ID: CERT-PA-B Data: 30/12/2015

Transcript

1 Bollettino: Statistiche vulnerabilità 2015 ID: Data: 30/12/2015 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento degli scenari di minaccia rilevati dal CERT-PA, al fine di consentire loro di avviare tempestivamente valutazioni di impatto sui propri sistemi informativi e implementare le misure di contrasto/contenimento dei rischi correlati. Il CERT-PA, nell erogare al meglio questo servizio, si avvale di propri fornitori e di fonti pubbliche disponibili in Rete, individuati e selezionati tra i più autorevoli organismi di sicurezza, aziende specializzate e fornitori di tecnologie, al fine di garantire alla comunità di riferimento con la massima accuratezza, affidabilità e tempestività possibile le informazioni utili per la prevenzione e la gestione degli incidenti di sicurezza informatica. Non è consentito far uso di queste informazioni per finalità differenti da quelle sopra indicate. La presenza di rinvii operati mediante tecniche di ipertesto (link) non costituisce una raccomandazione del CERT-PA verso il soggetto richiamato, ma unicamente uno strumento per facilitare il rapido recupero di informazioni utili.

2 Indice Sommario Statistiche vulnerabilità per l anno Totali vulnerabilità Vulnerabilità per CVSS Base Score... 4 Top 10 CWE per il Top vulnerabilità per Vendor e Prodotto... 7 Statistiche ultimi 10 anni: Microsoft... 8 Statistiche per mese: Microsoft... 9 Vulnerabilità pubblicate per range CVSS: Microsoft... 9 Statistiche ultimi 10 anni: Adobe Flash Player Statistiche per mese: Adobe Flash Player Vulnerabilità pubblicate per range CVSS: Adobe Flash Player Statistiche ultimi 10 anni: Microsoft Internet Explorer Statistiche per mese: Microsoft Internet Explorer Vulnerabilità pubblicate per range CVSS: Microsoft Internet Explorer Statistiche ultimi 10 anni: Mozilla Firefox Statistiche per mese: Mozilla Firefox Vulnerabilità pubblicate per range CVSS: Mozilla Firefox Statistiche ultimi 10 anni: Google Chrome Statistiche per mese: Google Chrome Vulnerabilità pubblicate per range CVSS: Google Chrome Riferimenti di 27

3 Sommario Questa sezione contiene l elenco delle minacce oggetto del presente bollettino. Dalle segnalazioni e dal monitoraggio delle fonti, il CERT-PA evidenzia: 1. Statistiche vulnerabilità per l anno 2015 L anno solare 2015 che va a concludersi è stato caratterizzato da una crescente attenzione nel tema della sicurezza, non più solo come fonte di potenziale danno alla produttività aziendale, ma come generico rischio per le attività sociali, personali e collettive. La maggiore disponibilità di device connessi ad Internet e la loro grande varietà e variabilità in termini di gamma di prodotto, connessa alla promiscuità di utilizzo che spesso se ne fa, rendono ancor più necessaria una corretta gestione degli assett ed una pronta risposta in caso di minaccia concreta o potenziale. Nell ultimo bollettino dell anno solare il CERT-PA riporta una serie di statistiche riguardanti la pubblicazione delle vulnerabilità per l anno La fonte dati utilizzata è il National Vulnerability Database del NIST ed le statistiche che seguono aggiornate al 29 dicembre Totali vulnerabilità 2015 Di seguito il conteggio delle vulnerabilità pubblicate negli ultimi 10 anni (dal 2006 al 2015). 2 di 27

4 Figura 1 - Vulnerabilità per anno dal 2006 al 2015 L anno solare 2015 vede una diminuzione nel numero di CVE pubblicati del 20% circa rispetto al 2014 che determinò il record massimo nel numero di vulnerabilità annuali di sempre. Di seguito il numero di CVE pubblicati mensilmente nell anno Figura 2 - Numero di vulnerabilità per mese 3 di 27

5 Vulnerabilità per CVSS Base Score Il Common Vulnerability Scoring System è attualmente il miglior indicatore della natura e dell impatto potenziale di qualsiasi vulnerabilità. È ufficialmente utilizzato dal NIST che ne calcola il Base Score da applicare ad ogni vulnerabilità analizzata e confermata. La tabella seguente riporta i dati per vulnerabilità in quattro range di CVSS. % CVE Range 4% CVSS < 3 39% 3 < CVSS <= 5 35% 5 < CVSS <= % CVSS > 7.5 Si nota la preminenza delle classi di CVSS comprese fra valori superiori a 3 ed inferiori o uguali a 7.5 Figura 3 - Vulnerabilità 2015 per range CVSS Rispetto all anno 2014 è evidente che, nonostante il minor numero di vulnerabilità totali registrate nel 2015, quelle con valore superiore al 7.5 sono aumentate passando dal 13,12% all attuale 22%. Di seguito un prospetto globale sulle metriche dei CVSS dell anno 2015: 4 di 27

6 5 di 27

7 Top 10 CWE per il 2015 Di seguito si riportano i dati relativi alle vulnerabilità pubblicate nel 2015 aggregate per ID di Common Weakness Enumeration. # CVE CWE ID CWE Name Improper Restriction of Operations within the Bounds of a Memory Buffer 3^ Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') 2^ Information Exposure 6^ Permissions, Privileges, and Access Controls 4^ Improper Input Validation 5^ Resource Management Errors 8^ Cross-Site Request Forgery (CSRF) 9^ Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') 7^ Improper Access Control * Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') 10^ *non presente tra i primi 10 CWE ID dell anno 2014 I dati se paragonati all anno precedente indicano che: Figura 4 - Principali CWE del La CWE ID 310 (Cryptographic Issues) capolista del 2014 non appare tra le prime 10 del Il CWE ID 284 emerge rispetto all anno precedente posizionandosi al nono posto 6 di 27

8 Inoltre i dati se paragonati all ultima Top 10 OWASP disponibile evidenziano che la tabella, nonostante sia specifica per il mondo web application, contiene un intersezione positiva dei risultati. Top vulnerabilità per Vendor e Prodotto Di seguito si riportano le tabelle riassuntive con la classifica dei primi dieci vendor per numero di CVE pubblicati nel 2015 e nel # CVE Vendor Apple Microsoft Cisco Oracle Adobe Ibm Google Mozilla Canonical Novell TOT # CVE Vendor Ibm Oracle Microsoft Cisco Apple RedHat Google Adobe Linux Mozilla TOT 2626 Pur avendo, per il 2015 un totale di vulnerabilità pubblicate inferiore rispetto all anno precedente, il totale delle vulnerabilità considerando i top 10 riportati sopra, cresce di quasi il 30%. Si noti in particolare la crescita che hanno avuto nel 2015 Apple e Adobe. In generale tutti i grandi vendor possono contare su un numero superiore di CVE pubblicati. Segno di una reazione dei grandi vendor alla crescita del cybercrime. La cosa può risultare ancora più chiara osservando la classifica dei dieci prodotti con maggiori CVE pubblicati per l anno 2015 ed il precedente # CVE Vendor Prodotto Apple Mac os x Apple Iphone os Adobe Flash player Adobe Air sdk Adobe Air sdk & compiler Adobe Air Microsoft Internet explorer Google Chrome Mozilla Firefox Microsoft Windows server 2012 TOT # CVE Vendor Prodotto Microsoft Internet Explorer Linux Linux Kernel Apple Mac OS X Google Chorme Apple Iphone Os Oracle JRE Oracle JDK Mozilla Firefox 9 81 Apple Apple Tv Canonical Ubuntu Linux TOT di 27

9 A titolo di ulteriore analisi, nei paragrafi successivi verranno riportare le statistiche particolareggiate per il vendor Microsoft, il prodotto Adobe Flash player oltre ai principali browser internet. Statistiche ultimi 10 anni: Microsoft Figura 5 - CVE pubblicati ultimi 10 anni Microsoft 8 di 27

10 La statistica per il vendor Microsoft mostra che le vulnerabilità riscontrate sono aumentate del 52% circa rispetto all anno precedente. Statistiche per mese: Microsoft Figura 6 - CVE pubblicati per mese nel Microsoft Vulnerabilità pubblicate per range CVSS: Microsoft % CVE Range 5% CVSS < 3 20% 3 < CVSS <= 5 17% 5 < CVSS <= % CVSS > di 27

11 Figura 7 - Vulnerabilità pubblicate per range CVSS - Microsoft Si noti che circa il 59% delle vulnerabilità del produttore Microsoft per l anno 2015 ha un punteggio CVSS maggiore di 7.5 contro la media globale che si attestata al 22%. Di seguito un prospetto con le metriche dei CVSS dell anno 2015 per Microsoft: 10 di 27

12 11 di 27

13 Statistiche ultimi 10 anni: Adobe Flash Player Figura 8 - CVE pubblicati ultimi 10 anni Adobe 12 di 27

14 Per il prodotto Adobe Flash Player la statistica mostra che rispetto all anno precedente le vulnerabilità riscontrate sono aumentate di circa il 309% contrassegnando uno dei peggiori andamenti tra quelli registrati nei software di largo consumo. Tale dato tende ad auspicare una tendenza di sviluppo verso nuovi prodotti che non utilizzino Flash Player in ragione del markup HTML 5 con particolare riferimento ai tag <video> e <audio> e supporto Canvas. Statistiche per mese: Adobe Flash Player Figura 9 - CVE pubblicati per mese nel 2014 Adobe Flash Player Vulnerabilità pubblicate per range CVSS: Adobe Flash Player % CVE Range 0% CVSS < 3 9% 3 < CVSS <= 5 2% 5 < CVSS <= % CVSS > di 27

15 Figura 10 - Vulnerabilità per range CVSS - Adobe Flash Player Si noti che circa il 89% delle vulnerabilità di Adobe Flash Player pubblicate nell anno 2015 ha un punteggio CVSS maggiore di 7.5 contro la media globale che si attestata al 22%. Di seguito un prospetto con le metriche dei CVSS dell anno 2015 per Adobe Flash Player: 14 di 27

16 15 di 27

17 Statistiche ultimi 10 anni: Microsoft Internet Explorer Figura 11 - CVE pubblicati ultimi 10 anni - Internet Explorer 16 di 27

18 Statistiche per mese: Microsoft Internet Explorer Figura 12 CVE pubblicati per mese nel Internet Explorer Vulnerabilità pubblicate per range CVSS: Microsoft Internet Explorer % CVE Range 0% CVSS < 3 16% 3 < CVSS <= 5 5% 5 < CVSS <= % CVSS > di 27

19 Figura 13 - Vulnerabilità pubblicate per range CVSS Internet Explorer Di seguito un prospetto complessivo delle metriche dei CVSS dell anno 2015 per Internet Explorer: 18 di 27

20 19 di 27

21 Statistiche ultimi 10 anni: Mozilla Firefox Figura 14 CVE pubblicati ultimi 10 anni - Mozilla Firefox 20 di 27

22 Statistiche per mese: Mozilla Firefox Figura 15 - CVE pubblicati per mese nel Mozilla FireFox Vulnerabilità pubblicate per range CVSS: Mozilla Firefox % CVE Range 2% CVSS < 3 32% 3 < CVSS <= 5 50% 5 < CVSS <= % CVSS > di 27

23 Figura 16 - Vulnerabilità per range CVSS Mozilla Firefox Di seguito un prospetto complessivo delle metriche dei CVSS dell anno 2015 per Mozilla Firefox: 22 di 27

24 23 di 27

25 Statistiche ultimi 10 anni: Google Chrome Figura 17 - CVE pubblicati ultimi 10 anni - Google Chrome 24 di 27

26 Statistiche per mese: Google Chrome Figura 18 - CVE pubblicati per mese nel Google Chrome Vulnerabilità pubblicate per range CVSS: Google Chrome % CVE Range 0,00% CVSS < 3 31% 3 < CVSS <= 5 65% 5 < CVSS <= 7.5 4% CVSS > di 27

27 Figura 19 - Vulnerabilità per range CVSS Google Chrome Di seguito un prospetto con le metriche dei CVSS dell anno 2015 per Google Chrome: 26 di 27

28 Riferimenti di 27