Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

cybersecurity

Un anno da incubo per le VPN: cronologia degli attacchi 2024

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

Nel 2024 numerosi attacchi informatici hanno evidenziato gravi vulnerabilità nei sistemi di accesso remoto, compromettendo la sicurezza di reti aziendali e istituzionali

Pubblicato il 22 mag 2025
Paolo Passeri

Cyber Intelligence Principal, Netskope

perimetro di sicurezza nazionale cibernetica; cerebro

Lo sfruttamento da parte degli attaccanti di vulnerabilità inerenti le tecnologie tradizionali di accesso remoto come le VPN è stato un argomento ricorrente nel panorama della sicurezza informatica nel corso del 2024 (ed un trend che non sembra diminuire nel corso del 2025).

Dopo la grande corsa alla messa in esercizio massiva di soluzioni VPN, dapprima con la pandemia e successivamente con l’esplosione del lavoro da remoto, come si spiega l’insorgere di vulnerabilità riguardanti le tecnologie VPN ad una simile frequenza?

Giorgio Sbaraglia: “VPN per il lavoro agile, perché e come sceglierle” (video)

Configurazioni errate e vulnerabilità storiche delle VPN

Nel 2020, le organizzazioni si sono viste costrette a garantire l’accesso remoto ai dipendenti il più rapidamente possibile per continuare a svolgere le proprie attività e preservare la continuità del business. Si sono così trovate di fronte alla difficile decisione di anteporre la produttività alla sicurezza. Come conseguenza, le nuove tecnologie sono state spesso messe in esercizio con impostazioni predefinite non sicure o senza un solido processo di patching. Gli effetti negativi di una tecnologia già obsoleta si sono quindi moltiplicati. Di conseguenza, è aumentata la probabilità di errori di configurazione e di creazione di un inventario tecnologico ampliato senza un’attenta valutazione dei requisiti di patching e manutenzione. Purtroppo questa tendenza non è terminata con la fine della pandemia.

Attacchi alle tecnologie VPN: trend e conseguenze del 2024

Gli attaccanti sono stati pertanto in grado di sfruttare sistematicamente le vulnerabilità e le impostazioni di sicurezza deboli predefinite delle vecchie tecnologie di accesso remoto, in particolare dei concentratori VPN. Di conseguenza, nel 2024 si è registrato un numero senza precedenti di campagne malevole che hanno sfruttato difetti software presenti proprio nei dispositivi che avrebbero dovuto garantire un accesso sicuro alle risorse interne.

Consapevolezza e riduzione della superficie di attacco

Ne consegue che è di fondamentale importanza per le organizzazioni comprendere la dinamica di questi attacchi, per diminuire la superfice di attacco e proteggersi adeguatamente dai rischi delle tecnologie di accesso remoto non suffiicientemente sicure.

Cronologia delle principali vulnerabilità accesso remoto nel 2024

Di seguito sono elencati gli exploit più importanti nel campo delle tecnologie di accesso remoto che si sono fatti notare nel 2024.

10 gennaio 2024

Nel dicembre 2023, gruppi di attaccanti sostenuti da nazioni ostili hanno iniziato a sfruttare sistematicamente le vulnerabilità di tipo authentication bypass e command injection, rispettivamente CVE-2023-46805 e CVE-2024-21887, riguardanti le tecnologie Ivanti Connect Secure e Policy Secure.

Ivanti ha rivelato per la prima volta le vulnerabilità il 10 gennaio 2024. Lo sfruttamento è stato così diffuso che la Cybersecurity & Infrastructure Security Agency (CISA) degli Stati Uniti ha dovuto emettere una direttiva di emergenza in risposta. Tutte le agenzie hanno dovuto attuare immediatamente le contromisure pubblicate dal fornitore. Ironicamente, la stessa CISA ha annunciato in seguito di essere stata a sua volta colpita attraverso lo sfruttamento delle stesse due vulnerabilità.

16 gennaio

Citrix ha esortato i propri clienti ad applicare urgentemente le patch di sicurezza ai propri dispositivi Netscaler ADC e Netscaler Gateway esposti online contro le vulnerabilità CVE-2023-6548 e CVE-2023-6549, rispettivamente una vulnerabilità di tipo code injection e buffer overflow, attivamente sfruttate dagli attaccanti.

29 gennaio

È stato rilevato lo sfruttamento di CVE-2020-3259, una vecchia vulnerabilità di tipo information disclosure impattante i dispositivi Cisco ASA e FTD, da parte del gruppo ransomware Akira. Questa serie di incidenti è particolarmente significativa, in quanto la patch per questa vulnerabilità è stata rilasciata a maggio 2020; tuttavia, lo sfruttamento su larga scala da parte del gruppo ransomware Akira è stato scoperto (solo) quasi quattro anni dopo, fatto che suggerisce come molte organizzazioni non avessero messo in atto le contromisure raccomandate dal fornitore.

31 gennaio

Tre settimane dopo la sua divulgazione iniziale, Ivanti ha corretto CVE-2024-21893, una vulnerabilità di tipo server-side request forgery nei suoi prodotti Connect Secure, Policy Secure e Neurons, sotto attacco da parte di attori ostili..

7 febbraio

Fortinet è stato un altro fornitore sotto pressione nel 2024. Tutto è iniziato a febbraio, quando è stato scoperto che il gruppo cinese di spionaggio informatico Volt Typhoon si era infiltrato nel Ministero della Difesa olandese nel 2023, utilizzando un nuovo malware denominato “Coathanger”. Il malware sfruttava CVE-2022-42475, una vulnerabilità di tipo heap-based buffer overflow riguardante il sistema operativo FortiOS SSL-VPN, utilizzata per la prima volta a dicembre 2022. Ben presto è risultato chiaro che la campagna era molto più estesa di quanto si pensasse in precedenza. Il risultato è stata la compromissione di almeno 20.000 sistemi in tutto il mondo.

8 febbraio

Solo un giorno dopo, lo stesso fornitore ha reso nota CVE-2024-21762/FG-IR-24-015, una vulnerabilità di tipo out-of-bounds write nel sistema operativo SSL VPN FortiOS che è “potenzialmente sfruttata su vasta scala” dagli attaccanti.

Lo stesso giorno, Ivanti ha avvisato i propri clienti di CVE-2024-22024, una nuova vulnerabilità di tipo authentication bypass nei propri gateway Connect Secure, Policy Secure e ZTA, per la quale sono stati immediatamente osservati tentativi di sfruttamento.

12 aprile

Palo Alto Networks ha avvisato i propri clienti di aver rilevato tentativi di attacco sfruttando CVE-2024-3400, una vulnerabilità critica della riga di comando che prende di mira il sistema operativo PAN-OS per eseguire codice arbitrario sui firewall del fornitore in attacchi mirati.

24 aprile

​Cisco ha avvertito che un gruppo di attori malevoli sponsorizzati da nazioni ostili, noto come UAT4356 o STORM-1849, è stato scoperto intento a sfruttare le vulnerabilità zero-day CVE-2024-20353 e CVE-2024-20359 nei suoi firewall Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD). Questa attività faceva parte di una campagna più ampia chiamata ArcaneDoor, attiva da novembre 2023, che ha preso di mira le reti governative di tutto il mondo.

30 maggio

A maggio è stato scoperto che gli attaccanti stavano sfruttando CVE-2024-24919, una vulnerabilità zero-day di elevata gravità di tipo information disclosure, nei dispositivi Check Point Remote Access VPN, per sottrarre illecitamente i dati di Active Directory necessari a muoversi lateralmente nelle reti delle vittime.

9 settembre

SonicWall ha avvisato che una falla nel controllo degli accessi in SSLVPN SonicOS, recentemente risolta e nota come CVE-2024-40766, poteva essere “potenzialmente” sfruttata in attacchi. L’azienda ha esortato gli amministratori ad applicare le patch il prima possibile. Il giorno dopo, i ricercatori di sicurezza hanno confermato che la vulnerabilità era in corso di sfruttamento per attacchi ransomware.

10 settembre

Ivanti ha confermato lo sfruttamento attivo di CVE-2024-8190, una grave vulnerabilità di tipo command injection del sistema operativo della propria Cloud Services Appliance (CSA).

19 settembre

Pochi giorni dopo, Ivanti ha avvisato che gli attaccanti stavano sfruttando CVE-2024-8963, una vulnerabilità di tipo path traversal inerente la tecnologia Cloud Services Appliance (CSA), utilizzata in combinazione con CVE-2024-8190, per attaccare “un numero limitato di clienti”.

9 ottobre

Tre nuove vulnerabilità di Ivanti, CVE-2024-9379 (SQL Injection), CVE-2024-9380 (OS Command Injection) e CVE-2024-9381 (Path Traversal) sono state rese note, interessanti la stessa Cloud Services Appliance, attivamente sfruttate, concatenate singolarmente con CVE-2024-8963.

Lo stesso giorno, la CISA ha aggiunto al suo catalogo di vulnerabilità sfruttate note CVE-2024-23113, una vulnerabilità di tipo format string interessante diversi prodotti Fortinet, richiedendo alle agenzie federali di correggerla entro tre settimane. È importante notare che questa vulnerabilità era stata risolta nel febbraio 2024, ma il suo sfruttamento su larga scala è stato scoperto solamente diversi mesi dopo.

18 novembre

Palo Alto Networks ha rilasciato correzioni per due vulnerabilità, CVE-2024-0012 e CVE-2024-9474, nei suoi next gen firewall, che hanno causato un numero crescente di attacchi nel novembre 2024. Si tratta rispettivamente di vulnerabilità di tipo authentication bypass e command injection.

2 dicembre

La vulnerabilità più obsoleta e attivamente sfruttata nel 2024 è stata CVE-2014-2120, una vulnerabilità di tipo cross-site scripting (XSS) vecchia di 10 anni riguardante i dispositivi Cisco Adaptive Security Appliance (ASA).

Il fornitore ha scoperto tentativi di sfruttamento nel novembre 2024 e ha vivamente consigliato ai clienti di aggiornare il software a una versione corretta. Questo è un esempio di come i bug del software possano essere sfruttati anche molti anni dopo la loro scoperta e correzione.

Zero Trust Network Access: l’alternativa sicura alle vpn tradizionali

Le tecnologie VPN tradizionali hanno una valida alternativa nel paradigma Zero Trust Network Access. ZTNA consente di pubblicare e segmentare facilmente le risorse in un data center locale o in un cloud privato o pubblico, senza esporre direttamente i punti di accesso.

Sono in grado di pubblicare qualsiasi servizio sulla rete dell’organizzazione senza esporlo direttamente, impedendo che possa essere analizzato alla ricerca di vulnerabilità, eventualmente sfruttate, da parte degli attaccanti. I publisher non sono direttamente esposti e necessitano solo di traffico in uscita, riducendo l’impatto di configurazioni errate o vulnerabilità zero-day, anche nei casi in cui le organizzazioni non dispongano di una solida politica di aggiornamento dei sistemi di sicurezza.

Abbiamo visto troppi casi in cui le vulnerabilità sono state sfruttate per diversi mesi o addirittura anni dopo la loro pubblicazione iniziale e la disponibilità di un aggiornamento di sicurezza, questo perché le organizzazioni interessate non hanno installato tempestivamente gli aggiornamenti.

L’adozione di un approccio di tipo zero trust è raccomandata, ove possibile, per superare i limiti delle tecnologie tradizionali di accesso remoto e ridurre il rischio di sfruttamento.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • great firewall china (1)

  • privacy e libertà

    Cina, la sorveglianza su internet è completa: l'ID digitale universale è schiaffo all'Occidente

    09 Lug 2025

    di Gabriele Iuvinale e Nicola Iuvinale

    Condividi
  • identità digitale e diritti digitali validità carta identità cartacea; Intesa CIE

  • Unione europea

    Diritti digitali, ecco le tutele di base in Europa per i cittadini

    16 Apr 2025

    di Laura Palazzani

    Condividi