Le versioni obsolete di Oracle Java e Microsoft XP creeranno la “tempesta perfetta”
Java 6 è vulnerabile dal 2013 e Windows XP non sarà più aggiornata a partire da aprile. Trend Micro ha annunciato che questo si tradurrà in 160 vulnerabilità combinate senza patch o aggiornamenti.
Trend Micro, fornitore globale di sicurezza per data center riferisce che la situazione della sicurezza di Java 6 è peggiorata nel 2013 e gli attacchi continuano nel corso del 2014.
Windows XP sarà inserito nel triste panorama di gravi vulnerabilità quando gli aggiornamenti si fermeranno nel mese di aprile 2014. Il Rapporto Annuale delle minacce di Trend Micro 2013 dimostra come si sta sviluppando una “tempesta perfetta ” quando Java 6 e Windows XP non saranno più aggiornati, portando a 160 le vulnerabilità combinate senza il beneficio delle “patch di sicurezza”.
In primo luogo, l’analisi evidenzia che nel 2013 gli attacchi a Java costituivano il 91% e la maggior parte di loro sono stati web-based. Questo non sorprende, dal momento che la proliferazione delle vulnerabilità di malware a giorno zero (Zero Day) hanno interessato tutte le versioni di Java nel corso del 2013. Il rapporto mostra anche che alla fine del 2013, il 50 % di tutti gli attacchi mirati sono stati focalizzati su due vulnerabilità Java che non sono stati mai ‘patchati’: CVE – 2013-2465 (30 %) e CVE – 2013-2463 (20 %). Queste due vulnerabilità sono relativamente nuove, messi a disposizione del pubblico come parte delle “patch” della Relazione Trimestrale Oracle nel giugno 2013. “Il fatto è che queste vulnerabilità sono salite alle stelle acquistando il 50 % del “mercato” degli attacchi in un tempo brevissimo, questo ci dice che gli assalitori riconoscono il valore nella scelta delle vulnerabilità che non possono mai essere patchate”, spiegano dagli uffici Innovation Manager di Trend Micro.
L’analisi evidenzia, inoltre, che il supporto per Java 6 si è concluso, e anche se le aziende sono consapevoli di questo, il 76% delle organizzazioni continuano ad usare questa versione di java. Il numero di vulnerabilità in Java 6 si sono accumulate sempre di più e per noi non ci sarà mai una patch da applicare. Entro la fine del terzo trimestre del 2013 (Q3 2013) sono stati identificati 31 vulnerabilità senza patch per Java 6, quindi possiamo dedurre che ci sono circa 60 vulnerabilità senza patch all’anno.
In quanto a Windows XP, il sistema operativo di Microsoft non sarà più supportato dal mese di aprile di quest’anno, rappresenta ancora il 30% dei sistemi Windows alla fine del 2013. Come con Java 6, Windows continuerà ad essere utilizzato quando il supporto sarà finito e le vulnerabilità senza patch stanno cominciando ad accumularsi. Pertanto, si può arrivare a ipotizzare quanti vulnerabilità saranno rilasciate per le versioni supportate di Windows che interesseranno Windows XP e non saranno patchate, proprio come è successo con Java 6 e CVE- 2013-2465 y CVE- 2013 a 2463.
Inoltre, l’insieme dei potenziali obiettivi è troppo grande, dal momento che Windows XP dovrebbe restare al di sopra del 20 % dei sistemi connessi a Internet per un po’ di tempo. La situazione è peggiore in alcune industrie, si stima che il 95 % degli sportelli automatici hanno in esecuzione Windows XP e alcune aziende non hanno fretta di aggiornare, conoscendo che le vulnerabilità sono tante le conseguenze potrebbero essere di grandi dimensioni.
Con riferimento a quanto sopra, si può concludere che la situazione che stiamo vivendo oggi con Java 6 ed i suoi attacchi, saranno indirizzati anche molta aggressività verso Windows XP sfruttando le sue vulnerabilità. “Si dovrà tenere in mente che molti computer avranno ancora Windows XP e Java 6, i due sistemi saranno il centro delle vulnerabilità senza patch, con una stima conseguente di 160 vulnerabilità senza patch all’anno si sta promuovendo la “tempesta perfetta” per i “cibercriminali” che sono alla ricerca di infrastrutture compromesse”.
