Come gli attacchi Java riescono a superare le barriere della sicurezza?

Siete consapevoli del fatto che Java è visto sempre più come un rischio per la sicurezza? I recenti attacchi ad alto profilo hanno confermato questa tendenza e cercheremo di approfondire questo problema. Con un numero così elevato di vulnerabilità è difficile tenere aggiornato il proprio browser alle ultime versioni– in particolare perché Java viene aggiornato indipendentemente dal browser.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Recentemente abbiamo aggiunto la rilevazione della versione Java ad ACE (Advanced Classification Engine) e l’abbiamo inserita in Websense ThreatSeeker Network per ottenere la telemetria in tempo reale relativa a quali versioni di Java sono state usate attivamente attraverso decine di milioni di endpoint.

Di seguito quanto è stato rilevato:

 

Come potete notare, le versioni Java sono tutte indicate nel grafico. La più recente versione di Java Runtime Environment è 1.7.17, da quanto indicato nel grafico la sta utilizzando solo il 5%. La maggior parte delle versioni sono invece vecchie di mesi e anche anni. Come si traduce questo nello spazio di attacco?

Gli exploit kit sono uno strumento molto comune per la distribuzione di minacce basate su Java. In base a miliardi di richieste web quotidiane che sono state classificate attraverso il nostro network, abbiamo indicato di seguito la ripartizione delle richieste browser attive che sono sfruttabili e quali kit di exploit hanno attacchi incorporati.

 Vulnerabilità Java   Versioni vulnerabili  Vulnerabile   Exploit Kit con exploit live

CVE-2013-1493            1.7.15, 1.6.41                  93,77%         Cool 

CVE-2013-0431            1.7.11, 1.6.38                  83,87%         Cool

Leggi anche:  Hacker russi e nordcoreani usano l’IA di OpenAI per le loro campagne

CVE-2012-5076            1.7.07, 1.6.35                  74,06%         Cool, Gong Da, MiniDuke

CVE-2012-4681            1.7.06, 1.6.34                  71,54%         Blackhole 2.0, RedKit, CritXPack, Gong Da

CVE-2012-1723            1.7.04, 1.6.32                  67,72%         Blackhole 2.0, RedKit, CritXPack, Gong Da

CVE-2012-0507            1.7.02, 1.6.30                  59,51%         Cool, Blackhole 2.0, RedKit, CritXPack, Gong Da

 

Probabilmente non è una sorpresa che la più grande singola vulnerabilità sfruttata è la più recente con una percentuale di browser vulnerabili pari al 93,77%. Questo è quanto fanno i cyber criminali: esaminano le vostre soluzioni di sicurezza e trovano il modo più semplice per aggirarle. Utilizzando una copia dell’ultima versione di Cool e un exploit pre-confezionato si ottiene un livello piuttosto basso per colpire i numerosi browser vulnerabili. La maggior parte dei browser è vulnerabile a una serie molto più ampia di buchi Java con oltre il 75% che utilizza le versioni di sei mesi fa, quasi due terzi utilizzano quelle con più di anno e oltre il 50% dei browser è in ritardo di oltre due anni rispetto alle vulnerabilità Java.

Inoltre, non bisogna dimenticarsi che se non avete la versione 7 (quindi circa il 78,86% degli utenti), Oracle non vi invierà nessun altro aggiornamento anche se sono state scoperte nuove vulnerabilità.

Leggi anche:  Akamai aiuta le aziende a migliorare il proprio livello di sicurezza con la nuova piattaforma Zero Trust

Come è possibile bloccare l’attacco se le patch non sono aggiornate? Vista la complessità e il dinamismo dei kit di exploit e dei propri aggiornamenti, le signature di exploit non sono sufficienti. Il nostro modello di protezione contro i nuovi exploit Java consiste nell’uso delle nostre analytic e della telemetria in tempo reale per intercettare proattivamente nuove istanze in ogni fase della strategia di attacco. ACE copre la fase di exploit kit/exploit con una conoscenza granulare delle minacce provenienti dai principali kit, tra cui non solo le vulnerabilità ma anche le tecniche di offuscamento, re-indirizzazione e re-impacchettamento dei propri file dropper.

Di seguito alcuni altri modi per interrompere la catena malware e rendere più difficile lo sfruttamento dei buchi nell’attuale infrastruttura IT da parte dei cyber criminali:

Intelligence in tempo reale per bloccare esche, phishing e altre forme di social engineering via Web, email e piattaforme mobile

Intelligence inbound in tempo reale per identificare la destinazione di malware conosciuti o sospetti e i siti compromessi

Intelligence outbound in tempo reale per identificare comunicazioni di comando e controllo, reti bot, richieste DNS dinamiche e dati fingerprint indirizzati verso persone o destinazioni errate

Identificazione di dropper malevoli sia statisticamente che in base al comportamento (via Websense ThreatScope)