A luglio 2023, abbiamo analizzato l’indicizzazione di circa 700 aziende venete con un fatturato tra i 50 e 300 milioni di euro. Il quadro che ne è emerso è decisamente preoccupante.
7 aziende su 10 hanno presentato vulnerabilità
133 vulnerabilità riscontrate in media per azienda
Se analizziamo in maniera aggregata le singole vulnerabilità il quadro risulta ancor più critico:
72557 vulnerabilità riscontrate
Il 21% delle vulnerabilità ha una classificazione ufficiale di “critica”
Il 13% delle vulnerabilità critiche rinvenute presentava almeno un exploit pubblico disponibile
Prima di proseguire con l’analisi dei dati, tuttavia, è necessario ricordare come funziona il mondo delle vulnerabilità informatiche. Quando viene scoperta una vulnerabilità in un servizio particolarmente utilizzato, questa viene comunicata non solo dal ricercatore all’azienda/ente produttrice/manutentrice del servizio o applicativo ma anche ad una delle Autorità dell’ambito (le cosiddette CNA ovverosia le CVE Numbering Authorities come, ad esempio, la MITRE Corporation). Quest’ultima assegna alla vulnerabilità un codice identificativo (il cosiddetto CVE o, per meglio dire, il CVE-ID) e la inserisce all’interno di un database pubblicamente disponibile, con indicate tutte le informazioni tecniche di riferimento.
Questa pratica è fondamentale per salvaguardare la sicurezza di tutte le società che utilizzano quel servizio. Quando viene usato un vulnerability scanner, infatti, viene verificato all’interno del database quali siano le vulnerabilità che afferiscono alla particolare rete aziendale consentendo così di risolvere velocemente la problematica.
Tuttavia è bene ricordare – dato che siamo in tema – che uno scanner non è una panacea a tutti i mali: riesce ad identificare le vulnerabilità principali, non può sostituire uno sguardo professionale esperto o analizzare applicativi e soluzioni non diffuse a livello globale. Per tale motivo, vi è una distinzione tra Vulnerability Scan e Vulnerability Assessment: il primo identifica le vulnerabilità esclusivamente facendo riferimento ai dati pubblici e senza contestualizzare le rilevazioni all’interno del network specifico, il secondo deve analizzare anche gli applicativi/servizi minori e contestualizzare il tutto nelle specifiche del network analizzato.
Fatta questa doverosa premessa, torniamo ad analizzare i dati emersi da quest’analisi sulle aziende venete.
Delle 72557 vulnerabilità rilevate, ben 15490 sono afferenti a CVE critiche, 24583 a CVE elevate e 30791 a CVE medie.
Il quadro non può che peggiorare nel momento in cui si vada a verificare quanti exploit pubblicamente disponibili siano effettivamente applicabili a queste rilevazioni:
Perché abbiamo rinvenuto queste problematiche? In alcuni casi il problema può essere derivante dall’impossibilità di aggiornare i sistemi per incompatibilità degli applicativi, in altri possono essere problematiche di fondi e/o sovvenzioni mancanti al budget di sicurezza o, in altri ancora, banale dimenticanza dell’esistenza di un servizio. Quest’ultima capita più spesso di quel che si creda. Si pensi ad una struttura complessa con molti utenti e, magari, più società nel gruppo: quant’è facile, nel mentre dell’evoluzione costante di un’azienda, dimenticarsi di aver cambiato un applicativo e aver lasciato – inizialmente per consentire il passaggio agevole agli utenti – il vecchio applicativo esposto?
Ciò che è certo è che non è possibile identificare un’unica motivazione per la quale abbiamo potuto rinvenire questi dati, così come non è detto che una versione di un servizio/applicativo sia immediatamente applicabile al suo dispiegamento. Tuttavia, il quadro che ne emerge è quanto meno preoccupante e denota una postura di sicurezza piuttosto precaria per molte aziende del nostro territorio.
Come abbiamo ottenuto questi dati? Non abbiamo effettuato analisi attive sulle aziende. Abbiamo interrogato vari servizi di terza parte (alcuni gratuiti, altri che richiedono una sottoscrizione a pagamento) che indicizzano ogni indirizzo IP/servizio esposto alla rete internet alla ricerca di eventuali problematiche di sicurezza e verificato con i database ufficiali delle autorità.