Il 17 giugno 2026 Intruder ha pubblicato il suo Attack Surface Management Index, analisi condotta su circa 3.000 organizzazioni nel periodo marzo 2025-marzo 2026. I dati tracciano una linea di frattura netta: il 42% delle aziende ha database direttamente raggiungibili da Internet, il 60% espone almeno un pannello HTTP amministrativo e i tempi di remediation per le realtà in crescita sfondano i 50 giorni. La posta in gioco è la sostenibilità stessa del vulnerability management tradizionale di fronte a tecniche di scoperta automatica che hanno compresso il time-to-exploit a un solo giorno.
- Il 42% delle organizzazioni analizzate ha database direttamente esposti su Internet; oltre un quarto (26%) espone specificamente MySQL, secondo il comunicato Intruder.
- La documentazione API è salita al terzo posto delle esposizioni, superando RDP — un'inversione che il report definisce inattesa dato il consolidato profilo di rischio del protocollo Microsoft.
- Le aziende da 5.000 a 10.000 dipendenti impiegano 56 giorni per la remediation, quattro volte le 14-18 giorni delle realtà da 51 a 250 dipendenti.
- Il catalogo CISA KEV cataloga CVE-2026-20182 (Cisco SD-WAN, CVSS 10.0) e CVE-2026-31431 (Linux kernel, CVSS 7.8) come vulnerabilità attivamente sfruttate nel 2026, a testimonianza del pericolo concreto dei piani di controllo esposti.
Database e pannelli HTTP: le vette della top 10
La classifica Intruder si apre con esposizioni che non richiedono vulnerabilità zero-day per essere pericolose: sono misconfigurazioni, servizi posizionati dove non avrebbero dovuto arrivare. Il 60% delle organizzazioni ha almeno un pannello HTTP esposto — admin console, management UI o pagine di login per tool interni. Il 49% presenta porte o servizi ritenuti rischiosi. Il 42% ha database direttamente raggiungibili da Internet.
Il dato sui database si articola in modo più granulare nel comunicato aziendale: oltre un quarto (26%) delle organizzazioni ha database MySQL esposti, e una su sei ha Postgres direttamente visibile. Il brief non chiarisce se le due categorie siano mutuamente esclusive. Al terzo posto della top 10, con il 30% delle organizzazioni che ha file o informazioni pubblicamente accessibili, si colloca la documentazione API — un salto di posizione che ha superato RDP, relegato al quinto nonostante la sua storia documentata come vettore di accesso iniziale per campagne ransomware.
La coda della classifica è composta da servizi legacy mai progettati per essere Internet-facing: SNMP, UPnP, NTP, RPC. Protocolli che risalgono a decenni fa e che oggi costituiscono anelli deboli in un perimetro che l'automazione della ricognizione rende sempre più trasparente agli attaccanti.
Il "paradosso del midmarket": complessità enterprise, risorse da PMI
Il dato più disturbante del report non è una singola percentuale, ma una relazione: il tempo medio di remediation cresce in modo non lineare con le dimensioni dell'organizzazione. Le piccole realtà (51-250 dipendenti) chiudono la falla in 14-18 giorni. Quelle da 5.000 a 10.000 impiegano 56 giorni. Non è un gap, è un abisso — e si apre esattamente nel segmento che sta acquisendo complessità infrastrutturale senza avere ancora maturato le strutture di security corrispondenti.
La variabile settoriale accentua il problema. Secondo il comunicato Intruder, il retail rimedia in 10 giorni, le banche in 11. L'assicurazione richiede quasi 50 giorni, automotive e pharma 43. Questa dispersione indica che la maturità di security non è uniforme nemmeno nei settori regolamentati, dove il compliance-driven approach non si traduce automaticamente in velocità operativa.
"With time-to-exploit now down to a single day, the question isn't just how fast you can patch. It's why the service was exposed in the first place."
La citazione, riportata da The Hacker News nel contesto del report Intruder, incastra il problema: quando l'esploitation avviene in 24 ore, la logica della "patch veloce" diventa aritmeticamente insostenibile. Il tempo di scoperta automatica delle superfici di attacco — tramite botnet di ricognizione e modelli di AI offensiva come Mythos citato da Intruder — ha compresso la finestra di reazione oltre la soglia di fattibilità per le organizzazioni con processi di remediation lunghi.
CISA KEV e la mappa delle vulnerabilità attivamente sfruttate
Il contesto di minaccia non è teorico. Il catalogo CISA KEV, fonte primaria del dossier, documenta vulnerabilità con exploitation confermata nel 2026 che incarnano esattamente le categorie di esposizione individuate da Intruder. CVE-2026-20182, bypass di autenticazione in Cisco SD-WAN con CVSS 10.0 secondo il record NVD, è stato inserito nel catalogo con Emergency Directive 26-03. Rappresenta la materializzazione del rischio dei "pannelli HTTP esposti": un piano di controllo di rete raggiungibile e compromettibile da remoto.
CVE-2026-31431, flaw nel kernel Linux con CVSS 7.8 secondo NVD, è nel catalogo CISA dal 5 gennaio 2026. Non è la vulnerabilità più alta della lista, ma colloca il problema nel sottostrato stesso dell'infrastruttura — il kernel — dove l'esposizione passa spesso inosservata ai controlli superficiali.
L'analisi tecnica di Penligent, citata nel dossier come fonte primaria, corrobora il tema dell'exploitation attiva di control planes e browser. Tuttavia, il brief segnala che alcune CVE menzionate da Penligent — CVE-2026-20127, CVE-2026-2441, CVE-2026-21385, CVE-2026-22719 — non sono presenti nelle fonti NVD fornite e non sono quindi verificabili nel dossier.
Cosa fare adesso
Il report Intruder non fornisce una checklist tecnica, ma i dati consentono di estrarre priorità operative concrete per CISO e team security.
1. Mappare prima di patchare. Il 42% di database esposti e il 60% di pannelli HTTP indicano che la superficie di attacco è spesso sconosciuta agli stessi difensori. La scoperta automatica deve precedere la remediation: non è possibile proteggere ciò che non si vede.
2. Ridurre l'esposizione, non solo il CVSS. La citazione dal report è esplicita: per database, admin panel e servizi legacy, la domanda corretta è perché siano raggiungibili, non quanto velocemente si possa patchare. La riduzione dell'attack surface ha priorità logica sulla gestione delle vulnerabilità.
3. Segmentare i tempi di remediation per classe di rischio. Il gap tra 14 e 56 giorni indica che i processi di patching non sono scalabili per dimensione organizzativa. Le realtà in crescita devono prevedere trigger di escalation che accorciamo i tempi per le esposizioni con exploitation attiva documentata nel KEV.
4. Verificare la posizione della documentazione API. Il sorpasso di RDP da parte della documentazione API nella top 10 suggerisce un fenomeno emergente: le API documentate e pubbliche diventano target di ricognizione automatica per mappare endpoint autenticati e schemi di autenticazione. La loro esposizione va rivalutata con criteri più stringenti del passato.
L'abisso tra "essere vulnerabili" ed "essere esposti"
Il report Intruder disegna uno spostamento concettale che le redazioni di sicurezza stanno osservando con crescente nitidezza. La tradizione del vulnerability management ha per decenni misurato la sicurezza in termini di patch applicata, CVE chiuso, CVSS mitigato. I dati del 2026 indicano che questa metrica sta perdendo significato predittivo: l'automazione offensiva non seleziona più le vittime per scarsa patching, ma per visibilità di superficie.
Il paradosso del midmarket — crescita organizzativa che supera la crescita delle capacità difensive — non è un problema di budget in senso stretto. È un problema di disallineamento temporale: l'infrastruttura si espande in giorni, i processi di security in mesi o anni. Quando i tempi di exploitation si misurano in ore, quel disallineamento diventa una finestra di rischio critica che nessuna patch management tradition può chiudere.
Il dossier non specifica la natura esatta dei dati ospitati nei database esposti, né documenta misure correttive specifiche adottate dalle organizzazioni campione. Questi limiti lasciano aperti interrogativi sulla correlazione tra esposizione e impatto effettivo — ma non attenuano la forza del dato aggregato: quasi la metà delle aziende analizzate ha superfici di attacco raggiungibili che non dovrebbero esserlo.
Fonti
- https://thehackernews.com/2026/06/the-top-10-attack-surface-exposures-in.html
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- https://nvd.nist.gov/vuln/detail/CVE-2026-31431
- https://www.penligent.ai/hackinglabs/cve-2026-the-vulnerabilities-that-matter-most-right-now/
- https://nvd.nist.gov/vuln/detail/CVE-2026-20182
- https://www.businesswire.com/news/home/20260512825797/en/Intruder-Releases-2026-Attack-Surface-Management-Index-1-in-4-Organizations-Have-Exposed-MySQL-Databases
- https://www.wiz.io/academy/cloud-security/attack-surface-management-tools
- https://www.armis.com/newsroom/press/armis-centrix-named-best-solution-for-cyber-exposure-management-as-armis-wins-multiple-global-infosec-awards-at-rsac-2026/
- https://nvd.nist.gov/vuln
- https://nvd.nist.gov/vuln/search
- https://nvd.nist.gov/vuln/categories
- https://nvd.nist.gov/vuln/data-feeds
- https://nvd.nist.gov/vuln/vendor-comments
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.