Nella prima metà del 2023 la Zero Day Initiative di Trend Micro ha pubblicato oltre 1.000 avvisi relativi a vulnerabilità uniche. Creata per incoraggiare la segnalazione di vulnerabilità Zero-Day ai fornitori in forma privata, premiando finanziariamente i ricercatori, ZDI rappresenta oggi il più grande programma indipendente di bug bounty al mondo. Gli avvisi pubblicati consentono di far risparmiare miliardi in spese di recovery sia ai clienti Trend Micro sia ai suoi clienti. Una volta pubblicato l’avviso, infatti, il fornitore ha la possibilità di realizzare una patch e impedirne lo sfruttamento.

Alex Galimi, SE Team Leader di Trend Micro Italia, approfitta del Black Hat USA 2023 per mettere in luce la tendenza pericolosa “di aziende che mancano di trasparenza in merito alle patch dei vendor in caso di divulgazione delle vulnerabilità, e questo rappresenta una minaccia per la sicurezza del mondo digitale". In sostanza Galimi si riferisce al silent patching, la pratica di rallentare o diluire la divulgazione pubblica e la documentazione di vulnerabilità e patch, che costituisce un importante ostacolo alla lotta al crimine informatico, ma è fin troppo comune tra i principali vendor e cloud provider.

In particolare, i ricercatori Trend Micro hanno rivelato che le patch silenziose sono diventate particolarmente comuni tra i cloud provider. Le aziende sono frequentemente restie nell'assegnare un ID relativo a delle CVE (Common Vulnerabilities and Exposures) che venga associato a documentazione pubblica e rilasciano invece delle patch privatamente. Questa mancanza di trasparenza, o di numeri di versione per i servizi cloud, ostacola la valutazione del rischio e priva l’intera comunità di security di informazioni preziose, in grado di migliorare la sicurezza complessiva dell'ecosistema.

Il fenomeno era già evidente lo scorso anno, ora si tratta di un vero e proprio allarme perché il divario è peggiorato. Per questo motivo trend Micro invoca un'azione urgente che spinga a dare priorità alle patch, ad affrontare le vulnerabilità e a promuovere la collaborazione tra ricercatori, vendor di sicurezza informatica e cloud service provider, con l’obiettivo di rafforzare i servizi basati su cloud e proteggere gli utenti da potenziali rischi.