Qualche tempo fa le agenzie Five Eyes hanno stilato l’elenco delle vulnerabilità più amate dai threat actor nel 2023. Gli esperti di Vectra AI hanno analizzato l’elenco e pubblicato delle interessanti considerazioni, che condividiamo. La più importante è che per la prima volta la maggior parte delle 15 vulnerabilità più sfruttate è stata inizialmente sfruttata come zero-day. Ricordiamo che ciò significa che gli attaccanti – a prescindere dalle loro motivazioni - hanno sfruttato queste falle prima che i vendor potessero pubblicarne le patch, compromettendo migliaia di dispositivi e ottenendo accesso persistente alle infrastrutture.

L’alta percentuale di falle sfruttate con questa modalità mette a fuoco una "nuova normalità", in cui gli attaccanti danno priorità allo sfruttamento delle falle appena divulgate per infiltrarsi nelle reti. Non solo: al confine tra reti affidabili e non affidabili troviamo i dispositivi di rete come firewall, VPN e router che, in caso di compromissione, possono fornire ai criminali informatici un punto d'appoggio strategico all'interno delle reti target. Lo scenario appena descritto apre un problema nella difesa, perché i tradizionali strumenti di sicurezza spesso non riescono a rilevare attività dannose provenienti da dispositivi considerati affidabili.

Un caso pratico

Un esempio lampante è quello della vulnerabilità critica monitorata con la sigla CVE-2024-3400, relativa ad alcuni modelli di firewall Palo Alto: ha permesso agli attaccanti di ottenere il controllo totale del firewall senza bisogno di autenticazione preventiva, così da estrarre le configurazioni del firewall stesso, ottenere informazioni sull'architettura di rete, sugli intervalli di indirizzi IP e sui meccanismi di autenticazione, senonché di collezionare credenziali privilegiate valide per l'escalation dei privilegi e disattivare gli avvisi di sicurezza, ostacolando la detection dell’attacco in corso.

Alla luce di quanto detto, dopo aver ottenuto l'accesso iniziale gli attaccanti hanno potuto mappare la rete interna e identificare risorse preziose e sistemi critici, attuare movimenti laterali, esfiltrare dati e creare backdoor per mantenere l'accesso continuo alla rete compromessa.

In casi come questo è sovente che la messa in sicurezza dell’infrastruttura passi per una soluzione di Network Detection and Response, in virtù del fatto che opera indipendentemente dai dispositivi di sicurezza endpoint e compromessi, garantendo una visibilità continua sulla rete. Soluzioni di questo tipo possono portare all’attenzione degli analisti comportamenti sospetti, quali per esempio l’esecuzione di comandi da remoto (anche attuati con strumenti legittimi come PowerShell Remoting e PsExec), anomalie nell'accesso privilegiato e in generale del traffico di rete, abuso delle credenziali.

Se la soluzione NDR è di ultima generazione, inoltre, è anche in grado di attuare funzionalità di risposta rapida essenziali per contenere le minacce e ridurre al minimo i danni. Per esempio, quella di Vectra mette a disposizione azioni automatizzate come la disattivazione degli account utente compromessi o l'isolamento degli host interessati, e si integra con l'ecosistema di sicurezza per una gestione e una remediation a tutto tondo dell’incidente.