La Zero Day Initiative ha pubblicato oltre 1 rapporti di vulnerabilità nella prima metà del 2023. Tra le vulnerabilità critiche Microsoft zero-days. Promotore della Zero Day Initiative Trend Micro mette in guardia contro un numero sempre maggiore di patch difettose o incomplete.
Trend Micro, uno dei principali fornitori mondiali di soluzioni di sicurezza informatica, annuncia che la sua Zero Day Initiative (ZDI) ha già pubblicato quest'anno oltre 1.000 avvisi su singole vulnerabilità nei prodotti IT. In questo contesto, l'azienda avverte che patch difettose o incomplete vengono pubblicate sempre più frequentemente o che i produttori interessati le stanno implementando segretamente.
Le patch silenziose nascondono le vulnerabilità
Trend Micro sostiene la fine del "silent patching", una pratica che ritarda o minimizza la divulgazione e la documentazione di vulnerabilità e patch. Essendo uno dei maggiori ostacoli nella lotta al crimine informatico, questo metodo è particolarmente comune tra i grandi fornitori e i fornitori di servizi cloud.
“La Zero Day Initiative è stata fondata per chiudere le vulnerabilità prima che vengano sfruttate dai criminali informatici. La necessità di tali misure è ulteriormente sottolineata nell'Unione europea dalla nuova direttiva NIS2", spiega Richard Werner, consulente aziendale di Trend Micro. “Tuttavia, stiamo assistendo a una tendenza preoccupante di mancanza di trasparenza nella divulgazione delle vulnerabilità associate alle patch dei fornitori. Ciò rappresenta una minaccia per la sicurezza informatica del mondo digitale, in quanto priva i clienti dell'opportunità di adottare le proprie ulteriori misure”.
Molti fornitori di servizi cloud si affidano all'applicazione di patch silenziose
Alla conferenza sulla sicurezza Black Hat USA 2023, i rappresentanti di Trend Research hanno dimostrato che l'applicazione di patch silenziose è particolarmente comune tra i fornitori di servizi cloud. Sempre più spesso, questi si astengono dall'assegnare un ID CVE (Common Vulnerabilities and Exposures), che consente la documentazione tracciabile, e rilasciano invece patch in processi non pubblici. La mancanza di trasparenza o di numeri di versione per i servizi cloud ostacola la valutazione dei rischi e priva la comunità della sicurezza di informazioni preziose per migliorare la sicurezza in tutto l'ecosistema.
Già lo scorso anno, Trend Micro ha avvertito di un numero crescente di patch incomplete o errate e di una crescente riluttanza da parte dei fornitori a fornire informazioni affidabili sulle patch in un linguaggio semplice. Nel frattempo, questa tendenza si è intensificata, con alcune aziende che hanno trascurato del tutto l'applicazione delle patch. Di conseguenza, i loro clienti e interi settori sono esposti a rischi evitabili e crescenti. Pertanto, è urgente agire per dare priorità alle patch, correggere le vulnerabilità e incoraggiare la collaborazione tra ricercatori, fornitori di sicurezza informatica e fornitori di servizi cloud per rafforzare i servizi basati su cloud e proteggere gli utenti da potenziali rischi.
Oltre 1.000 vulnerabilità nell'elenco 2023
Con il programma ZDI, Trend Micro si impegna a correggere in modo trasparente le vulnerabilità ea migliorare la sicurezza in tutto il settore. Come parte di questo impegno, la Zero Day Initiative ha recentemente pubblicato notifiche di diverse vulnerabilità zero-day. Uno L'elenco completo degli avvisi di vulnerabilità pubblicati dalla Trend Micro Zero Day Initiative (ZDI) è disponibile in inglese sul sito dell'iniziativa Ecco un estratto delle vulnerabilità con un valore CVSS di 9.9 o 9.8. L'elenco sul sito Web della Zero Day Initiative elenca oltre 1.000 altre vulnerabilità con un valore CVSS compreso tra 9.1 e 2.5.
Estratto di 39 vulnerabilità con CVSS 9.9 e 9.8
ID ZDI | FORNITORE(I) INTERESSATO(I) | CVE | CVSS v3.0 |
ZDI-23-1044 | Microsoft | 9.9 | |
ZDI-23-055 | VMware | CVE-2022-31702 | 9.8 |
ZDI-23-093 | cactus | CVE-2022-46169 | 9.8 |
ZDI-23-094 | Nettalk | CVE-2022-43634 | 9.8 |
ZDI-23-115 | VMware | CVE-2022-31706 | 9.8 |
ZDI-23-118 | Oracle | CVE-2023-21838 | 9.8 |
ZDI-23-168 | SolarWinds | CVE-2022-47506 | 9.8 |
ZDI-23-175 | Oracle | CVE-2023-21890 | 9.8 |
ZDI-23-228 | Ivanta | CVE-2022-44574 | 9.8 |
ZDI-23-233 | PaperCut | CVE-2023-27350 | 9.8 |
ZDI-23-444 | Schneider Electric | CVE-2023-29411 | 9.8 |
ZDI-23-445 | Schneider Electric | CVE-2023-29412 | 9.8 |
ZDI-23-452 | TP-Link | CVE-2023-27359 | 9.8 |
ZDI-23-482 | VMware | CVE-2023-20864 | 9.8 |
ZDI-23-490 | KeySight | CVE-2023-1967 | 9.8 |
ZDI-23-587 | Trend Micro | CVE-2023-32523 | 9.8 |
ZDI-23-588 | Trend Micro | CVE-2023-32524 | 9.8 |
ZDI-23-636 | Schneider Electric | CVE-2022-42970 | 9.8 |
ZDI-23-637 | Schneider Electric | CVE-2022-42971 | 9.8 |
ZDI-23-672 | Delta Electronics | CVE-2023-1133 | 9.8 |
ZDI-23-674 | Delta Electronics | CVE-2023-1140 | 9.8 |
ZDI-23-679 | Delta Electronics | CVE-2023-1136 | 9.8 |
ZDI-23-680 | Delta Electronics | CVE-2023-1139 | 9.8 |
ZDI-23-681 | Delta Electronics | CVE-2023-1145 | 9.8 |
ZDI-23-683 | Delta Electronics | CVE-2023-1133 | 9.8 |
ZDI-23-687 | Canonical | 9.8 | |
ZDI-23-690 | Canonical | 9.8 | |
ZDI-23-702 | Linux | CVE-2023-32254 | 9.8 |
ZDI-23-714 | D-Link | CVE-2023-32169 | 9.8 |
ZDI-23-716 | D-Link | CVE-2023-32165 | 9.8 |
ZDI-23-720 | Moxa | CVE-2023-33236 | 9.8 |
ZDI-23-840 | VMware | CVE-2023-20887 | 9.8 |
ZDI-23-882 | Microsoft | CVE-2023-29357 | 9.8 |
ZDI-23-897 | Software Progress | CVE-2023-36934 | 9.8 |
ZDI-23-906 | Delta Electronics | CVE-2023-34347 | 9.8 |
ZDI-23-920 | NETGEAR | CVE-2023-38096 | 9.8 |
ZDI-23-1025 | Triangolo MicroWorks | CVE-2023-39457 | 9.8 |
ZDI-23-1046 | Automazione induttiva | CVE-2023-39476 | 9.8 |
ZDI-23-1047 | Automazione induttiva | CVE-2023-39475 | 9.8 |
Informazioni su TrendMicro In qualità di uno dei principali fornitori mondiali di sicurezza IT, Trend Micro contribuisce a creare un mondo sicuro per lo scambio di dati digitali. Con oltre 30 anni di esperienza nella sicurezza, ricerca sulle minacce globali e costante innovazione, Trend Micro offre protezione per aziende, agenzie governative e consumatori. Grazie alla nostra strategia di sicurezza XGen™, le nostre soluzioni beneficiano di una combinazione intergenerazionale di tecniche di difesa ottimizzate per ambienti all'avanguardia. Le informazioni sulle minacce in rete consentono una protezione migliore e più rapida. Ottimizzate per carichi di lavoro cloud, endpoint, e-mail, IIoT e reti, le nostre soluzioni connesse forniscono visibilità centralizzata in tutta l'azienda per un rilevamento e una risposta più rapidi alle minacce.