25 gennaio 2020 – CVE-2019-18187
Tutti i programmi possono avere dei BUG e questi possono essere risolti in fase di sviluppo o corretti in corsa. Più il programma è “delicato”, più i test di discurezza pre-rilascio sono rigorosi.
Sappiamo che la sicurezza al 100% non esiste, si tende a questa percentuale, ma cosa succede quando degli hacker scoprono delle vulnerabilità nell’applicazioni a cui viene affidata la sicurezza aziendale?
Mitsubishi Electric ne sa qualcosa.
Questa settimana l’azienda giapponese ha rilasciato un comunicato in cui ha dichiarato di aver subito un data breach per opera di hacker cinesi che hanno sfruttato una vulnerabilità 0-day nel software Antimalware “Trend Micro OfficeScan antivirus” per accedere ai server dell’azienda.
L’accesso è avvenuto il 28 giugno 2019 sfruttando una vulnerabilità che al tempo non era nota a TREND MICRO, il produttore del software di sicurezza. Solo in ottobre con la CVE-2019-18187 è stata patchata la vulnerabilità:
“Trend Micro has released Critical Patches (CP) for Trend Micro OfficeScan 11.0 SP1 and XG which resolve an arbitrary file upload with directory traversal vulnerability.”
Se anche chi ha un’infrastruttura ben progettata può essere vittima di attacchi HACKER, chi gestisce approssimativamente i propri sistemi è esposto molto di più.
Queste vulnerabilità possono capitare a tutti i vendor di sicurezza?
Forse sì… ma SICURAMENTE a TREND MICRO è capitata!
Che sia il modo per migliorare i processi di sviluppo software?