Scarica il report di Gennaio/Febbraio 2014!

Download Report

Transcript Scarica il report di Gennaio/Febbraio 2014! 

Gennaio-Febbraio 2014
Vulnerability Trends
Flashreport
Tipologie di vulnerabilità
Il report “Vulnerability Trends Flash Report”
del CERT di Poste Italiane fornisce una sintesi
delle ultime vulnerabilità pubblicate nel
National Vulnerability Database (NVD) del
NIST (National Institute of Standards and
Technology). Le vulnerabilità, descritte
secondo lo standard CVE, sono organizzate
per criticità determinate secondo lo standard
CVSS v2. La classificazione della gravità è
legata al punteggio CVSS secondo il seguente
schema:
Severity
High
Medium
Low
Le maggiori tipologie di vulnerabilità riscontrate nei mesi di
gennaio e febbraio sono relative ad attacchi di tipo Denial of
Service (22%) , Code Execution (18%), Cross site Scripting
(14%) e Overflow (11%). Sono stati pubblicati 52 exploit.
Gennaio
Febbraio
DoS
Code Execution
Overflow
Memory Corruption
Sql Injection
Score CVSSv2
da 7.0 a 10.00 da 4.0 a 6.9 da 0.0 a 3.9
XSS
Directory Traversal
Http Response Splitting
Severity Overview
Bypass something
Gain Information
Nei primi due mesi del 2014 il 6,4% delle
vulnerabilità totali pubblicate sono
estremamente critiche (score CVSS > 9.9) con
una complessità di
attacco e
sfruttamento bassa.
12%
Nei grafici seguenti
28%
sono rappresentate
le percentuali di
criticità suddivise per
60%
high, medium e low
con il numero di cve
associati per i mesi
specificati.
Low
Medium
Gennaio
Febbraio
0
www.picert.it
339
259
150
CSRF
File Inclusion
# of exploits
0
Gain
10%
Bypass something
7%
Directory Traversal
2%
300
XSS
14%
143
134
450
600
75
Gain Privileges
3% CSRF
Information 3%
High
76
49
Gain Privileges
150 225 300
DoS
22%
Code Execution
18%
Overflow
Sql Injection
11%
4%
Memory Corruption
4%
1
Gennaio 2014
Nella classifica dei 10 vendor con il maggior numero di
CVE pubblicati nel mese di Gennaio 2014 in primo piano
Oracle con 119 vulnerabilità, 10 delle quali (8,5 %) con
severity estremamente Alta (score CVSS > 9), complessità
medio/bassa e relative principalmente a Java SE.
Seguono Cisco con 38 CVE (10% con severity
estremamente alta e complessità medio/bassa) relative a
Cisco Secure Access Control System (ACS) e IBM con 21
CVE 8 dei quali con severity alta ( score CVSS > 7). Nella
Tabella seguente è riportata la lista dei prodotti con il
maggior numero di CVE pubblicati nel mese di gennaio con
indicazione del livello di criticità:
Prodotto
Vendor
Tipologia
N° CVE
JRE/JDK
Mysql
Peoplesoft Products
Linux Kernel
Supply Chain Products Suite
Chrome
Fusion Middleware
Wordpress
Storage Data Protector
Oracle
Oracle
Oracle
Linux
Oracle
Google
Oracle
Wordpress
HP
Application
Application
Application
OS
Application
Application
Application
Application
Application
36
18
17
14
13
11
10
10
9
1
2
3
4
5
6
7
8
9
10
Vendor
Oracle
Cisco
IBM
Google
Redhat
Linux
HP
Wordpress
Mysql
XEN
N° CVE
119
38
21
15
15
14
10
10
9
7
0
30
60
90 120
Severity
0
High
10
20
Medium
30
Low
40
Febbraio 2014
Vendor
1
2
3
4
5
6
7
8
9
10
Cisco
Microsoft
IBM
Redhat
Apple
Mozilla
Pidgin
Google
Apache
Linux
N° CVE
35
34
32
30
27
18
14
11
8
8
Cisco e IBM, come nel mese precedente, sono in cima alla
top ten con 35 e 32 CVE rispettivamente. 26 delle 34
vulnerabilità totali di Microsoft hanno criticità medio/alta e
sono relative a Internet Explorer.
Nella tabella che segue è riportata la lista dei prodotti con il
maggior numero di CVE pubblicati nel mese di Febbraio con
indicazione del livello di criticità:
0
Prodotto
Internet Explorer
U.C.Manager
Mac Os X
Firefox
Seamonkey
Pidgin
Chrome
Thunderbird
Network Satellite
10
Vendor
Microsoft
Cisco
Apple
Mozilla
Mozilla
Pidgin
Google
Mozilla
RedHat
20
30
40
Product Type
Application
Application
OS
Application
Application
Application
Application
Application
Application
!
N° CVE
26
20
16
16
15
14
11
10
9
Severity
0
7,5
High
www.picert.it
15
Medium
22,5
30
Low
2
Disclaimer
In nessun caso il CERT Poste Italiane può essere ritenuto responsabile di qualunque perdita, pregiudizio,
responsabilità, costo, onere o spesa, ivi comprese le eventuali spese legali, danno diretto, indiretto, incidentale o
consequenziale, derivante da o connesso alle informazioni riportate nel presente flash report.
La versione pdf del flash report è statica e, in quanto tale, contiene le informazioni disponibili al momento della
pubblicazione.
E’ obbligatorio adottare ogni precauzione necessaria ad impedire i rischi di accesso non autorizzato, uso non
consentito o indebita appropriazione di tali informazioni da parte di soggetti, terzi o meno, non autorizzati.
Eventuali delucidazioni sui contenuti del presente flash report possono essere richiesti via e-mail al CERT di
Poste Italiane all’indirizzo: cert[at]posteitaliane.it
!
Classificazione TLP
Le informazioni condivise, in riferimento al Traffic Light Protocol, sono classificate con colore BIANCO e quindi
possono essere liberamente condivise dai destinatari con soggetti terzi, nel rispetto delle norme a tutela dei
diritti di proprietà intellettuale.
www.picert.it
3