Secondo una ricerca, gli hacker spesso si approfittano di difetti del software prima di farli conoscere al pubblico
Un nuovo rapporto pubblicato da GreyNoise il 31 luglio ha sollevato preoccupazioni sull'aumento dell'attività degli attaccanti chetargettano dispositivi di bordo, con un'attenzione particolare sui dispositivi di bordo orientati all'impresa. Il rapporto afferma che nell'80% dei casi l'attività degli attaccanti precede la divulgazione di una nuova vulnerabilità nei dispositivi di bordo.
I gruppi statali probabili che investono in questi dispositivi di bordo orientati all'impresa includono attori statali avanzati con priorità significative in materia di cybersecurity e difesa, come gli Stati Uniti, la Cina e la Russia. I loro ruoli attivi nella sicurezza nazionale e nelle operazioni cibernetiche chetargettano le infrastrutture dell'impresa e della difesa indicano il loro interesse per questi dispositivi.
I ricercatori di GreyNoise raccomandano di bloccare gli indirizzi IP associati alla scansione e alla forza bruta delle tecnologie di bordo per prevenire l'inclusione nell'inventario degli attacchi. Questa misura proattiva può aiutare le organizzazioni a proteggere i loro sistemi e ridurre la loro esposizione alle minacce potenziali.
Il rapporto fornisce un quadro temporale concreto di sei settimane per il monitoraggio aumentato, il rafforzamento dei sistemi e l'azione preventiva, anche prima che una vulnerabilità sia nota. Questa finestra può essere utilizzata dai CISO per giustificare la pianificazione o l'investimento anticipato.
L'analisi è stata condotta sui CVEs nelle tecnologie di bordo con un punteggio del sistema di valutazione della vulnerabilità comune (CVSS) di 6 o superiore. L'attività pre-divulgazione include la scansione, la forza bruta e i tentativi di exploit, con la maggior parte dei tentativi di exploit zero-day.
Il modello è stato particolarmente prevalente per le vulnerabilità che interessano otto fornitori di dispositivi di bordo: Cisco, Citrix, Fortinet, Ivanti, Juniper, MikroTik, Palo Alto Networks e SonicWall. Il rapporto evidenzia che i gruppi statali come Typhoons si sono concentrati su questi fornitori per il posizionamento preventivo, la sorveglianza e la persistenza dell'accesso.
I difensori cyber dovrebbero aumentare il monitoraggio di questi picchi per prepararsi meglio ai futuri CVEs, secondo il rapporto. Trattare i picchi dell'attività degli attaccanti come avvertimenti anticipati per i futuri CVEs può aiutare le organizzazioni a prendere misure proattive per proteggere i loro sistemi.
In passato, i ricercatori di GreyNoise hanno trovato 216 casi di un picco che precede la divulgazione di un CVE per questi otto fornitori. Questa attività può precedere la divulgazione del CVE di fino a sei settimane, secondo i ricercatori di GreyNoise.
Il rapporto di GreyNoise è particolarmente rilevante per questi otto fornitori di dispositivi di bordo, poiché sono a rischio più elevato di esseretargettati dagli attaccanti. Comprendendo questo modello e prendendo misure proattive, questi fornitori possono proteggere meglio i loro sistemi e i loro utenti.
Leggi anche:
- Esplorazione dei regolamenti relativi alle scommesse e al mantenimento del fair play nella scena sportiva contemporanea
- Info: Imminente uscita di EA SPORTS FC 26 con un'espansione delle squadre e delle leghe di calcio disponibili
- Il trionfo di Trump: ripercussioni nazionali e internazionali della sua elezione
- Non ignorare il sostegno finanziario pubblico alle emittenti
