Cloudflare: hacker usano exploit PoC 22 giorni dopo il rilascio

Gli autori delle minacce sono rapidi nell'utilizzare gli exploit proof-of-concept (PoC) disponibili come armi in attacchi veri e propri. A volte ciò accade anche solo 22 minuti dopo che gli exploit sono stati resi pubblici. Questo è quanto emerge dal recente report sulla sicurezza delle applicazioni di Cloudflare, che copre l'attività tra maggio 2023 e marzo 2024. Cloudflare, che attualmente elabora una media di 57 milioni di richieste HTTP al secondo, continua a registrare un'intensa attività di scansione per rilevare CVE divulgate, seguita da iniezioni di comandi e tentativi di usare come armi gli exploit PoC disponibili. Nel periodo esaminato, le vulnerabilità più frequentemente rilevate nei prodotti Apache sono state CVE-2023-50164 e CVE-2022-33891. In Coldfusion sono state CVE-2023-29298, CVE-2023-38203 e CVE-2023-26360, mentre in MobileIron è stata CVE-2023- 35082.

Cloudflare: usare l’AI per trovare soluzioni efficaci contro gli attacchi

L’azienda ha osservato il caso di un utente malintenzionato che ha implementato un exploit PoC 22 minuti dopo la sua pubblicazione. L’azienda afferma che l’unico modo per contrastare questa velocità è sfruttare l’assistenza dell’intelligenza artificiale per sviluppare rapidamente regole di rilevamento efficaci. Come spiegato dall’azienda nel suo report: "la velocità di sfruttamento dei CVE divulgati è spesso più rapida della velocità con cui gli esseri umani possono creare regole WAF o creare e distribuire patch per mitigare gli attacchi. Ciò vale anche per il nostro team di analisti di sicurezza interni che mantiene il set di regole gestite da WAF, che ci ha portato a combinare le firme scritte da persone con un approccio basato sul machine learning per ottenere il miglior equilibrio tra un basso numero di falsi positivi e velocità di risposta".

Cloudflare afferma che ciò è in parte il lavoro di hacker specifici, specializzati in determinate categorie e prodotti CVE. Un altro dato sconcertante del report di Cloudflare è che il 6,8% di tutto il traffico Internet giornaliero è traffico DDoS (Distributed Denial of Service). Questo rendere app e servizi online non disponibili agli utenti legittimi. L’azienda afferma che durante eventi di attacco globale di grandi dimensioni, il traffico dannoso può rappresentare fino al 12% di tutto il traffico HTTP. Come ricordato ancora nel report: "concentrandosi esclusivamente sulle richieste HTTP, nel primo trimestre del 2024 Cloudflare ha bloccato una media di 209 miliardi di minacce informatiche ogni giorno (+86,6% su base annua) [...che] rappresenta un aumento sostanziale in termini relativi rispetto allo stesso periodo dell'anno scorso". Il documento dell'azienda fornisce infine ulteriori raccomandazioni e approfondimenti sulle statistiche delle vulnerabilità.