Video: 35C3 - From Zero to Zero Day (Settembre 2024)
Non ossessionare le vulnerabilità zero-day e gli attacchi altamente sofisticati e mirati. È più probabile che gli aggressori sfruttino i difetti più vecchi e noti nelle applicazioni Web, quindi concentrati su patch di base e igiene della sicurezza.
Una vulnerabilità rattoppata nel 2010 e un'altra nel 2009 sono state tra le dieci vulnerabilità Web più frequentemente prese di mira ad aprile, ha dichiarato Barry Shteiman, direttore della strategia di sicurezza di Imperva, a SecurityWatch. Nonostante la loro età, sia gli attaccanti privati che quelli industrializzati continuano a colpire queste vulnerabilità, perché queste campagne di attacco sono "redditizie". L'attacco non richiede l'acquisto o lo sviluppo di costosi exploit zero-day "poiché quelli vecchi che sono ampiamente disponibili funzionano altrettanto bene", ha detto Shteiman.
Gli aggressori comprendono che le vulnerabilità più vecchie sono il frutto della sicurezza delle applicazioni Web. Gli aggressori possono essere sofisticati se necessario e sono disponibili strumenti per creare campagne complesse. Ma perché preoccuparsi quando le persone si attaccano a versioni obsolete di applicazioni Web o amministratori non mantengono un programma di patching regolare per le applicazioni. Il problema è ancora più diffuso tra le applicazioni ampiamente utilizzate, come software per forum, sistemi di gestione dei contenuti e persino strumenti di e-commerce, ha affermato Shteiman.
Sistemi a rischio
Tutte le vulnerabilità individuate in aprile sono state attacchi di iniezione, come file e SQL injection e sono state tutte corrette. Il difetto del 2010 ha sfruttato un problema di gestione dei privilegi in ZeusCMS 0.2 e il bug del 2009 era un'iniezione SQL in Zen Cart 1.3.8 e precedenti. "Le vulnerabilità non sembrano mai morire", ha detto Shteiman.
Se gli aggressori erano a conoscenza di un problema in un CMS e il CMS era stato installato 10 milioni di volte, la ricerca di siti che eseguono quella versione del software "ha senso", ha detto Shteiman. Richiede un buon Google-fu e nient'altro.
Imperva ha fornito un grafico delle dieci principali vulnerabilità prese di mira e tre cose vengono visualizzate. La vulnerabilità "più recente" nell'elenco è del 2013. Come si può vedere dal punteggio CVSS, le vulnerabilità stesse non sono difetti sofisticati e altamente critici. E gli exploit stessi non sono così complessi.
Ci sono stati molti attacchi di massa contro il popolare software CMS, inclusi WordPress e Joomla. Con abbastanza sistemi vulnerabili là fuori, è molto più economico e più facile per gli attaccanti cercare quei sistemi invece di creare attacchi zero-day.
Aumento del mondo dell'iniezione
Gli aggressori usano ripetutamente vettori di attacco esistenti e scoperti di recente, ha detto Shteiman. Questo è il motivo per cui l'iniezione di SQL e gli script tra siti rimangono vettori di attacco diffusi. Il problema SQLi è stato risolto dieci anni fa, ma i tassi di attacco sono ancora elevati. Lo scripting cross-site ha rappresentato il 40 percento degli attacchi negli ultimi tre mesi e l'iniezione SQL del 25 percento, ha affermato.
"Se abbiamo una cura per il cancro, ti aspetti di vedere un calo dei tassi di mortalità. Ma questo non è il caso dell'iniezione di SQL", ha detto Shteiman.
Una rapida occhiata a Exploit-db.com conferma le osservazioni di Shteiman. Dei sette exploit elencati nelle applicazioni Web, cinque si occupavano in qualche modo di software standard, come WordPress, AuraCMS o la piattaforma di social business Sharetronix. Anche gli attacchi di iniezione XSS e SQL sono stati frequentemente elencati.
Gli amministratori, indipendentemente dal fatto che gestiscano siti che hanno milioni di utenti ogni giorno o un sito con una presenza online più piccola, devono assicurarsi di sistemare regolarmente il proprio software. Molti sviluppatori CMS hanno semplificato il processo di aggiornamento all'interno del proprio software e sono disponibili strumenti per identificare tutte le applicazioni installate. Le funzionalità non utilizzate devono essere disabilitate.
Certo, gli attacchi zero-day e gli attacchi mirati fanno paura. Ma se gli aggressori arrivano per i tuoi dati e il tuo sito (e le probabilità sono alte che lo faranno qualcuno), non è facile avere buchi nel tuo software. Patch, eseguire strumenti di valutazione e cercare comportamenti sospetti. La vigilanza è la chiave.
