Traffico anomalo di rete: il nuovo campanello d’allarme per le vulnerabilità dei dispositivi edge

I segnali nascosti nelle reti che preannunciano le prossime vulnerabilità

Prima di sfruttare una vulnerabilità in un dispositivo edge, gli attaccanti conducono una fase di ricognizione per valutare la diffusione della falla e il livello di accesso ottenibile. Questa attività preliminare, seppur silenziosa, lascia tracce rilevabili sotto forma di picchi anomali di traffico diretti verso specifici vendor. Secondo una ricerca esclusiva di GreyNoise, questi segnali possono fungere da sistema di allerta precoce, spesso anticipando di settimane le pubbliche disclosure delle vulnerabilità.

Dallo studio di GreyNoise: il 50% dei picchi di traffico prelude a nuove vulnerabilità

Durante un monitoraggio durato 103 giorni nell’inverno 2023, GreyNoise ha rilevato 104 distinti picchi di attività su 18 vendor di dispositivi edge, tra cui router, VPN, firewall e sistemi di sicurezza. L’analisi ha evidenziato che circa la metà di questi picchi (50%) è stata seguita entro tre settimane dalla pubblicazione di una vulnerabilità da parte dello stesso vendor.

In particolare, il tempo medio di preavviso tra l’attività sospetta e la disclosure pubblica è risultato di nove giorni. Andrew Morris, fondatore e chief architect di GreyNoise, ha dichiarato a CyberScoop:

«Praticamente ogni volta che osserviamo picchi su larga scala di attività di ricognizione e inventario mirati a un dispositivo specifico, è perché qualcuno conosce già una vulnerabilità. Entro pochi giorni o settimane — solitamente entro i tempi di una disclosure responsabile — viene pubblicata una nuova vulnerabilità molto pericolosa.»

Dispositivi di sicurezza nel mirino: l’ironia delle vulnerabilità

I sistemi di sicurezza, come firewall e appliance, sono tra i dispositivi più frequentemente presi di mira dagli attaccanti. «Gli attaccanti adorano violare i dispositivi di sicurezza. L’ironia non mi sfugge affatto», ha commentato Morris. Nonostante l’elevato rischio, molte organizzazioni non adottano misure drastiche per mitigare queste minacce, come la sostituzione dei dispositivi obsoleti o l’adozione di soluzioni più sicure.

Come riconoscere un segnale di allerta affidabile

GreyNoise ha sviluppato un metodo per analizzare l’intensità e la portata dei picchi di traffico, distinguendo tra:

• Conteggio delle sessioni: indica quanto aggressivamente le fonti esistenti stanno testando un vendor specifico.
• Conteggio degli indirizzi IP unici: mostra quanta nuova infrastruttura si sta unendo all’attività sospetta.

Quando entrambi i parametri aumentano contemporaneamente, si tratta di un segnale di escalation coordinata. Morris spiega:

«Se osservate un picco di sessioni verso uno dei vostri vendor e, nello stesso momento, nuovi indirizzi IP si uniscono all’attività, trattatelo come un motivo ad alta affidabilità per indagare più a fondo. Se invece vedete solo un aumento degli IP, non assumete automaticamente che sia in arrivo una vulnerabilità.»

Le vulnerabilità correlate: un fenomeno in crescita

Lo studio di GreyNoise si allinea ad altre ricerche recenti, tra cui quelle di Verizon, Google Threat Intelligence Group e Mandiant, pubblicate durante quello che l’azienda definisce «il periodo più intenso di disclosure di vulnerabilità degli ultimi anni». I dati suggeriscono che questo fenomeno sta diventando sempre più prevedibile, tanto da assomigliare a un modello meteorologico piuttosto che a un evento casuale.

«Stiamo assistendo a una correlazione scientificamente empirica»

ha aggiunto Morris. «Questo schema si sta ripetendo con una precisione quasi meccanica. È diventato un fenomeno sistematico.»

Cosa possono fare le organizzazioni per proteggersi

GreyNoise sottolinea che ogni giorno di preavviso è prezioso per i difensori. Ecco alcune azioni consigliate:

• Monitoraggio costante: Implementare sistemi di rilevamento delle anomalie per identificare tempestivamente i picchi di traffico sospetti.
• Analisi proattiva: Investigare i picchi che coinvolgono sia l’intensità che la portata, poiché rappresentano un rischio elevato.
• Aggiornamenti tempestivi: Applicare le patch di sicurezza non appena vengono rilasciate, soprattutto per i dispositivi edge più esposti.
• Sostituzione dei dispositivi obsoleti: Valutare la sostituzione di sistemi di sicurezza datati o vulnerabili, anche se l’impatto potrebbe sembrare limitato.