0-day, cosa sono e perché dobbiamo preoccuparcene

TL;DR Gli 0-day sono le vulnerabilità non ancora scoperte, il dark-side del mondo delle falle informatiche, che si aggiungono alle oltre 169.000 già pubblicate e di pubblico dominio. Vulnerabilità nelle mani di pochi esperti e dei loro acquirenti, che alimentano un mercato sotterraneo di chiavi di accesso ai sistemi informatici di aziende, enti e governi di tutto il mondo.

E’ un piacere nascondersi, ma è una catastrofe non essere trovati.”
Donald W. Winnicott

Mai come nell’anno appesa passato, e anche il 2022 si preannuncia “bollente”, gli 0-day sono stati protagonisti di attacchi informatici mirati e particolarmente insidiosi.

Esattamente, cosa sono questi “0-day”?

Gli 0-day sono vulnerabilità ancora non note e non pubbliche, dei veri e propri passepartout digitali per i sistemi vulnerabili, che hanno un valore direttamente proporzionale alla loro potenza e alla diffusione della vulnerabilità stessa.

Facciamo un passo indietro e chiariamo subito un aspetto: le vulnerabilità hanno un “valore”. E il valore dipende da quando la vulnerabilità è grave (esistono degli indici che determinano la gravità in modo analitico, come il CVSSCommon Vulnerability Scoring System) e quanto è importante il suo impatto. Altri fattori sono, ad esempio, la facilità di sfruttamento della vulnerabilità (“exploitability“) e la possibilità di eseguire codice da remoto (RCERemote Code Exploit).

Di seguito, una mappa della “famosa” cyber kill-chain, la sequenza di azioni che un attaccante compie in un attacco. La prima fase, la ricognizione: capire cosa c’è sul sistema bersaglio e quale vulnerabilità possono essere sfruttate per accedervi, preparando l’arsenale necessario (“weaponizing“). Si lancia poi l’attacco (“exploitation“) e, una volta andato a buon fine e conquistato l’accesso al sistema, si procede con l’installazione dell’impianto malevolo necessario a garantirsi la permanenza nel sistema stesso e a poterlo sfruttare per i propri scopi (es. esfiltrazione dei dati).

Giusto per chiarire, siamo lontanissimi dallo stereotipo del ragazzino nerd e un po’ brufoloso che, appassionato di computer, passa le nottate seduto nella sua cameretta indossando l’immancabile felpa con cappuccio alla ricerca di porte di accesso e vulnerabilità ai sistemi in Rete: oggi parliamo di vere e proprie organizzazioni, che vanno dagli state-actors (attori governativi) alla cybercriminalità organizzata, passando per i ricercatori indipendenti che, per fama o profitto, sono costantemente alla ricerca di vulnerabilità nei sistemi informatici.

Per dare qualche cifra del fenomeno, il database CVE –Common Vulnerabilities and Exposures-, gestito dal MITRE, che raccoglie e cataloga con l’anno e un numero univoco progressivo le vulnerabilità scoperte, nell’aprile 2018 ha superato i 100.000 records. E negli ultimi anni abbiamo assistito a una vera e propria “impennata” delle vulnerabilità scoperte e pubblicamente rilasciate.

Sono 21957 le vulnerabilità pubblicate nel 2021, il numero più alto degli ultimi anni (18362 in 2020, 17382 nel 2019 e 17252 nel 2018), e il numero totale supera ormai i 169 mila.

Di queste, circa l’11% è una vulnerabilità grave/critica, punteggio CVSS compreso tra 9 e 10, e la maggioranza delle restanti, circa il 77%, ha un punteggio tra 4 e 8 (criticità media).

Attenzione: parliamo delle vulnerabilità note, pubblicamente descritte in database disponibili a chiunque, di cui non sempre esistono exploit/PoC disponibili pubblicamente.

Impossibile sapere quante vulnerabilità sia state scoperte e non ancora pubblicate, magari sfruttate per violare in segretezza sistemi informatici in giro per il mondo. Questi sono gli 0-day, e sul darkweb c’è un vero e proprio mercato degli stessi (anche se, dicono, una bella percentuale è truffa). Il valore di una vulnerabilità 0-day, quindi non ancora pubblicamente diffusa, secondo i criteri che ho descritto prima, può oscillare da pochi dollari a centinaia di migliaia. Non sono affatto pochi i potenziali acquirenti, tra cui ci sono anche agenzie governative e servizi segreti, pronti a servirsene per le loro attività di spionaggio e sabotaggio.

Inoltre, anche se nell’80% dei casi la realizzazione degli exploit avviene più rapidamente della loro pubblicazione sul database CVE (almeno secondo PaloAlto), non tutti i CVE sonno facilmente sfruttabili. Alcuni richiedono competenze tecniche davvero elevate e spesso l’investimento di tempo per orchestrare un attacco supera il valore del “bottino” che un cybercriminale può recuperare dai sistemi della vittima.

Altri, invece, come ad esempio il famigerato CVE-2021-44228 “Log4Shell”, è stato un CVE talmente diffuso e facilmente sfruttabile da aver rappresentato, per i due mesi appena passati, una delle minacce che ha maggiormente preoccupato la comunità mondiale, con un “picco” di tentativi di sfruttamento proprio nei giorni successivi alla pubblicazione della vulnerabilità.

Secondo diversi esperti, durante il 2022 e anche nei prossimi anni gli attacchi che sfruttano 0-day saranno sempre più utilizzati, complice probabilmente l’aumento globale dell’attenzione -e degli investimenti- alla cybersecurity. Sono attacchi insidiosi, poiché difficilmente individuabili attraverso i consueti strumenti (XDR, SOAR…) e, quindi, rappresentano una minaccia tangibile soprattutto per quei contesti dove il valore del “bottino” è elevata (o ci sono interessi politico/economici tali da giustificare gli investimenti).

Se, quindi, il cittadino comune deve preoccuparsi relativamente poco di queste minacce (anche se, come abbiamo visto, sono potenzialmente sfruttate anche per “impiantare” i cosiddetti “captatori informatici” sui sistemi degli indagati), sicuramente i CISO di tutto il mondo difficilmente potranno dormire sonni tranquilli, con la paura che sui loro dispositivi di sicurezza possa essere presente una “falla”, ancora non nota al grande pubblico, ma sfruttabile da pochi, determinati, malintenzionati.

Anche se, giusto per concludere in bellezza, secondo il Cyber Security Report 2021 della CheckPoint, oltre il 70% degli attacchi avvenuti nel 2020 ha utilizzato vulnerabilità note da almeno due anni prima…

Questo articolo è stato visto 61 volte (Oggi 1 visite)

Hai imparato qualcosa di nuovo?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.