Il 2024 è stato un anno caratterizzato da una serie di vulnerabilità critiche che hanno messo a rischio la sicurezza delle organizzazioni in tutto il mondo. Queste vulnerabilità hanno permesso agli attaccanti di eseguire attacchi remoti, di esfiltrare dati sensibili e di compromettere interamente i sistemi informatici. In questo articolo, esploreremo le top 10 vulnerabilità esplose nel 2024, analizzeremo i rischi associati e forniremo suggerimenti e consigli per proteggere la tua rete da questi attacchi.
1. Vulnerabilità di Cleo File Transfer
Titolo: Vulnerabilità di Cleo File Transfer: Un Caso di RCE
Descrizione: Le vulnerabilità di Cleo hanno permesso agli attaccanti di eseguire codice remoto, esfiltrare dati sensibili e implantare backdoors.
La società Cleo, specializzata in soluzioni di trasferimento file, ha subito una serie di vulnerabilità critiche nel 2024. Queste vulnerabilità, identificate come CVE-2024-50623 e CVE-2024-55956, hanno permesso agli attaccanti di eseguire codice remoto (RCE) e di esfiltrare dati sensibili. La società ha tentato di patchare queste vulnerabilità nel mese di ottobre, ma le correzioni incomplete hanno lasciato i sistemi esposti. Gli attaccanti, tra cui il gruppo ransomware Cl0P, hanno sfruttato queste vulnerabilità per implantare backdoors, esfiltrare dati sensibili e muoversi lateralmente all’interno delle reti[1].
Suggerimenti:
- Aggiornamenti di Sicurezza: Assicurati di applicare gli aggiornamenti di sicurezza forniti dalla società Cleo.
- Monitoraggio Continuo: Utilizza strumenti di monitoraggio per identificare eventuali attacchi in tempo reale.
- Formazione degli Utenti: Educa gli utenti sulla pericolosità delle vulnerabilità e sulla necessità di seguire le procedure di sicurezza.
2. Vulnerabilità di Ivanti VPN
Titolo: Vulnerabilità di Ivanti VPN: Un Caso di Compromissione di Infrastrutture Critiche
Descrizione: Le vulnerabilità di Ivanti VPN hanno permesso agli attaccanti di compromettere infrastrutture critiche, come il CISA, e di eseguire malware avanzato.
Ivanti Connect Secure (ICS) VPN ha subito una serie di vulnerabilità critiche nel 2024, identificate come CVE-2023-46805, CVE-2024-21887 e CVE-2024-21893. Queste vulnerabilità hanno permesso agli attaccanti di compromettere infrastrutture critiche, come il CISA, e di eseguire malware avanzato. Il gruppo Magnet Goblin ha sfruttato queste vulnerabilità per breccia dispositivi edge e distribuire malware come Nerbian RAT e MiniNerbian[1].
Suggerimenti:
- Patch Urgenti: Assicurati di patchare le vulnerabilità non appena disponibili.
- Monitoraggio delle Log: Verifica regolarmente i log per identificare eventuali attacchi.
- Formazione Tecnica: Educa i tecnici sulla pericolosità delle vulnerabilità e sulla necessità di seguire le procedure di sicurezza.
3. Vulnerabilità di BeyondTrust
Titolo: Vulnerabilità di BeyondTrust: Un Caso di Escalazione di Privilegi
Descrizione: Le vulnerabilità di BeyondTrust hanno permesso agli attaccanti di eseguire comandi arbitrari e di compromettere sistemi aziendali.
BeyondTrust’s Privileged Remote Access (PRA) e Remote Support (RS) hanno subito due vulnerabilità critiche nel 2024, identificate come CVE-2024-12356 e CVE-2024-12686. Queste vulnerabilità hanno permesso agli attaccanti di eseguire comandi arbitrari e di compromettere sistemi aziendali. Il gruppo Silk Typhoon, un attore cinese sponsorizzato dallo stato, ha sfruttato questa vulnerabilità per attaccare sistemi, incluso il Dipartimento del Tesoro degli Stati Uniti[1].
Suggerimenti:
- Patch Rapidi: Assicurati di patchare le vulnerabilità non appena disponibili.
- Monitoraggio Continuo: Utilizza strumenti di monitoraggio per identificare eventuali attacchi in tempo reale.
- Formazione degli Utenti: Educa gli utenti sulla pericolosità delle vulnerabilità e sulla necessità di seguire le procedure di sicurezza.
4. Vulnerabilità di Atlassian Confluence
Titolo: Vulnerabilità di Atlassian Confluence: Un Caso di Iniezione di Template
Descrizione: La vulnerabilità di Atlassian Confluence ha permesso agli attaccanti di eseguire codice remoto e di eseguire attacchi di criptojacking.
Atlassian’s Confluence Data Center e Server hanno subito una vulnerabilità critica nel 2024, identificata come CVE-2023-22527. Questa vulnerabilità ha permesso agli attaccanti di eseguire codice remoto e di eseguire attacchi di criptojacking. Gli attaccanti hanno inizialmente utilizzato la vulnerabilità per testare i sistemi compromessi tramite comandi callback come whoami, successivamente sono stati identificati attacchi di criptojacking con l’utilizzo di script malici come XMRig miners[1].
Suggerimenti:
- Aggiornamenti di Sicurezza: Assicurati di applicare gli aggiornamenti di sicurezza forniti da Atlassian.
- Monitoraggio Continuo: Utilizza strumenti di monitoraggio per identificare eventuali attacchi in tempo reale.
- Formazione degli Utenti: Educa gli utenti sulla pericolosità delle vulnerabilità e sulla necessità di seguire le procedure di sicurezza.
5. Vulnerabilità di Windows SmartScreen
Titolo: Vulnerabilità di Windows SmartScreen: Un Caso di Bypass delle Funzionalità di Sicurezza
Descrizione: Le vulnerabilità di Windows SmartScreen hanno permesso agli attaccanti di bypassare le funzionalità di sicurezza e di eseguire malware.
Windows SmartScreen ha subito una serie di vulnerabilità nel 2024, identificate come CVE-2024-38217, CVE-2024-38213, CVE-2024-29988, CVE-2024-21351 e CVE-2024-21412. Queste vulnerabilità hanno permesso agli attaccanti di bypassare le funzionalità di sicurezza e di eseguire malware. Gli attaccanti hanno utilizzato queste vulnerabilità per distribuire malware firmato con certificati di estensione di validazione (EV) per evitare le difese di SmartScreen[1].
Suggerimenti:
- Aggiornamenti di Sicurezza: Assicurati di applicare gli aggiornamenti di sicurezza forniti da Microsoft.
- Monitoraggio Continuo: Utilizza strumenti di monitoraggio per identificare eventuali attacchi in tempo reale.
- Formazione degli Utenti: Educa gli utenti sulla pericolosità delle vulnerabilità e sulla necessità di seguire le procedure di sicurezza.
6. Vulnerabilità di Fortinet FortiOS
Titolo: Vulnerabilità di Fortinet FortiOS: Un Caso di Esecuzione di Codice Remoto
Descrizione: La vulnerabilità di Fortinet FortiOS ha permesso agli attaccanti di eseguire codice remoto e di mantenere accesso persistente.
Fortinet FortiOS ha subito una vulnerabilità critica nel 2024, identificata come CVE-2024-21762. Questa vulnerabilità ha permesso agli attaccanti di eseguire codice remoto e di mantenere accesso persistente. Il gruppo Volt Typhoon, un attore cinese sponsorizzato dallo stato, ha sfruttato questa vulnerabilità per attaccare reti sensibili globalmente[1].
Suggerimenti:
- Patch Rapidi: Assicurati di patchare le vulnerabilità non appena disponibili.
- Monitoraggio Continuo: Utilizza strumenti di monitoraggio per identificare eventuali attacchi in tempo reale.
- Formazione Tecnica: Educa i tecnici sulla pericolosità delle vulnerabilità e sulla necessità di seguire le procedure di sicurezza.
7. Vulnerabilità di ConnectWise ScreenConnect
Titolo: Vulnerabilità di ConnectWise ScreenConnect: Un Caso di Bypass di Autenticazione
Descrizione: La vulnerabilità di ConnectWise ScreenConnect ha permesso agli attaccanti di bypassare l’autenticazione e di eseguire codice remoto.
ConnectWise ScreenConnect ha subito una vulnerabilità critica nel 2024, identificata come CVE-2024-1709. Questa vulnerabilità ha permesso agli attaccanti di bypassare l’autenticazione e di eseguire codice remoto. Gli attaccanti, tra cui LockBit, Black Basta, Bl00dy e Kimsuky, hanno sfruttato questa vulnerabilità per vari obiettivi, dai ransomware ai cyber-espionaggio[1].
Suggerimenti:
- Patch Rapidi: Assicurati di patchare le vulnerabilità non appena disponibili.
- Monitoraggio Continuo: Utilizza strumenti di monitoraggio per identificare eventuali attacchi in tempo reale.
- Formazione degli Utenti: Educa gli utenti sulla pericolosità delle vulnerabilità e sulla necessità di seguire le procedure di sicurezza.
8. Vulnerabilità di VMware ESXi
Titolo: Vulnerabilità di VMware ESXi: Un Caso di Elevazione di Privilegi
Descrizione: La vulnerabilità di VMware ESXi ha permesso agli attaccanti di elevare i privilegi e di controllare il hypervisor.
VMware ESXi ha subito una vulnerabilità critica nel 2024, identificata come CVE-2024-37085. Questa vulnerabilità ha permesso agli attaccanti di elevare i privilegi e di controllare il hypervisor. Gli attaccanti, tra cui Black Basta e Octo Tempest, hanno sfruttato questa vulnerabilità per attaccare reti e criptare file system ESXi[1].
Suggerimenti:
- Patch Rapidi: Assicurati di patchare le vulnerabilità non appena disponibili.
- Monitoraggio Continuo: Utilizza strumenti di monitoraggio per identificare eventuali attacchi in tempo reale.
- Formazione Tecnica: Educa i tecnici sulla pericolosità delle vulnerabilità e sulla necessità di seguire le procedure di sicurezza.
9. Vulnerabilità di Windows Kernel
Titolo: Vulnerabilità di Windows Kernel: Un Caso di Elevazione di Privilegi
Descrizione: La vulnerabilità di Windows Kernel ha permesso agli attaccanti di elevare i privilegi e di manipolare oggetti kernel.
Windows Kernel ha subito una vulnerabilità critica nel 2024, identificata come CVE-2024-21338. Questa vulnerabilità ha permesso agli attaccanti di elevare i privilegi e di manipolare oggetti kernel. Il gruppo Lazarus ha sfruttato questa vulnerabilità per attaccare sistemi e distribuire un rootkit avanzato[1].
Suggerimenti:
- Patch Rapidi: Assicurati di patchare le vulnerabilità non appena disponibili.
- Monitoraggio Continuo: Utilizza strumenti di monitoraggio per identificare eventuali attacchi in tempo reale.
- Formazione Tecnica: Educa i tecnici sulla pericolosità delle vulnerabilità e sulla necessità di seguire le procedure di sicurezza.
Il 2024 è stato un anno caratterizzato da una serie di vulnerabilità critiche che hanno messo a rischio la sicurezza delle organizzazioni in tutto il mondo. È fondamentale per le aziende e gli individui essere consapevoli delle principali vulnerabilità esplose e prendere misure proattive per proteggere la loro rete da questi attacchi. Questo include l’applicazione rapida degli aggiornamenti di sicurezza, il monitoraggio continuo dei sistemi e la formazione degli utenti sulla pericolosità delle vulnerabilità.
Fonte: https://socradar.io/top-10-exploited-vulnerabilities-of-2024
