Google ha pubblicato alcuni dati interessanti sui problemi di sicurezza del 2023 e sulle capacità dei cybercriminali di sfruttarli per eseguire gli attacchi informatici. In base alle rilevazioni di Mandiant, sussidiaria dell’azienda di Mountain View, il 70% delle vulnerabilità scoperte nel 2023 sono zero-day. È inoltre diminuito nettamente l’intervallo di tempo tra l’exploit e il rilascio della patch.
Dati piuttosto preoccupanti
Mandiant ha analizzato 138 vulnerabilità del 2023, per le quali è disponibile un exploit. Il 70% di esse (97) sono vulnerabilità zero-day, quindi sono state sfruttate prima del rilascio della patch. Il restante 30% (41) sono vulnerabilità n-day, quindi sfruttate uno o più giorni dopo il rilascio della patch.
Negli anni 2021/22, il rapporto tra n-day e zero-day era 38:62, mentre nel 2020 era 39:61. Ciò dimostra che gli attacchi basati sulle vulnerabilità zero-day nel 2023 è nettamente aumentato. La maggioranza delle vulnerabilità n-day (23) viene sfruttata entro un mese dal rilascio della patch.
Un altro dato preoccupante è quello del TTE (Time-To-Exploit), ovvero il tempo medio impiegato dai cybercriminali per sfruttare una vulnerabilità prima o dopo il rilascio della patch. Il valore è sempre diminuito nel corso degli anni: 63 giorni nel 2018/19, 44 giorni nel 2020/21 e 32 giorni nel 2021/22. Nel 2023 è diminuito a soli 5 giorni.
Mandiant sottolinea però che non c’è nessuna correlazione tra la disponibilità dell’exploit e il suo utilizzo. Ad esempio, la vulnerabilità CVE-2023-28121 del plugin WooCommerce Payments di WordPress è stata scoperta il 23 marzo 2023. I dettagli tecnici e il primo PoC (Proof-of-Concept) sono stati pubblicati il 3 luglio 2023.
Il giorno successivo (4 luglio 2023) è stato aggiunto un modulo a Metasploit che effettua la ricerca dei siti vulnerabili e sfrutta la vulnerabilità (creazione di un account amministratore). Tuttavia, i primi attacchi sono stati rilevati il 14 luglio 2023, sfruttando un altro exploit pubblicato tre giorni prima. Quindi tra la scoperta della vulnerabilità e il suo sfruttamento sono passati più di tre mesi.