CISA (Cybersecurity and Infrastructure Security Agency), l’agenzia per la sicurezza informatica e delle infrastrutture statunitense, ha aggiunto il 3 marzo ben 95 nuove vulnerabilità sfruttate dai pirati al suo catalogo online.
Come sottolinea un articolo di Malwarebyte Labs, oltre al numero insolitamente elevato, quel che colpisce è il fatto che queste “nuove” vulnerabilità non sono nuove affatto. La più vecchia, CVE-2002-0367, ha quasi vent’anni e per solo 5 delle 95 citate sono state pubblicate patch nel 2022.
38 sono di prodotti Cisco, 27 di Microsoft, 16 di Adobe e 7 di Oracle. Nove di quelle di Adobe sono di Flash Player, che non è più supportato dalla fine del 2020.
Secondo l’analisi di Malwarebytes Labs, la spiegazione più probabile per queste particolari circostanze è l’utilizzo che in questo momento i pirati legati al conflitto in Ucraina stanno facendo del malware.
Molte delle 95 vulnerabilità citate possono infatti consentire attacchi Denial-of-Service (DoS). Altre possono permettere a dei pirati di eseguire codice arbitrario. Una vulnerabilità in un installer di Windows consente all’attaccante di cancellare dei file sul sistema, ma non di modificarne i contenuti.
Il filo conduttore sembra essere il fatto che queste vulnerabilità sono difficili da sfruttare per un vantaggio economico, ma sono perfettamente utilizzabili a scopo distruttivo. Potrebbero quindi inserirsi nel contesto degli attacchi sferrati dai pirati russi e filorussi contro i paesi che contrastano la guerra in Ucraina.
Questa tesi potrebbe essere confermata dal fatto che alcune delle vulnerabilità citate sono state in passato sfruttate da pirati vicini al governo russo (come una di PowerPoint usata da APT28 nel 2018) o potenze alleate come la Corea del Nord, come le vulnerabilità di Flash Player che in passato si ritiene siano state usate per attacchi mirati dal gruppo Lazarus.
