesta HTTP viene elaborato normalmente, consentendo all’attaccante di eseguire qualsiasi azione API disponibile. Ciò include la creazione di account con privilegi elevati, ottenendo il controllo remoto completo del BMC del server e l’accesso alla sua interfaccia web di amministrazione.

Strategie per mitigare la CVE-2024-54085

Le aziende devono monitorare attentamente le indicazioni dei propri fornitori di hardware e applicare tempestivamente gli aggiornamenti firmware non appena resi disponibili. Come misura temporanea, è consigliabile consultare i manuali dei dispositivi per verificare la possibilità di disattivare l’interfaccia Redfish quando non è in uso. Poiché i BMC rimangono operativi anche quando il server principale è spento, i sistemi interessati devono essere considerati permanentemente a rischio fino all’applicazione della patch firmware, a meno che Redfish non venga disabilitato o il sistema sia isolato dalla rete (air-gap). I responsabili di sicurezza possono sviluppare regole specifiche per firewall o sistemi di prevenzione delle intrusioni (IPS) al fine di bloccare tentativi di sfruttare questa vulnerabilità e di proteggere le interfacce di gestione BMC vulnerabili.

Poiché l’errore risiede in un firmware proprietario incorporato, l’applicazione delle patch risulta più complessa rispetto agli aggiornamenti di routine del sistema operativo o delle applicazioni. A differenza del software tradizionale, il firmware BMC risiede su un chip dedicato della scheda madre. Pertanto, l’aggiornamento del firmware BMC richiede l’uso di un’utilità software speciale fornita dal produttore del dispositivo per “flashare” il firmware aggiornato. Questo processo può causare periodi di inattività, poiché gli amministratori potrebbero dover avviare il sistema in un ambiente speciale e riavviarlo al termine dell’aggiornamento del firmware.

Per riassumere

La vulnerabilità CVE-2024-54085 rappresenta un rischio significativo per l’infrastruttura aziendale, poiché consente il controllo remoto non autenticato di server prodotti da importanti fornitori come HPE e Lenovo. Data la diffusione del software MegaRAC di AMI nei data center, lo sfruttamento di questa falla potrebbe causare guasti estesi, hardware inutilizzabile o periodi di inattività prolungati. È quindi essenziale riconoscere immediatamente questa minaccia e applicare le patch firmware fornite dai produttori per tutti i sistemi interessati.

Greenbone è in grado di individuare un server colpito attraverso test di vulnerabilità remoti che rilevano attivamente BMC che possono essere colpiti.

Contatto Prova Ora Acquista Torna alla Panoramica

/da
Joseph Lee

PHP-CGI per Windows: escalation di attacchi a CVE-2024-4577

La vulnerabilità CVE-2024-4577 (CVSS 9.8 critica) ha recentemente conquistato una posizione di rilievo tra le falle di sicurezza più pericolose. Scoperta dai ricercatori di Devcore a inizio giugno 2024, è stata sfruttata in sole 48 ore dalla sua pubblicazione. CVE-2024-4577 è una vulnerabilità di Command Injection [CWE-78] nel “sistema operativo” PHP-CGI OS che interessa PHP per Windows. I criminali informatici non hanno perso tempo e hanno sfruttato questa falla per diffondere il ransomware “TellYouThePass”, portando la Cybersecurity and Infrastructure Security Agency (CISA) a includerla nella sua lista KEV (Known Exploited Vulnerabilities). E nei mesi successivi, lo sfruttamento di CVE-2024-4577 non accenna a diminuire.

Greenbone ha preparato test di vulnerabilità (VT) mirati per individuare i sistemi interessati da CVE-2024-4577. Questo consente ai responsabili IT di identificare i sistemi esposti all’interno delle infrastrutture di rete pubbliche o interne. Ma guardiamo più da vicino quale minaccia costituisce CVE-2024-4577.

Come viene sfruttato CVE-2024-4577

Il team di watchTowr Labs ha pubblicato un codice exploit Proof of Concept (PoC) e un’analisi tecnica dettagliata della vulnerabilità CVE-2024-4577. Inoltre, a metà del 2024, è stato rilasciato un modulo Metasploit. Organizzazioni come il CERT della Nuova Zelanda (CERT NZ), il CERT canadese, il CERT-EU (CERT dell’Unione europea) e il CERT-FR (CERT del governo francese) hanno emesso avvisi di sicurezza riguardanti CVE-2024-4577 già nel giugno 2024.

A causa di CVE-2024-4577, il PHP-CGI (Common Gateway Interface) può interpretare erroneamente alcuni caratteri come parametri PHP, permettendo a un attaccante di passarli al file binario php.exe. Questo espediente consente di esporre il codice sorgente degli script o di eseguire codice PHP arbitrario sul server. CVE-2024-4577 è considerata una variante di una precedente falla di sicurezza in PHP (per la quale è già disponibile una patch), nota come CVE-2012-1823.

Quando un aggressore ottiene l’accesso iniziale alla rete di una vittima tramite tecniche come il social engineering o lo sfruttamento di altre vulnerabilità software, la falla CVE-2024-4577 può consentirgli di muoversi lateralmente all’interno del sistema. Questo movimento laterale permette all’attaccante di stabilire una presenza furtiva, penetrare più a fondo nell’infrastruttura della vittima e ampliare l’impatto dell’attacco informatico.

Aspetti tecnici di CVE-2024-4577

In sintesi, lo sfruttamento della vulnerabilità CVE-2024-4577 avviene attraverso la conversione di caratteri Unicode, che consente l’inserimento di argomenti di linea di comando malevoli nel processo php.exe. Quando la modalità CGI è attivata, i server web analizzano le richieste HTTP e le inoltrano agli script PHP per l’elaborazione. Tuttavia, in questa modalità, gli attributi vengono estratti dall’URL e passati come argomenti all’eseguibile PHP (php.exe su Windows), introducendo potenziali rischi elevati per la sicurezza.

Sebbene PHP-CGI debba eliminare i metacaratteri della shell (come trattini, doppi trattini, il simbolo “&” e il segno “=”) prima dell’elaborazione, esiste comunque la possibilità che gli aggressori possano aggirare questo processo di pulizia, aprendo la strada a vulnerabilità di Command Injection. Un esempio significativo è rappresentato dallo sfruttamento di CVE-2012-1823. Inoltre, le continue sfide legate alla codifica dei caratteri offrono agli aggressori ulteriori opportunità per eseguire attacchi XSS e SQL.

In questa variante dell’attacco, i malintenzionati usano il trattino breve (0xAD) al posto del trattino standard (0x2D) per avviare direttive PHP, ottenendo così l’esecuzione di codice da remoto (RCE). Questo accade perché Windows utilizza il set di caratteri UCS-2, che converte tutti i caratteri nel corrispondente punto di codice UCS-2 e applica una conversione “best-fit”. Nel contesto della vulnerabilità CVE-2024-4577, questa conversione trasforma i trattini brevi in trattini standard. Di conseguenza, un aggressore può iniettare argomenti nel processo php.exe, anteponendo ed eseguendo il corpo della richiesta HTTP stessa. Questo avviene aggiungendo il comando “-d allow_url_include=1 -d auto_prepend_file=php://input” alla stringa HTTP-GET, utilizzando trattini brevi codificati in URL. I trattini brevi sono caratteri UTF-8 generalmente invisibili, utilizzati per indicare possibili interruzioni di parola; tuttavia, grazie alla conversione “best-fit” di Windows, vengono interpretati come flag della riga di comando.

Nel 2025, CVE-2024-4577 sarà sfruttato a livello globale

Secondo alcuni rapporti pubblicati a marzo 2025, gli attacchi che sfruttano la vulnerabilità CVE-2024-4577 sono in aumento e sempre più diffusi. È stato scoperto che a gennaio 2025, attori malevoli hanno preso di mira organizzazioni giapponesi nei settori della tecnologia, delle telecomunicazioni, dell’istruzione, dell’intrattenimento e dell’e-commerce. Sfruttando questa vulnerabilità, gli aggressori hanno ottenuto l’accesso iniziale ai sistemi delle vittime, installato plugin come “TaoWu” di Cobalt Strike e modificato le chiavi di registro di Windows per garantire un accesso permanente tramite attività pianificate.

Un ulteriore rapporto di Greynoise indica che lo sfruttamento di CVE-2024-4577 tramite attacchi di mass exploitation si è esteso a obiettivi negli Stati Uniti, Regno Unito, Singapore, Indonesia, Taiwan, Hong Kong, India, Spagna e Malesia. La Germania e la Cina sono state identificate come le principali fonti di attacchi, rappresentando il 43% del totale. La rete globale di honeypot di GreyNoise ha rilevato oltre 1.089 indirizzi IP unici che tentavano di sfruttare questa vulnerabilità solo nel gennaio 2025 e ha identificato 79 kit di exploit pubblicamente disponibili. La società di sicurezza informatica avverte che il volume degli attacchi è in veloce aumento, alimentato da scansioni automatizzate, e segnala una minaccia informatica in rapida escalation.

Mitigazione di CVE-2024-4577

CVE-2024-4577 interessa tutte le versioni di PHP di Windows precedenti a 8.1.29, 8.2.20 e 8.3.8, includendo anche le versioni obsolete come PHP 5 e PHP 7, ormai giunte al termine del loro ciclo di vita. La soluzione ottimale per affrontare questa vulnerabilità è l’aggiornamento immediato a una versione corretta di PHP. Qualora l’aggiornamento immediato non fosse possibile, si consiglia di disabilitare l’esecuzione in modalità PHP-CGI in favore di PHP-FPM (FastCGI Process Manager). In alternativa, l’implementazione di un Web Application Firewall (WAF) può aiutare a filtrare e bloccare i tentativi di exploit.

È inoltre importante che gli amministratori di sistema PHP siano consapevoli dei rischi aggiuntivi associati all’uso della modalità CGI e adottino le misure necessarie per garantire una sicurezza ottimale.

Greenbone ha implementato test di vulnerabilità (VT) per identificare i sistemi interessati da CVE-2024-4577 sin dalla sua pubblicazione a giugno 2024.

Questi strumenti di rilevamento precoce permettono ai professionisti della sicurezza di individuare sistemi vulnerabili sia nelle reti pubbliche che in quelle interne. I test di Greenbone includono sia il riconoscimento delle versioni remote [1][2] , sia controlli attivi[3].

Per riassumere

CVE-2024-4577 è una vulnerabilità critica che interessa le installazioni di PHP su Windows, consentendo l’esecuzione di codice remoto (RCE). Questa falla è stata sfruttata entro 48 ore dalla sua divulgazione, con attacchi che hanno distribuito il ransomware TellYouThePass. Rapporti di Cisco e Greynoise indicano un aumento globale dello sfruttamento di CVE-2024-4577, con diverse segnalazioni da parte di CERT nazionali. Per proteggere le infrastrutture, i responsabili della sicurezza devono individuare i prodotti vulnerabili e aggiornare immediatamente PHP alle versioni corrette (8.1.29, 8.2.20 o 8.3.8). In alternativa, possono disabilitare PHP-CGI o passare a PHP-FPM (FastCGI Process Manager).

Contatto Prova Ora Acquista Torna alla Panoramica

/da
Joseph Lee

Threat Report febbraio 2025: minacce latenti

Le minacce informatiche si stanno evolvendo rapidamente, ma le vulnerabilità sfruttate dagli attaccanti rimangono pressoché invariate. Per il 2025, molti analisti hanno fornito una retrospettiva sul 2024 e una previsione per l’anno a venire. Gli attacchi informatici diventano sempre più costosi per le aziende, ma le cause restano invariate. Il phishing [T1566] e lo sfruttamento di vulnerabilità software note [T1190] continuano a essere le principali minacce. È interessante notare che gli attaccanti stanno diventando sempre più veloci nel trasformare le informazioni pubbliche in armi, convertendo le rivelazioni di CVE (Common Vulnerabilities and Exposures) in codice exploit utilizzabile nel giro di pochi giorni o addirittura ore. Una volta penetrati nella rete di una vittima, gli aggressori eseguono i loro obiettivi con maggiore rapidità nella seconda fase, implementando il ransomware in tempi molto brevi.

In questo Threat Report, analizziamo le recenti rivelazioni sul gruppo ransomware Black Basta e le misure di protezione offerte da Greenbone. Esamineremo inoltre un rapporto di GreyNoise sullo sfruttamento di massa delle vulnerabilità, una nuova falla critica nella Zimbra Collaboration Suite e le minacce emergenti per i dispositivi di edge networking.

L’era delle tecnologie sismiche

Se le crisi di sicurezza informatica sono paragonabili a terremoti, l’ecosistema tecnologico globale rappresenta le placche tettoniche sottostanti. Questo sistema può essere efficacemente descritto come il corrispettivo informatico del periodo Paleozoico nella storia geologica terrestre. Le dinamiche competitive e le spinte innovative del mercato esercitano pressioni contrastanti sull’infrastruttura della cybersecurity, simili alle forze che portarono alla collisione dei supercontinenti di Pangea. Queste sollecitazioni continue generano “scosse” ricorrenti che provocano riassestamenti strutturali permanenti, modificando radicalmente il panorama della sicurezza digitale.

I nuovi paradigmi informatici come l’IA generativa e l’informatica quantistica offrono vantaggi significativi ma comportano anche rischi considerevoli. La corsa all’accesso ai dati personali sensibili da parte di governi e giganti tecnologici amplifica i rischi per la privacy e la sicurezza dei cittadini. L’impatto di queste lotte tecnologiche sulla sfera privata, la sicurezza e non da ultimo la società, è profondo e multiforme. Ecco alcune delle forze principali che destabilizzano attualmente la sicurezza informatica:

  • L’evoluzione rapida delle tecnologie guida l’innovazione e impone cambiamenti tecnologici continui.
  • Le aziende si trovano costrette ad adattarsi sia per la svalutazione di tecnologie e standard obsoleti, sia per mantenere la propria competitività sul mercato.
  • La concorrenza serrata accelera lo sviluppo dei prodotti e accorcia i cicli di rilascio.
  • L’obsolescenza programmata si è affermata come strategia aziendale per generare maggiori profitti.
  • La diffusa mancanza di responsabilità da parte dei fornitori di software ha portato a privilegiare le prestazioni rispetto al principio “Security First”.
  • Inoltre, gli stati nazionali impiegano tecnologie avanzate per condurre operazioni di guerra cibernetica, guerra dell’informazione e guerra elettronica.

Grazie a queste forze, i criminali informatici ben equipaggiati e organizzati trovano un numero praticamente illimitato di falle di sicurezza da sfruttare. Il Paleozoico è durato 300 milioni di anni; speriamo di non dover attendere altrettanto affinché i produttori di prodotti dimostrino responsabilità e adottino principi di progettazione sicura [1][2][3] per prevenire i cosiddetti punti deboli “imperdonabili” causati dalla negligenza [4][5]. Le aziende devono quindi sviluppare una flessibilità tecnica e implementare programmi efficienti per la gestione delle patch. Una gestione continua e prioritaria delle vulnerabilità è imprescindibile.

Greenbone contro Black Basta

I log di chat interni trapelati del gruppo ransomware Black Basta offrono uno sguardo senza precedenti sulle tattiche e i processi operativi del gruppo. La pubblicazione di questi verbali, attribuita a un individuo noto come “ExploitWhispers”, sarebbe una ritorsione contro gli attacchi controversi di Black Basta alle banche russe, che avrebbero scatenato conflitti interni al gruppo. Dall’inizio delle sue attività nell’aprile 2022, Black Basta ha dimostrato di essere un attore di spicco nel panorama del cybercrime, accumulando oltre 100 milioni di dollari in pagamenti di riscatto da più di 300 vittime a livello globale. Un’analisi approfondita dei documenti trapelati ha rivelato riferimenti a 62 CVE che illustrano le strategie del gruppo per sfruttare vulnerabilità note. Greenbone dispone di test di rilevamento per 61 di questi CVE, coprendo così il 98% delle vulnerabilità menzionate.

Il report di GreyNoise sullo sfruttamento massivo delle vulnerabilità

Gli attacchi di mass-exploitation sono operazioni automatizzate che prendono di mira i servizi di rete accessibili via Internet. Questo mese, GreyNoise ha pubblicato un rapporto dettagliato che analizza il panorama delle mass-exploitation, evidenziando i 20 principali CVE attaccati dalle botnet più estese (in termini di IP univoci) e i fornitori dei prodotti più frequentemente presi di mira. Inoltre, elenca i principali CVE inseriti nel catalogo KEV (Known Exploited Vulnerabilities) della CISA sfruttati dalle botnet Il Greenbone Enterprise Feed offre test di riconoscimento per l’86% di tutti i CVE (86 in tutto) menzionati nel report. Se si considerano solo CVE pubblicati nel 2020 o successivamente (66 in totale), il nostro Enterprise Feed ne copre il 90%.

Inoltre:

  • Il 60% dei CVE sfruttati negli attacchi di massa sono stati pubblicati nel 2020 o successivamente.
  • Gli attaccanti sono sempre più veloci nello sfruttare le nuove vulnerabilità, iniziando ad utilizzarle entro poche ore dalla loro pubblicazione.
  • Il 28% delle vulnerabilità presenti nel catalogo KEV della CISA viene attivamente sfruttato dai gruppi ransomware.

La Zimbra Collaboration Suite

Il CVE-2023-34192 (CVSS 9.0) è una vulnerabilità di cross-site scripting (XSS) critica nella Zimbra Collaboration Suite (ZCS) versione 8.8.15. Questa falla permette a un attaccante autenticato remoto di eseguire codice arbitrario attraverso uno script manipolato indirizzato alla funzione “/h/autoSaveDraft”. La CISA ha incluso il CVE-2023-34192 nel suo catalogo KEV, indicando che la vulnerabilità è stata attivamente sfruttata in attacchi reali. Il codice exploit PoC (Proof of Concept) è disponibile pubblicamente, rendendo possibile anche agli aggressori meno esperti di sfruttare la vulnerabilità. Fin dalla sua scoperta nel 2023, il CVE-2023-34192 ha mantenuto un punteggio EPSS molto elevato. Per i difensori che utilizzano l’EPSS (Exploit Prediction Scoring System) per prioritizzare le azioni correttive, questo implica la necessità di applicare patch con la massima urgenza.

Zimbra Collaboration Suite (ZCS) è una piattaforma open source per applicazioni da ufficio che combina e-mail, calendari, contatti, gestione delle attività e strumenti di collaborazione. Ciononostante, ZCS detiene una quota di mercato di nicchia, rappresentando meno dell’1% di tutte le piattaforme di posta elettronica e messaggistica.

Vivere sul filo del rasoio: vulnerabilità critiche nei dispositivi di rete

Nel nostro threat report mensile, abbiamo evidenziato la persistente vulnerabilità dei dispositivi di rete edge. All’inizio del mese, abbiamo documentato le gravi conseguenze derivanti dai modelli di router e firewall Zyxel giunti a fine ciclo di vita. In questa sezione, esaminiamo i nuovi rischi per la sicurezza che rientrano nella categoria “Edge Networking”. È importante sottolineare che Greenbone offre capacità di rilevamento per tutti i CVE discussi di seguito.

Hacker cinesi sfruttano PAN-OS di Palo Alto per attacchi ransomware

Il CVE-2024-0012 (CVSS 9.8), una vulnerabilità scoperta in Palo Alto PAN-OS nel novembre 2023, si è affermata come una delle più sfruttate del 2024. Fonti attendibili riportano che attori di minacce cinesi, presumibilmente supportati dal governo, stanno sfruttando questa falla per orchestrare attacchi ransomware. Recentemente, è emersa un’altra grave vulnerabilità che affligge PAN-OS: CVE-2025-0108 (CVSS 9.1). Annunciata questo mese, la CISA l’ha immediatamente classificata come attivamente sfruttata. Questa falla permette di aggirare l’autenticazione nell’interfaccia di gestione web. Particolarmente preoccupante è la possibilità di combinarla con CVE-2024-9474 (CVSS 7.2), una vulnerabilità distinta che consente l’escalation dei privilegi, consentendo a un attaccante non autenticato di ottenere il controllo completo sui file root di un dispositivo PAN-OS non aggiornato.

SonicWall corregge una vulnerabilità critica attivamente sfruttata in SonicOS

CVE-2024-53704, una vulnerabilità critica negli apparecchi SonicWall è stata recentemente inclusa nel catalogo KEV della CISA. Sorprendentemente, la CISA ha segnalato che questa è solo una delle otto vulnerabilità legate a SonicWall attivamente sfruttate negli attacchi ransomware. La nuova minaccia CVE-2024-53704 (CVSS 9.8) è una vulnerabilità creata da un meccanismo di autenticazione non pulito [CWE-287] in SSLVPN delle versioni SonicOS 7.1.1-7058 e precedenti, 7.1.2-7019 e 8.0.0-8035 di SonicWall. Consente agli aggressori di bypassare l’autenticazione e dirottare le sessioni VPN SSL attive, ottenendo potenzialmente l’accesso non autorizzato alla rete. Un’analisi tecnica completa è disponibile su BishopFox. Un Security Advisory di SonicWall menziona anche altri CVE ad alta gravità in SonicOS che sono stati patchati insieme a CVE-2024-53704.

CyberoamOS e firewall XG di Sophos a fine vita attivamente sfruttati

Il fornitore di sicurezza Sophos, che ha acquisito Cyberoam nel 2014, ha emesso un avviso e una patch per CVE-2020-29574. CyberoamOS fa parte dell’ecosistema dei prodotti Sophos. Oltre a questo CVE, anche il Sophos XG Firewall, che sta per scadere, è oggetto di un avviso di possibile sfruttamento attivo.

  • CVE-2020-29574 (CVSS 9.8 ): una vulnerabilità critica di SQL Injection [CWE-89] rilevata nell’interfaccia WebAdmin delle versioni CyberoamOS fino al 4 dicembre 2020. Questa falla consente agli aggressori non autenticati di eseguire da remoto istruzioni SQL arbitrarie, con la possibilità di ottenere l’accesso amministrativo completo al dispositivo. È stata rilasciata una patch hotfix che si applica anche a determinati prodotti End-of-Life (EOL) interessati.
  • CVE-2020-15069 (CVSS 9.8) è una vulnerabilità critica di overflow del buffer che colpisce le versioni di Sophos XG Firewall da 17.x a v17.5 MR12. Questa falla consente l’esecuzione di codice remoto (RCE) non autenticata attraverso la funzione di segnalibro HTTP/S per l’accesso clientless. Sebbene pubblicata nel 2020, la vulnerabilità è ora oggetto di sfruttamento attivo ed è stata inclusa nel catalogo KEV della CISA, indicando un incremento del rischio associato. In risposta alla scoperta della vulnerabilità nel 2020, Sophos ha prontamente emesso un avviso e rilasciato un hotfix per i firewall interessati. È importante notare che le appliance hardware della serie XG raggiungeranno la fine del loro ciclo di vita (EOL) il 31 marzo 2025.

Escalation di privilegi e bypass dell’autenticazione in Fortinet FortiOS e FortiProxy

Fortinet ha reso nota l’esistenza di due vulnerabilità critiche che interessano FortiOS e FortiProxy. In risposta il Canadian Center for Cybersecurity e il Belgian Center for Cybersecurity hanno emesso degli avvisi. Fortinet ha confermato che CVE-2024-55591 è oggetto di sfruttamento attivo e ha rilasciato una guida ufficiale contenente informazioni dettagliate sulle versioni colpite e sugli aggiornamenti raccomandati.

  • CVE-2024-55591 (CVSS 9.8 ): una vulnerabilità di bypass dell’autenticazione che sfrutta un percorso o canale alternativo [CWE-288] in FortiOS. Questa falla permette a un attaccante remoto di ottenere privilegi di super amministratore attraverso richieste appositamente create al modulo Node.js Websocket. La disponibilità di molteplici exploit (PoC) [1][2] incrementa significativamente il rischio di sfruttamento, rendendo la vulnerabilità accessibile anche ad aggressori con minori competenze tecniche.
  • CVE-2024-40591 (CVSS 8.8 ): permette a un amministratore autenticato con autorizzazioni Security Fabric di elevare i propri privilegi a super amministratore. Questo avviene collegando il dispositivo FortiGate bersaglio a un FortiGate upstream compromesso sotto il controllo dell’attaccante.

Vulnerabilità Cisco come vettori di accesso iniziale negli attacchi a Telekom

Negli ultimi mesi, il gruppo di spionaggio cinese Salt Typhoon ha regolarmente sfruttato almeno due vulnerabilità critiche nei dispositivi Cisco IOS XE per ottenere un accesso permanente alle reti di telecomunicazione. Le vittime includono ISP italiani, una società di telecomunicazioni sudafricana e una grande azienda thailandese, oltre a dodici università in tutto il mondo, tra cui l’UCLA, l’Universitas Negeri Malang indonesiana e l’UNAM messicana. In passato, Salt Typhoon aveva già preso di mira almeno nove società di telecomunicazioni statunitensi, tra cui Verizon, AT&T e Lumen Technologies. Secondo le autorità statunitensi, l’obiettivo principale del gruppo è la sorveglianza di persone di alto rango, personalità politiche e funzionari legati agli interessi politici cinesi.

I CVE sfruttati da Salt Typhoon includono:

  • CVE-2023-20198 (CVSS 10 ): una vulnerabilità di estensione dei privilegi nell’interfaccia web di Cisco IOS XE. Questa falla viene utilizzata per ottenere l’accesso iniziale, consentendo agli aggressori di creare un account amministratore.
  • CVE-2023-20273 (CVSS 7.2 ): un altro punto debole che facilita l’estensione dei privilegi. Dopo aver ottenuto l’accesso come amministratore, questa vulnerabilità viene sfruttata per ampliare l’accesso privilegiato ai file root e configurare un tunnel GRE (Generic Routing Encapsulation) per garantire una permanenza duratura nella rete.

Inoltre, nel febbraio 2025 sono stati resi noti altri due CVE nei prodotti Cisco:

  • CVE-2023-20118 (CVSS 7.2 ): una vulnerabilità di Command Injection nell’interfaccia di gestione basata sul web dei router Cisco Small Business consente agli aggressori autenticati e remoti di eseguire qualsiasi comando con privilegi di root inviando richieste http manipolate.
  • La CISA ha incluso CVE-2023-20118 nel suo catalogo RIC, suggerendo che la vulnerabilità è attivamente sfruttata.
  • CVE-2023-20026 (CVSS 7.2 ): una vulnerabilità di Command Injection nell’interfaccia di gestione basata sul web dei router Cisco Small Business serie RV042 consente agli aggressori remoti autenticati con credenziali amministrative valide di eseguire qualsiasi comando sul dispositivo.
  • La vulnerabilità è dovuta a una convalida impropria degli input dell’utente nei pacchetti http in entrata. Sebbene non sia noto che CVE-2023-20026 venga sfruttato nelle campagne attive, il Product Security Incident Response Team (PSIRT) di Cisco è a conoscenza che esiste un codice di exploit PoC per questa vulnerabilità.

Ivanti corregge quattro vulnerabilità critiche

Sono state identificate quattro vulnerabilità critiche che colpiscono Ivanti Connect Secure (ICS), Policy Secure (IPS) e Cloud Services Application (CSA). Al momento, non sono state riportate evidenze di attacchi attivi in natura o di exploit Proof of Concept. Ivanti raccomanda vivamente agli utenti di procedere immediatamente all’aggiornamento alle versioni più recenti per mitigare queste gravi falle di sicurezza.

Ecco un breve riassunto tecnico:

  • CVE-2025-22467 (CVSS 8.8): un overflow del buffer basato su stack [CWE-121] nelle versioni ICS antecedenti alla 22.7R2.6 permette agli aggressori autenticati di ottenere l’esecuzione di codice remoto (RCE).
  • CVE-2024-38657 (CVSS 9.1): un controllo esterno del nome del file nelle versioni ICS precedenti alla 22.7R2.4 e IPS precedenti alla 22.7R1.3 consente agli aggressori autenticati di scrivere file arbitrari.
  • CVE-2024-10644 (CVSS 9.1): una vulnerabilità di code injection in ICS (pre-22.7R2.4) e IPS (pre-22.7R1.3) permette agli amministratori autenticati di eseguire qualsiasi RCE.
  • CVE-2024-47908 (CVSS 7.2): una falla di Command Injection del sistema operativo [CWE-78] nella console web di amministrazione di CSA (versioni precedenti alla 5.0.5) consente agli amministratori autenticati di eseguire qualsiasi RCE.

Per riassumere

Il Threat Report di febbraio 2025 evidenzia sviluppi significativi nel panorama della cybersecurity, focalizzandosi sulle tattiche in rapida evoluzione di gruppi ransomware come Black Basta e sulla persistente minaccia critica ai dispositivi di rete edge. Potenziati da strumenti di intelligenza artificiale, gli aggressori sfruttano le vulnerabilità con crescente rapidità, talvolta entro poche ore dalla loro scoperta. Per contrastare queste minacce emergenti, le aziende devono mantenere un alto livello di vigilanza, implementando misure di sicurezza proattive, aggiornando costantemente le proprie difese e utilizzando efficacemente i dati sulle minacce per anticipare i nuovi vettori di attacco.

Contatto Prova Ora Acquista Torna alla Panoramica

/da
Joseph Lee

Zyxel sotto assedio: router EOL scatenano ondata di ransomware

I prodotti tecnologici hanno inevitabilmente un ciclo di vita limitato, ma la gestione della fine del supporto (EOL/EOS) da parte dei fornitori spesso lascia i clienti in una posizione vulnerabile, con preavvisi brevi e senza alcun diritto di recesso. Quando un produttore dichiara un articolo End-of-Life (EOL) o End-of-Service (EOS), gestire i rischi associati diventa più complicato. Tali rischi si intensificano quando i cybercriminali identificano e sfruttano vulnerabilità che non sono mai state eliminate tramite patch. In particolare, quando un prodotto EOL diventa vulnerabile, gli utenti si trovano costretti ad adottare ulteriori controlli di sicurezza per proteggere i propri sistemi.

La situazione diventa particolarmente critica e può sfociare in una vera e propria “tempesta perfetta” se emerge che il fornitore continua a vendere prodotti EOL con vulnerabilità note, esponendo i clienti a rischi significativi. In questo articolo esamineremo diversi avvisi di sicurezza riguardanti i prodotti Zyxel, compresi alcuni classificati come EOL (End-of-Life), e una vulnerabilità sfruttata negli attacchi ransomware.

Recenti falle di sicurezza nei prodotti Zyxel

Il CVE-2024-40891 è una grave vulnerabilità di tipo command injection nell’implementazione Telnet di alcuni dispositivi CPE (Customer Premises Equipment) Zyxel, nota dal 2024. Nei sei mesi successivi alla scoperta, Zyxel non ha rilasciato alcuna patch per risolvere il problema. L’azienda ha confermato che non verranno forniti aggiornamenti di sicurezza, poiché i dispositivi interessati “sono prodotti legacy che hanno raggiunto la fine del ciclo di vita (EOL)”. All’inizio del 2025, GreyNoise ha riportato lo sfruttamento attivo del CVE-2024-40891 contro dispositivi di rete CPE Zyxel vulnerabili. A metà febbraio 2025, questo CVE e il CVE-2024-40890 (CVSS 8.8) sono stati inseriti nella lista KEV (Known Exploited Vulnerabilities) della CISA (Cybersecurity and Infrastructure Security Agency). Mentre i primi due CVE rappresentavano vulnerabilità RCE post-autenticazione, il nuovo CVE-2025-0890 (CVSS 9.8), pubblicato il 4 febbraio, ha completato il quadro critico. Questo CVE evidenzia l’uso di credenziali predefinite estremamente deboli per i servizi accessibili da remoto, combinate con l’assenza di crittografia nel processo di autenticazione Telnet.

I ricercatori di VulnCheck, che inizialmente avevano scoperto le vulnerabilità, hanno evidenziato che il produttore continua a vendere dispositivi vulnerabili pur essendo al corrente che le falle di sicurezza sono sfruttate in modo attivo, senza alcuna intenzione di rilasciare patch. Il 25 febbraio 2025, alcuni dei prodotti interessati risultavano ancora in vendita sul negozio ufficiale Zyxel di Amazon[1][2]. In più, un’ulteriore falla di sicurezza nei prodotti Zyxel (CVE-2024-11667), è stata sfruttata attivamente per sferrare attacchi ransomware Helldown.

Nel settore delle telecomunicazioni, Zyxel detiene una quota di mercato stimata al 4,19% e serve circa 2.277 aziende, inclusi alcuni dei più grandi giganti tecnologici mondiali. Con sede a Hsinchu Science Park, Taiwan, il gruppo Zyxel è fornitore leader di soluzioni di rete per imprese e privati e opera in oltre 150 paesi in tutto il mondo.

Cronologia degli eventi:

  • 13/07/2024: VulnCheck informa Zyxel circa la presenza di falle di sicurezza nei prodotti della serie CPE.
  • 31/07/2024: VulnCheck pubblica sul suo blog informazioni relative al CVE-2024-40890 e CVE-2024-408911.
  • 28/01/2025: GreyNoise segnala lo sfruttamento attivo del CVE-2024-40891.
  • 03/02/2025: VulnCheck pubblica ulteriori informazioni che sottolineano il rischio derivante dalla posizione di Zyxel e fornisce prove che il fornitore continua a vendere online i dispositivi vulnerabili.
  • 04/02/2025: Zyxel pubblica un avviso di sicurezza che identifica i prodotti interessati come EOL e afferma che non verranno più aggiornati.

Descrizioni tecniche delle ultime vulnerabilità di Zyxel

Oltre ai lunghi tempi di risposta di Zyxel nei confronti dei ricercatori di sicurezza e alla decisione dell’azienda di continuare a vendere prodotti vulnerabili, la valutazione tecnica delle vulnerabilità ci permette di trarre alcune conclusioni. In particolare spicca il fatto che alcuni fornitori continuino a commercializzare prodotti con falle di sicurezza inaccettabili, evitando così di assumersi la responsabilità.

  • CVE-2024-40891 (CVSS 8.8 High): gli utenti autenticati possono sfruttare un’iniezione di comando Telnet a causa di una convalida inadeguata dell’input nella libreria `libcms_cli.so`. I comandi vengono inviati senza verifica a una funzione di esecuzione della shell, che l’esecuzione di qualsiasi codice RCE. Pur controllando se la stringa inizia con un comando autorizzato, la funzione `prctl_runCommandInShellWithTimeout` non applica ulteriori filtri, permettendo il concatenamento e l’inserimento di comandi arbitrari.
  • CVE-2024-40890 (CVSS 8.8 High): una vulnerabilità di Post-Authentication Command Injection nel programma CGI del DSL legacy Zyxel VMG4325-B10A Firmware Version 1.00(AAFR.4)C0_20170615 potrebbe consentire a un utente malintenzionato autenticato di eseguire comandi del sistema operativo su un dispositivo interessato inviando una richiesta http post manomessa.
  • CVE-2025-0890 (CVSS 9.8 Critical): l’uso di credenziali standard deboli come “admin:1234”, “zyuser:1234” e “supervisor:zyad1234” nei dispositivi Zyxel CPE rappresenta una grave vulnerabilità di sicurezza. Queste credenziali e i relativi account, sebbene non visibili tramite l’interfaccia web, sono facilmente accessibili nel file /etc/default.cfg del dispositivo, rendendoli noti agli aggressori. Gli account “supervisor” e “zyuser” possono accedere ai dispositivi da remoto tramite Telnet, dove “supervisor” gode di diritti nascosti per l’accesso completo al sistema e “zyuser” può sfruttare la vulnerabilità CVE-2024-40891 per eseguire codice arbitrario (RCE). Questa pratica viola principi di sicurezza fondamentali come l’obbligo CISA “Secure by Design” e il futuro Cyber Resilience Act (CRA) dell’UE

I prodotti Zyxel interessati comprendono la serie VMG1312-B (VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A) e due router della serie Zyxel Business Gateway (SBG3300 e SBG3500). I dispositivi della serie Zyxel CPE (Customer Premises Equipment) sono progettati per connettere a Internet abitazioni private e piccole imprese, fungendo da gateway per vari tipi di connessione come DSL, fibra ottica e wireless. Solitamente sono installati presso il cliente, consentono il collegamento alla rete dell’Internet Service Provider (ISP) e per loro natura non sono protetti da un firewall esterno. Considerando che i CPE Zyxel sono molto diffusi e che possono presentare vulnerabilità, è plausibile pensare che un numero significativo di questi dispositivi possa essere coinvolto in attività botnet dannose.

Greenbone è in grado di rilevare i dispositivi Zyxel EOL che presentano vulnerabilità come specificato nei CVE elencati in precedenza.

CVE-2024-11667: firewall Zyxel sfruttati per attacchi ransomware

Il CVE-2024-11667 (CVSS 9.8 Critical), pubblicato a fine dicembre 2024, rappresenta un errore di tipo Path-Traversal [CWE-22] individuato nella console di gestione web delle serie di firewall Zyxel ATP e USG Flex. Questa vulnerabilità è nota per essere sfruttata dal gruppo di minacce Helldown in attacchi ransomware, ed è stata oggetto di numerosi avvisi di sicurezza informatica nazionali[1][2].

Il gruppo ransomware Helldown è noto dall’agosto 2024 come importante attore di minacce nel panorama della sicurezza informatica. La sua strategia si basa su una doppia estorsione: prima esfiltra dati sensibili dalle organizzazioni bersaglio, poi utilizza il ransomware per crittografare i sistemi delle vittime. In caso di mancato pagamento del riscatto, Helldown minaccia di pubblicare i dati sottratti sul proprio sito Data Leak. Helldown non si limita a sfruttare le vulnerabilità dei dispositivi Zyxel, ma è noto anche per colpire sistemi operativi Windows, ambienti VMware ESX e Linux. Spesso, il gruppo utilizza credenziali VPN compromesse per muoversi lateralmente all’interno delle reti target.

Zyxel ha effettivamente pubblicato un avviso riguardante gli attacchi ransomware e ha rilasciato patch per i prodotti interessati dalle vulnerabilità. Greenbone è in grado di rilevare i dispositivi Zyxel interessati dal CVE-2024-11667 attraverso tre test distinti di riconoscimento delle versioni, specifici per ciascun prodotto colpito[1][2][3].

Per riassumere

Quanto accaduto a Zyxel rappresenta effettivamente una “tempesta perfetta” nel campo della sicurezza informatica e solleva importanti questioni circa le opzioni a disposizione dei clienti quando un fornitore non chiude una falla di sicurezza. I dispositivi di rete Zyxel a fine vita (EOL) continuano a essere bersaglio di attacchi attivi che sfruttano vulnerabilità che, se combinate, possono portare a gravi compromissioni come l’esecuzione remota di codice (RCE) non autorizzata. La gravità della situazione è evidenziata dall’inclusione di CVE-2024-40891, CVE-2024-40890 e CVE-2025-0890 nella lista KEV della CISA, mentre il CVE-2024-11667 è collegato direttamente ad attacchi ransomware. I ricercatori di VulnCheck, che hanno scoperto numerose vulnerabilità simili, hanno mosso critiche a Zyxel per la comunicazione inadeguata e la continua vendita di dispositivi EOL privi di patch. In risposta a questa situazione critica, Greenbone offre una soluzione proattiva. L’azienda ha sviluppato strumenti in grado di rilevare i prodotti Zyxel vulnerabili, consentendo agli utenti di adottare un approccio preventivo alla gestione delle vulnerabilità.

Contatto Prova Ora Acquista Torna alla Panoramica

/da
Joseph Lee

Quali sono gli stakeholder e i ruoli del CSAF 2.0

Il Common Security Advisory Framework (CSAF) è un sistema progettato per fornire avvisi di sicurezza leggibili dalle macchine attraverso un processo standardizzato che facilita la condivisione automatizzata delle informazioni sulla sicurezza informatica. Greenbone sta attivamente lavorando per integrare tecnologie basate sullo standard CSAF 2.0 con l’obiettivo di automatizzare gli avvisi di sicurezza informatica. Per un’introduzione a CSAF 2.0 e una panoramica dei benefici che apporta alla gestione delle vulnerabilità, ti invitiamo a consultare il nostro .

Nel 2024, l’interruzione del NIST National Vulnerabilities Database (NVD)  ha di dati critici verso i consumatori a valle, sottolineando la necessità di soluzioni più resilienti e distribuite. Il modello CSAF 2.0 decentralizzato si dimostra particolarmente rilevante in questo contesto, offrendo un quadro di condivisione delle informazioni che elimina la dipendenza da un singolo punto di errore. Grazie alla sua capacità di aggregare dati da una varietà di fonti affidabili, CSAF 2.0 garantisce una continuità operativa e una maggiore affidabilità nella distribuzione degli avvisi di sicurezza.

Indice

1. Di cosa parleremo in questo articolo
2. Chi sono gli stakeholder di CSAF?
2.1. I ruoli nel protocollo CSAF 2.0
2.1.1. Soggetti emittenti di CSAF 2.0
2.1.1.1. Il ruolo di editore di CSAF
2.1.1.2. Il ruolo di fornitore di CSAF
2.1.1.3. Il ruolo di trusted-provider di CSAF
2.1.2. Aggregatori di dati CSAF 2.0
2.1.2.1. Il ruolo di lister CSAF
2.1.2.2. Il ruolo di aggregatore CSAF
3. Conclusione

1. Di cosa parleremo in questo articolo

Questo articolo vuole approfondire quali sono gli stakeholder e i ruoli definiti nella specifica CSAF 2.0, che governano i meccanismi di creazione, diffusione e consumo degli avvisi di sicurezza all’interno dell’ecosistema CSAF 2.0. Comprendere chi sono gli stakeholder di CSAF e come i ruoli standardizzati definiti dal framework influenzano l’intero ciclo di vita delle informazioni sulle vulnerabilità è essenziale per i professionisti della sicurezza. Questo approfondimento aiuterà a comprendere meglio come funziona CSAF, come può essere utile per la propria organizzazione e come implementarlo efficacemente nel contesto della gestione delle vulnerabilità.

2. Chi sono gli stakeholder di CSAF?

A livello generale, il processo CSAF coinvolge due principali gruppi di stakeholder: i produttori a monte, che creano e distribuiscono avvisi di sicurezza informatica nel formato CSAF 2.0, e i consumatori a valle (utenti finali), che utilizzano questi avvisi per implementare le informazioni di sicurezza in essi contenute.

I produttori a monte includono fornitori di software come Cisco, e Oracle responsabili della sicurezza dei loro prodotti digitali e della divulgazione pubblica delle vulnerabilità identificate. Tra gli stakeholder a monte si annoverano anche ricercatori indipendenti e agenzie pubbliche come la Cybersecurity and Infrastructure Security Agency (CISA) negli Stati Uniti e l’Ufficio federale tedesco per la sicurezza delle informazioni (BSI), che fungono da fonti autorevoli per l’intelligence sulla sicurezza informatica.

I consumatori a valle includono sia società private che gestiscono direttamente la propria sicurezza informatica, sia , ovvero fornitori esterni che offrono servizi di monitoraggio e gestione della sicurezza in outsourcing. A valle, i team di sicurezza IT utilizzano le informazioni contenute nei documenti CSAF 2.0 per individuare vulnerabilità nell’infrastruttura e pianificare interventi di mitigazione. Allo stesso tempo, i dirigenti aziendali sfruttano questi dati per comprendere come i rischi IT potrebbero sulle operazioni aziendali.

Diagramma che illustra i portatori di interesse del CSAF 2.0: i produttori a monte, come fornitori di software e enti pubblici, forniscono avvisi di sicurezza nel formato CSAF 2.0, utilizzati dai consumatori a valle, tra cui organizzazioni private, CERT governativi e provider di sicurezza.

Flusso CSAF 2.0 dai produttori a monte ai consumatori a valle per avvisi di sicurezza di base

Lo standard CSAF 2.0 definisce ruoli specifici per i produttori a monte che delineano la loro partecipazione alla creazione e alla diffusione di documenti informativi. Esaminiamo più in dettaglio questi ruoli ufficialmente definiti.

2.1. I ruoli nel protocollo CSAF 2.0

I ruoli CSAF 2.0 sono definiti nella sezione 7.2. Si dividono in due gruppi distinti: i soggetti emittenti (“emittenti”) e gli aggregatori di dati (“aggregatori”). Gli emittenti sono direttamente coinvolti nella creazione di documenti informativi. Gli aggregatori raccolgono i documenti CSAF e li distribuiscono agli utenti finali, facilitando l’automazione per i consumatori. Sebbene una singola organizzazione possa ricoprire sia il ruolo di Emittente che quello di Aggregatore, è importante che queste due funzioni operino come entità distinte.  Inoltre, le organizzazioni che agiscono come produttori a monte devono anche garantire la propria sicurezza informatica. Per questo motivo, possono svolgere il ruolo di consumatori a valle, utilizzando i documenti CSAF 2.0 per sostenere le proprie attività di gestione delle vulnerabilità.

Diagramma dei ruoli a monte nel protocollo CSAF 2.0: i soggetti emittenti (Producer, Provider, Trusted Provider) creano documenti, mentre gli aggregatori di dati (Lister, Aggregator) li raccolgono e distribuiscono ai consumatori a valle.

Diagramma che illustra la relazione tra i soggetti emittenti e gli aggregatori di dati CSAF 2.0.

Di seguito esaminiamo le responsabilità specifiche dei soggetti emittenti e degli aggregatori di dati CSAF 2.0.

2.1.1. Soggetti emittenti di CSAF 2.0

I soggetti emittenti sono responsabili della creazione degli avvisi di sicurezza informatica CSAF 2.0. Tuttavia, non sono responsabili per la trasmissione dei documenti agli utenti finali. Se i soggetti emittenti non desiderano che i loro avvisi vengano elencati o replicati dagli aggregatori di dati lo devono segnalare. Inoltre, i soggetti emittenti di CSAF 2.0 possono anche svolgere il ruolo di aggregatori di dati.

Di seguito le spiegazioni di ciascun ruolo secondario all’interno del gruppo dei soggetti emittenti:

2.1.1.1. Il ruolo di editore di CSAF

Gli editori sono generalmente organizzazioni che scoprono e comunicano avvisi esclusivamente per i propri prodotti digitali. Per adempiere al loro ruolo, gli editori devono rispettare i requisiti da 1 a 4 della sezione 7.1 della specifica CSAF 2.0. Questo implica la creazione di file strutturati con sintassi e contenuti validi, conformi alle convenzioni sui nomi dei file CSAF 2.0 descritte nella sezione 5.1, e la garanzia che i file siano accessibili solo tramite connessioni TLS crittografate. Inoltre, gli editori devono rendere pubblici tutti gli avvisi classificati come TLP:WHITE.

Gli editori devono inoltre mettere a disposizione del pubblico un documento provider-metadata.json contenente informazioni di base sull’organizzazione, sul suo stato di ruolo CSAF 2.0 e sui collegamenti a una chiave pubblica OpenPGP utilizzata per firmare digitalmente il documento provider-metadata.json e verificarne l’integrità. Queste informazioni vengono utilizzate da applicazioni software che, a valle, visualizzano gli avvisi dell’editore agli utenti finali.

2.1.1.2. Il ruolo di fornitore di CSAF

I fornitori rendono disponibili i documenti CSAF 2.0 alla comunità più ampia. Oltre a soddisfare gli stessi requisiti di un editore, un fornitore deve fornire il proprio file provider-metadata.json seguendo un metodo standardizzato (soddisfacendo almeno uno dei requisiti da 8 a 10 della sezione 7.1), utilizzare una distribuzione standardizzata per i suoi avvisi e implementare controlli tecnici per limitare l’accesso a qualsiasi documento informativo classificato come TLP:AMBER or TLP:RED.

I fornitori devono anche scegliere un metodo di distribuzione basato su directory o su ROLIE. In breve, la distribuzione basata su directory rende disponibili i documenti informativi all’interno di una normale struttura di percorsi di directory, mentre ROLIE (Resource-Oriented Lightweight Information Exchange) [RFC-8322] è un protocollo API RESTful progettato specificamente per automatizzare la sicurezza, la pubblicazione, la scoperta e la condivisione delle informazioni.

Se un fornitore utilizza la distribuzione basata su ROLIE, deve anche soddisfare i requisiti da 15 a 17 dalla sezione 7.1. In alternativa, se un fornitore utilizza la distribuzione basata su directory, deve rispettare i requisiti da 11 a 14 della sezione 7.1.

2.1.1.3. Il ruolo di trusted-provider di CSAF

I Trusted Provider sono una categoria speciale di provider CSAF che hanno raggiunto un elevato livello di fiducia e affidabilità. Devono rispettare rigorosi standard di sicurezza e qualità per garantire l’integrità dei documenti CSAF che emettono.

Oltre a soddisfare tutti i requisiti di un fornitore CSAF, i Trusted Provider devono anche rispettare i requisiti da 18 a 20 della sezione 7.1 della specifica CSAF 2.0. Questi requisiti comprendono la fornitura di un hash crittografico sicuro e di un file di firma OpenPGP per ciascun documento CSAF emesso, nonché la garanzia che la parte pubblica della chiave di firma OpenPGP sia resa pubblicamente disponibile.

2.1.2. Aggregatori di dati CSAF 2.0

Gli aggregatori di dati si occupano della raccolta e della ridistribuzione dei documenti CSAF. Funzionano come directory per gli emittenti CSAF 2.0 e i loro documenti informativi, fungendo da intermediari tra gli emittenti e gli utenti finali. Una singola entità può svolgere sia il ruolo di Lister che di aggregatore CSAF. Gli aggregatori di dati hanno la possibilità di scegliere quali avvisi degli editori upstream elencare, raccogliere e ridistribuire, in base alle esigenze dei loro clienti.

Di seguito la spiegazione di ciascun ruolo secondario all’interno del gruppo degli aggregatori di dati:

2.1.2.1. Il ruolo di lister CSAF

I lister raccolgono i documenti CSAF da più editori CSAF e li elencano in una posizione centralizzata per facilitarne il recupero. L’obiettivo di un lister è fungere da directory per gli avvisi CSAF 2.0, consolidando gli URL attraverso cui è possibile accedere ai documenti CSAF. Si presume che nessun lister fornisca un set completo di tutti i documenti CSAF.

I lister devono pubblicare un file aggregator.json valido che elenchi almeno due entità CSAF Provider separate. Sebbene un lister possa anche agire come parte emittente, non può elencare mirror che puntano a un dominio sotto il proprio controllo.

2.1.2.2. Il ruolo di aggregatore CSAF

Il ruolo di CSAF Aggregator rappresenta il punto finale di raccolta tra i documenti informativi CSAF 2.0 pubblicati e l’utente finale.  Gli aggregatori offrono una posizione in cui i documenti CSAF possono essere recuperati da strumenti automatizzati. Sebbene gli aggregatori agiscano come una fonte consolidata di avvisi di sicurezza informatica, simile al NIST NVD o al CVE.org di The MITRE Corporation, CSAF 2.0 adotta un modello decentralizzato, in contrasto con un approccio centralizzato. Gli aggregatori non sono obbligati a fornire un elenco completo di documenti CSAF di tutti gli editori. Inoltre, gli editori possono scegliere di offrire l’accesso gratuito al loro feed di consulenza CSAF o di operare come servizio a pagamento.

Analogamente ai lister, gli aggregatori devono rendere un file aggregator.json disponibile pubblicamente. Inoltre, i documenti CSAF di ciascun emittente con mirroring devono essere organizzati in una cartella dedicata separata, contenente anche il file provider-metadata.json dell’emittente. Per adempiere al loro ruolo, gli aggregatori devono rispettare i requisiti da 1 a 6 e da 21 a 23 della sezione 7.1 della specifica CSAF 2.0.

Gli aggregatori CSAF sono responsabili di verificare che ogni documento CSAF replicato abbia una firma valida (requisito 19) e un hash crittografico sicuro (requisito 18). Se il soggetto emittente non fornisce questi file, l’aggregatore deve generarli.

3. Conclusione

Comprendere gli stakeholder e i ruoli di CSAF 2.0 è fondamentale per implementare correttamente la specifica e sfruttare i vantaggi della raccolta e del consumo automatizzati di informazioni critiche sulla sicurezza informatica. CSAF 2.0 identifica due principali gruppi di stakeholder: i produttori a monte, responsabili della creazione di avvisi di sicurezza, e i consumatori a valle, che utilizzano queste informazioni per migliorare la sicurezza. I ruoli definiti includono i soggetti emittenti (editori, fornitori e fornitori di fiducia) che generano e distribuiscono avvisi, e gli aggregatori di dati (lister e aggregatori) che raccolgono e diffondono questi avvisi agli utenti finali.

I membri di ogni ruolo devono rispettare specifici controlli di sicurezza per garantire la trasmissione sicura dei documenti CSAF 2.0.  Inoltre, il Traffic Light Protocol (TLP) regola le modalità di condivisione dei documenti e definisce i controlli di accesso necessari per rispettare le autorizzazioni di distribuzione.

Contatto Prova Ora Acquista Torna alla Panoramica

/da
Greenbone AG

Stop ai crash di sistema: Greenbone protegge dagli attacchi DoS

Un servizio essenziale smette di funzionare, un’applicazione non risponde più o l’accesso al proprio sistema si blocca: ecco quello che può succedere durante un attacco DoS (Denial of Service). Gli attacchi DoS hanno un obiettivo chiaro e letale, ad esempio paralizzare le risorse digitali impedendo agli utenti di accedervi o provocare un crash totale. Le conseguenze possono essere molto gravi: da periodi di fermo a interruzioni del servizio fino a perdite economiche e rischi importanti per tutto l’ente o l’azienda.

Gli attacchi DoS sono ormai da molti anni e comportano conseguenze gravi per aziende, e . Si utilizzano anche in molto sofisticate o per ed estorcere loro del denaro. Ma cosa si nasconde dietro a questi attacchi e come proteggersi?

Una minaccia in costante crescita

Esistono vari modi per provocare un attacco Dos. Ad esempio, gli hacker possono usare un accesso non autorizzato e bloccare il sistema [T1529], oppure possono sfruttare falle nella logica dell’applicazione per mandare in crash il sistema da remoto o sovraccaricare la rete con traffico eccessivo per esaurire le risorse. Bloccare l’accesso agli account [T1531], distruggere i dati [T1485] o avviare un ransomware [T1486] sono altri metodi a disposizione per ostacolare ulteriormente il ripristino del sistema [T1490] o distrarre da altri attacchi chi è già impegnato nella difesa. Al contempo, il blocco dei servizi critici comporta un aumento delle vulnerabilità e nuovi attacchi informatici: se un antivirus smette di funzionare, i malware possono entrare indisturbati nella rete. Se i servizi di backup non funzionano, diventa impossibile ripristinare completamente il sistema dopo un attacco ransomware. Insomma: un circolo vizioso.

Spesso gli attacchi DoS sfruttano esposizioni già note

Spesso gli attacchi DoS sfruttano le vulnerabilità presenti nelle specifiche dei protocolli di rete, nelle implementazioni scorrette dei protocolli, nella logica errata delle applicazioni software o nelle configurazioni errate. Alcune falle a livello software che spianano la strada agli attacchi DoS sono:

  • Consumo di risorse fuori controllo
  • Buffer overflow
  • Memory leak
  • Gestione scorretta degli errori
  • Consumo asimmetrico di risorse (amplificazione)
  • Impossibilità di rilasciare una risorsa dopo l’uso

Quando i fornitori si accorgono di vulnerabilità del genere, si affrettano a creare delle patch. Ma solo gli utenti che le installano sono protetti. Scansionando le superfici della rete e dell’host che potrebbero subire un attacco, i responsabili IT possono conoscere il rischio di attacchi DoS e altri tipi di vulnerabilità. Una volta ricevuta l’informazione, chi difende può agire applicando gli aggiornamenti o modificando le configurazioni che presentano falle di sicurezza.

Tipologie di attacchi DoS

Gli attacchi DoS possono utilizzare una serie di tecniche diverse, ad esempio intasare le reti con traffico eccessivo, sfruttare le vulnerabilità dei software o manipolare funzioni a livello di applicazione. Capire il funzionamento e l’impatto potenziale degli attacchi DoS è essenziale affinché enti e aziende sviluppino strategie di difesa complete e riducano l’insorgere di questi problemi.

Le categorie principali di attacchi DoS comprendono:

  • Attacchi DoS volumetrici: gli attacchi DoS volumetrici sovraccaricano la banda di rete o le risorse di computazione come CPU e RAM con volumi elevati di traffico, impedendo così alla rete di svolgere la sua normale funzione.
  • Attacchi DoS a livello di applicazione e protocollo: questi attacchi si concentrano sulle vulnerabilità all’interno delle applicazioni software o dei protocolli di rete che potrebbero trovarsi in qualunque strato dello stack protocollare. Gli hacker sfruttano le falle nelle specifiche di protocollo, nella logica errata dell’applicazione e nelle configurazioni di sistema per destabilizzare o mandare in crash l’obiettivo.
  • Attacchi DoS di amplificazione: gli attacchi di amplificazione sfruttano protocolli specifici che generano una risposta maggiore rispetto alla richiesta iniziale. Gli hacker inviano query di piccole dimensioni al target che risponde con pacchetti grandi. Questa tattica amplifica di molto l’impatto sulla vittima che può arrivare a 100 volte le dimensioni della richiesta iniziale.
  • Attacchi DoS di riflessione: il cybercriminale invia una richiesta a un servizio, ma sostituisce l’indirizzo IP sorgente con quello della vittima. Il server invia quindi la risposta alla vittima, “riflettendo” come in uno specchio le richieste costruite dall’hacker. Di solito gli attacchi di riflessione fanno affidamento sull’UDP (User Datagram Protocol) a causa della sua natura priva di connessioni. Rispetto ai servizi TCP (Transmission Control Protocol), quelli UDP non verificano automaticamente l’indirizzo IP sorgente dei dati che ricevono.
  • Attacchi DoS delocalizzati (DDos): gli attacchi DDos sfruttano grandi gruppi di dispositivi compromessi (chiamati spesso ) per inviare quantità smisurate di traffico a un obiettivo. Le botnet sono composte da server web hackerati o router SOHO (Small Office, Home Office) sparsi in tutto il mondo e sono controllate a livello centrale da chi mette in atto la minaccia informatica. La natura delocalizzata degli attacchi DDoS li rende più difficile da mitigare perché il traffico nocivo proviene da numerosi indirizzi IP diversi. In questo modo diventa difficile distinguere gli utenti legittimi e impossibile bloccare il grande numero di indirizzi IP univoci delle botnet.

Greenbone contro i crash di sistema

Le agenzie governative di cybersecurity di tutti i paesi NATO, come , Stati Uniti e Canada segnalano che il vulnerability management è una priorità per difendersi dagli attacchi DoS. Greenbone scansiona le vulnerabilità note, aiutando così a escludere gli attacchi DoS e identificando anche i casi in cui l’errore umano contribuisce al problema rilevando configurazioni errate ed effettuando controlli dei benchmark CIS. Inoltre, Greenbone aggiorna ogni giorno i propri test di vulnerabilità e aiuta così a individuare le vulnerabilità più recenti che consentono agli attacchi DoS di andare a buon fine.

Greenbone comprende test di vulnerabilità nella categoria Denial of Service. Anche altri gruppi di test comprendono l’identificazione DoS come: database DoS test, web application DoS test, web server DoS test, Windows DoS test [1][2] e il rilevamento DoS specifico per molti prodotti di reti aziendali come Cisco, F5, Juniper Networks, Palo Alto e altri ancora. Con Greenbone che scansiona le tue reti e gli endpoint, hai accesso a più di 4.900 test in grado di rilevare falle DoS.

Inoltre, quando la protezione Greenbone’s “Safe Checks” per una scan configuration è disabilitata, il nostro sistema di scansione esegue attacchi attivi simulati come quelli DoS di amplificazione. Questi test comportano maggiori rischi, come l’aumento della probabilità di un’interruzione di servizio, per cui la funzionalità Safe Checks è abilitata di default in modo che questa serie estesa di scansioni invasive sia eseguita solo se configurata appositamente.

Anche se nessun sistema di mitigazione del rischio informatico è in grado di garantire una protezione completa da tutti gli attacchi DoS (ad esempio attacchi DDoS volumetrici), sicuramente identificare e mitigare in modo proattivo le esposizioni note permette di chiudere le falle che renderebbero un sistema un bersaglio facile. Eliminando le vulnerabilità conosciute dall’infrastruttura IT, un’azienda o un ente possono inoltre evitare di diventare parte del problema: spesso le strutture IT già infette sono usate dagli hacker per ulteriori attacchi DDoS contro terzi.

Riassunto

Gli attacchi DoS (Denial of Service) puntano a mettere fuori uso i sistemi IT sovraccaricandoli di traffico o sfruttano vulnerabilità note a livello software. Greenbone offre soluzioni complete di vulnerability assessment che identificano punti di entrata potenziali per gli attacchi DoS e consentono così a enti e aziende di rafforzare le proprie difese e minimizzare i rischi. Con una gestione proattiva delle vulnerabilità e un monitoraggio continuo, Greenbone aiuta imprese e organismi a individuare e mitigare l’impatto di attacchi DoS potenzialmente devastanti.

Contatto Prova Ora Acquista Torna alla Panoramica

/da
Greenbone AG

I prodotti Greenbone Enterprise nella lista dei migliori vulnerability scanner

OpenVAS nasce nel 2005 quando Nessus passa da una licenza open source a una proprietaria. Le aziende Intevation e DN Systems prendono in mano il progetto già in corso per mantenerlo e svilupparlo con una licenza GPL v2.0. Da allora OpenVAS ha preso il nome di Greenbone, la soluzione di scansione e gestione delle vulnerabilità open source più conosciuta e usata al mondo. Con la Greenbone Community Edition offriamo una versione di gratuita per gli sviluppatori, di cui siamo molto orogliosi. Inoltre, abbiamo creato una una gamma di soluzioni aziendali a pagamento che confluiscono nel Greenbone Enterprise Feed per il settore pubblico e privato.

Greenbone è pioniere del settore della cybersecurity e pur conoscendo le tattiche di marketing di alcune aziende di cybersecurity resta fedele ai propri obiettivi: condividere informazioni veritiere sui suoi prodotti e su quello che i suoi vulnerability test sono veramente in grado di fare. Non nascondiamo che siamo rimasti molto sorpresi quando abbiamo letto un report di benchmark (in inglese) pubblicato nel 2024 dalla concorrenza, in cui venivano presi in esame i principali scanner di vulnerabilità.

Greenbone è un sistema di scansione delle vulnerabilità open source conosciuto in tutto il mondo; quindi, va da sé che fosse stato incluso nell’elenco dei migliori. Tuttavia, anche se ci ha fatto piacere essere presi in considerazione per il test, alcune informazioni riportate ci hanno lasciati perplessi. Così abbiamo deciso di scrivere questo articolo per mettere alcune cose in chiaro ed esaminare i vari punti nel dettaglio.

I risultati del report di benchmark 2024

Il report di benchmark 2024 a cura di Pentest-Tools ha stilato una classifica dei principali sistemi di scansione delle vulnerabilità in base a due criteri: Detection Availability (disponibilità di rilevamento), cioè i CVE individuati da ogni sistema con appositi test, e Detection Accuracy (accuratezza di rilevamento), ovvero il grado di efficacia di questi test.

Il report ha messo a confronto la Community Edition gratuita di Greenbone e il Greenbone Community Feed con prodotti aziendali di altri fornitori: Qualys, Rapid7, Tenable, Nuclei, Nmap e il prodotto offerto da Pentest-Tools. Greenbone ha conquistato il 5° posto per Detection Availability e si è avvicinata al 4° per Detection Accuracy. Tutto sommato non male rispetto ai giganti del settore della cybersicurezza.

L’unico problema è che, come abbiamo detto prima, anche Greenbone offre un prodotto aziendale, che è stato escluso dalla classifica. Eseguendo il confronto con Greenbone Enterprise Feed invece che con la versione gratuita, Greenbone vince davvero a mani basse.

Ecco come stanno le cose veramente

Grafico a barre del benchmark 2024 dei sistemi di scansione delle vulnerabilità di rete: Greenbone Enterprise al primo posto per disponibilità e accuratezza di rilevamento, rispetto a strumenti come Pentest-Tools, Nessus, Rapid7, Qualys, Nmap, Nuclei e Greenbone Community.

Greenbone Enterprise è in testa alla classifica dei sistemi di scansione delle vulnerabilità.

 

Enterprise Feed è in testa alla classifica nell’ambito Detection Availability

I risultati delle nostre ricerche, che possono essere verificati nel nostro SecInfo Portal, indicano che Greenbone Enterprise Feed ha test di individuazione per 129 dei 164 CVE compresi nel test. Questo significa che la Detection Availability del nostro prodotto Enterprise supera addirittura del 70,5% quanto riportato nel resto, facendoci balzare nettamente in testa alla classifica.

Ci teniamo a chiarire che non abbiamo aggiunto i test di Greenbone Enterprise Feed dopo l’uscita del report. Greenbone aggiorna i Community ed Enterprise Feed ogni giorno e spesso siamo i primi a rilasciare test di vulnerabilità quando viene pubblicato un CVE. Un’analisi della nostra copertura dei test di vulnerabilità dimostra che questi sono sempre stati disponibili.

La nostra Detection Accuracy è stata ampiamente sottovalutata

C’è un altro aspetto da considerare: Greenbone è diverso dagli altri sistemi di scansione. Il modo con cui è progettato gli procura i vantaggi che lo rendono una delle soluzioni più apprezzate nel settore. Ad esempio, il nostro sistema di scansione si può controllare tramite API, così gli utenti possono sviluppare i propri tool e gestire tutte le funzionalità di Greenbone come preferiscono. Inoltre, noi usiamo il filtro Quality of Detection (QoD, qualità di rilevamento) che non esiste nella maggior parte dei sistemi di scansione delle vulnerabilità.

Chi ha compilato il report ha indicato di aver semplicemente utilizzato la configurazione predefinita di ogni sistema. Ma dato che il filtro QoD Greenbone non è stato applicato in modo corretto, il test di confronto non ha valutato in maniera equa il vero livello di rilevamento CVE di Greenbone. Tenendo in considerazione questi aspetti, Greenbone conquista di nuovo la classifica, con una stima di 112 CVE su 164.

Per ricapitolare

Ci fa molto piacere che Greenbone Community Edition sia arrivato al 5° posto per Detection Availability e a un passo dal 4° per Detection Accuracy in un confronto pubblicato nel 2024 sui sistemi di scansione delle vulnerabilità delle reti, ma questi risultati non tengono conto delle reali capacità di Greenbone Enterprise Feed. A rigor di logica, nell’elenco sarebbe dovuto comparire il nostro prodotto Enterprise. La classifica, infatti, comprendeva soluzioni aziendali di altri fornitori, non prodotti gratuiti come la nostra Community Edition.

Ricalcolata la Detection Availability di Greenbone alla luce di Enterprise Feed, questa arriva a 129 CVE sui 164 testati e supera del 70,5% il risultato precedente. Inoltre, le impostazioni predefinite non tengono conto della funzionalità Quality of Detection (QoD, qualità di rilevamento) di Greenbone. Se si tiene conto di queste imprecisioni, Greenbone conquista il gradino più alto del podio. È il sistema di scansione della vulnerabilità open source più utilizzato al mondo e continua a essere il migliore per copertura delle vulnerabilità, pubblicazione rapida dei test di vulnerabilità e vere e proprie funzionalità di livello aziendale, come architettura API flessibile, filtri avanzati e punteggi QoD.

Contatto Prova Ora Acquista Torna alla Panoramica

/da