Le vulnerabilità sono uno degli elementi cardine negli incidenti di sicurezza e, insieme ad altre minacce come exploit e malware, costituiscono un rischio continuo. Nel 2017, il numero di falle segnalate ha raggiunto il suo picco storico, spazzando via i record registrati negli anni precedenti. Non solo, ma anche il numero di vulnerabilità identificate come critiche è cresciuto in maniera esponenziale nell’anno appena concluso.
Il numero di vulnerabilità segnalate è aumentato nell’ultimo anno
Secondo i CVE Details, nel 2017 ne sono state segnalate oltre 14600 rispetto alle 6447 del 2016, quindi il totale è più che raddoppiato con un aumento del 120% da un anno all’altro.
È importante sottolineare che l’aumento potrebbe essere addirittura superiore in quanto questi dati non includono le vulnerabilità zero-day, utilizzate “in-the-wild”, quindi senza che produttori o utenti ne siano a conoscenza.
Guardando i risultati di questi record, è anche importante segnalare che nel 2017 sono state rilevate una media di 40 vulnerabilità al giorno, rispetto alle “sole” 17 registrate durante il 2016.
Aumentano anche le vulnerabilità di gravità elevata e critica
La gravità delle falle è determinata sulla base di vari fattori, come il loro impatto sulla riservatezza, integrità o disponibilità dei dati, nonché sul tipo di vettore di attacco sfruttato, la complessità dell’attacco, i privilegi richiesti o qualsiasi interazione con l’utente. Per risolvere questo problema è necessario utilizzare un sistema per il calcolo degli effetti negativi.
Il sistema di punteggio della vulnerabilità comune (CVSS) è un sistema progettato per fornire un metodo aperto e standardizzato per la valutazione dell’impatto dei bug ed è quindi utilizzato per quantificarne la gravità. Attualmente sono in uso due versioni di questo sistema: CVSS v2.0 e CVSS v3.0.
In entrambi i casi, il sistema di valutazione incorpora tre gruppi di metriche utilizzate per calcolare il punteggio. Il primo gruppo, chiamato gruppo base, rappresenta le qualità specifiche di un tipo di vulnerabilità.
Il secondo gruppo, noto come gruppo temporale, riflette le caratteristiche che cambiano nel tempo. Infine, il gruppo dedicato alle metriche ambientali tiene conto delle caratteristiche di una falla che sono esclusive del contesto dell’utente che esegue la valutazione.
Dopo aver assegnato i valori in base alle metriche di base, la formula genera un punteggio compreso tra 0.0 e 10.0, che rappresenta la gravità della vulnerabilità in questione. In CVSS v2.0, ci sono tre categorie: Basso quando il punteggio è compreso tra 0.0 e 3.9; Medio se è compreso tra 4.0 e 6.9; e Alto quando il risultato sale tra 7.0 e 10.0.
Per CVSS v3.0, esistono cinque categorie: Nessuna (0,0), Bassa (0,1-3,9), Media (4,0-6,9), Alta (7,0-8,9) e Critica (9,0-10,0).
Sulla base di queste classificazioni di gravità, vale la pena sottolineare che secondo il National Vulnerability Database (NVD) nel 2017 il numero delle vulnerabilità considerate elevate in CVSS v2.0 e critiche in CVSS v3.0 è aumentato considerevolmente.
I bug considerati critici in CVSS v3.0 sono cresciuti significativamente negli ultimi 5 anni, passando dallo 0 (zero) registrato nel 2013, a 2070 alla fine dell’anno scorso, raddoppiando di numero rispetto al 2016.
Per quanto riguarda le vulnerabilità considerate elevate in CVSS v2.0, anche in questo caso il livello di crescita è stato considerevole, passando da 2470 nel 2016 a oltre 4100 alla fine del 2017, con un aumento di oltre il 60%.
Nei dati mostrati possiamo notare un significativo aumento del numero di falle segnalate negli ultimi mesi, insieme ad un ulteriore aumento di quelle considerate alte e critiche. Tutto sommato, possiamo dichiarare il 2017 l’anno delle vulnerabilità.
ESET Italia non può che raccomandare l’aggiornamento costante dei sistemi operativi e dei software installati così da poter arginare qualsiasi tentativo di sfruttarne le falle, e l’utilizzo di strumenti di sicurezza efficaci che comprendano un controllo dei protocolli di comunicazione.
Lascia un commento