Il 2024 ha visto un aumento del 20% nel numero di vulnerabilità attivamente sfruttate, con 768 CVE segnalate come exploit in the wild rispetto alle 639 del 2023. Questa crescita riflette una maggiore attenzione da parte di ricercatori e aziende di sicurezza, ma evidenzia anche una corsa sempre più rapida tra attaccanti e difensori.
L’analisi condotta da VulnCheck mostra che quasi un quarto delle vulnerabilità sfruttate (23.6%) erano già sotto attacco il giorno stesso della loro divulgazione pubblica, confermando quanto sia essenziale una risposta tempestiva nel patching e nella gestione delle minacce.
Le tendenze principali dell’exploitation nel 2024
Lo studio di VulnCheck ha individuato alcune tendenze chiave:
- Incremento delle vulnerabilità sfruttate: il numero di CVE attivamente attaccate è aumentato del 20% anno su anno, in linea con il trend di crescita degli ultimi anni.
- Tempi di attacco sempre più brevi: il 23.6% delle vulnerabilità critiche ha subito attacchi prima o nello stesso giorno della pubblicazione.
- Diversificazione delle fonti di segnalazione: oltre 112 fonti diverse hanno riportato per prime nuove minacce, tra cui società di sicurezza come CheckPoint, Fortinet, Aqua Security, enti governativi come CISA e DoD, e gruppi no-profit come Shadow Server.
L’influenza degli eventi di settore sul numero di exploit segnalati
VulnCheck ha rilevato picchi significativi nel numero di vulnerabilità segnalate, spesso in concomitanza con eventi chiave dell’industria:
- Aprile/Maggio: boom di report in coincidenza con la conferenza RSA e la chiusura del trimestre.
- Ingresso di nuove fonti di dati: ad esempio, l’onboarding di ShadowServer a gennaio ha portato a un aumento delle vulnerabilità segnalate.
- Report di grandi aziende: come quelli di CISA, DoD e F5, che hanno rivelato vulnerabilità legate alla botnet Flax Typhoon.
- Collaborazione con Wordfence: che ha permesso di ottenere dati su vulnerabilità sfruttate attivamente ma senza un CVE ID ufficiale.
Come vengono scoperte e segnalate le vulnerabilità?
Secondo VulnCheck, le principali fonti di segnalazione di exploit nel 2024 sono state:
- Aziende di sicurezza (CheckPoint, Fortinet, Aqua Security, F5): il primo livello di difesa per rilevare nuovi attacchi.
- Governi ed enti pubblici (CISA, DoD, NHS): fondamentali per il monitoraggio e la regolamentazione della sicurezza.
- Produttori di software (Microsoft, Google, Apple, Cisco, Ivanti): che spesso segnalano vulnerabilità nei propri prodotti o in software di terze parti.
- Community e social media (Infosec Exchange, LinkedIn, X, Medium): dove i ricercatori indipendenti condividono nuove scoperte.
L’importanza della velocità nella sicurezza informatica
Uno degli aspetti più critici emersi dal report è la necessità di rapidità nella risposta agli attacchi. Con il 23.6% delle vulnerabilità attaccate immediatamente dopo la loro pubblicazione, le aziende devono:
- Monitorare costantemente le nuove vulnerabilità per individuare quelle più critiche.
- Applicare patch in tempi brevi, senza aspettare cicli di aggiornamento mensili.
- Utilizzare soluzioni di threat intelligence come VulnCheck KEV per ottenere informazioni tempestive sugli exploit in corso.
L’analisi di VulnCheck dimostra che il fenomeno degli zero-day non è l’unico problema: anche le vulnerabilità più vecchie continuano a essere sfruttate, rendendo essenziale una gestione proattiva del rischio.
Il 2024 conferma una tendenza preoccupante: il numero di vulnerabilità attivamente sfruttate è in costante aumento, e gli attacchi si verificano sempre più rapidamente dopo la divulgazione delle CVE.
Per difendersi da queste minacce, le aziende devono adottare strategie di aggiornamento rapide, investire in soluzioni di sicurezza avanzate e monitorare costantemente l’evoluzione degli attacchi. La velocità con cui una vulnerabilità può essere sfruttata dimostra che nel mondo della cybersecurity, ogni minuto conta.
