Ecco quali sono state le vulnerabilità più "amate" dai threat actor in tutto il 2023. Alcune sono note dal lontano 2021.
Le agenzie governative di cybersecurity delle nazioni che hanno formato la rete di sicurezza cosiddetta Five Eyes - quindi UK, USA, Canada, Australia, Nuova Zelanda - hanno pubblicato congiuntamente l'analisi finale delle vulnerabilità software più sfruttate nel 2023 dai cybercriminali e dagli altri threat actor.
Di queste vulnerabilità, fanno notare le agenzie, la maggior parte è stata sfruttata per la prima volta come “zero-day” tramite cui gli attaccanti hanno potuto condurre azioni cyber contro obiettivi a priorità elevata. Questa tendenza segna un cambiamento rispetto al 2022, quando meno della metà della "top list" delle 15 principali vulnerabilità è stata sfruttata inizialmente come zero-day. Altro elemento importante da segnalare è che cybercriminali e threat actor riescono a sfruttare con grande successo vulnerabilità importanti anche a due anni dalla loro divulgazione pubblica, segno che il problema del patching o della sostituzione dei sistemi vulnerabili non viene ancora gestito correttamente dal mercato.
Ai vendor tecnologici e agli sviluppatori viene indicato quindi di implementare i principi e le tattiche necessarie a ridurre il numero delle vulnerabilità software e il loro impatto. In particolare, le agenzie di cybersecurity invitano a seguire il Secure Software Development Framework (SSDF, del NIST) per implementare pratiche "secure by design" in ogni fase del ciclo di vita dello sviluppo software (SDLC). L'invito è anche quello di definire un programma coordinato per la divulgazione delle vulnerabilità, un ambito in cui chi fa software deve evidentemente migliorare: troppi vendor sono "reticenti" nell'ammettere l'esistenza di particolari vulnerabilità.
Analogamente, i vendor dovrebbero implementare politiche di sicurezza by default, ad esempio eliminando le password predefinite e non richiedendo ulteriori modifiche alla configurazione per migliorare la sicurezza del prodotto.
Da parte loro, anche gli utenti finali devono migliorare la loro gestione della cybersecurity, in particolare applicando tempestivamente le patch per le vulnerabilità note, implementando un sistema centralizzato di gestione delle patch stesse. Un'altra indicazione che viene data dalle agenzie governative riguarda l'utilizzo diffuso di strumenti di sicurezza come EDR, web application firewall e analizzatori di protocolli di rete.
L'elenco delle vulnerabilità principali per il 2023 è il seguente, in ordine decrescente di sfruttamento da parte dei "cattivi".
CVE-2023-3519: Riguarda Citrix NetScaler ADC e NetScaler Gateway, permette ad un utente non autenticato di causare un overflow nello stack buffer del processo NSPPE attraverso una richiesta HTTP GET.
CVE-2023-4966: Riguarda Citrix NetScaler ADC e NetScaler Gateway, permette il leakage dei token di sessione.
CVE-2023-20198: Riguarda l'interfaccia web di Cisco IOS XE, permette ad un utente non autorizzato di creare un nuovo utente con privilegi standard di accesso.
CVE-2023-20273: Riguarda Cisco IOS XE, permette l'escalation dei privilegi dell'utente creato con la vulnerabilità precedente sino ai privilegi di root.
CVE-2023-27997: Riguarda Fortinet FortiOS e FortiProxy SSL-VPN, permette l'esecuzione da remoto di codice o comandi arbitrari.
CVE-2023-34362: Riguarda Progress MOVEit Transfer, permette l'esecuzione da remoto di codice e il "furto" del token di accesso alle API di amministrazione.
CVE-2023-22515: Riguarda Atlassian Confluence Data Center e Server, porta alla creazione di un nuovo utente con privilegi di amministratore e l'esecuzione da remoto di codice.
CVE-2021-44228: È la vulnerabilità legata al famigerato "caso" Log4Shell, quindi riguarda la libreria Apache Log4j e permette l'esecuzione da remoto di codice sino ad arrivare al controllo completo del sistema colpito.
CVE-2023-2868: Riguarda la Barracuda Networks Email Security Gateway (ESG) Appliance, permette l'esecuzione da remoto di codice.
CVE-2022-47966: Riguarda Zoho ManageEngine, permette l'esecuzione da remoto di codice.
CVE-2023-27350: Riguarda PaperCut MF/NG, permette l'esecuzione da remoto di codice.
CVE-2020-1472: Riguarda Microsoft Netlogon, permette una escalation dei privilegi di un utente non autorizzato.
CVE-2023-42793: Riguarda JetBrains TeamCity, permette l'esecuzione da remoto di codice.
CVE-2023-23397: Riguarda Microsoft Office Outlook, permette permette una escalation dei privilegi di un utente.
CVE-2023-49103: Riguarda l'estensione graphapi di ownCloud, permette l'accesso a dati sensibili (password, credenziali) da parte di utenti non autorizzati.