La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto due nuove vulnerabilità al suo catalogo di vulnerabilità note e sfruttate (KEV).
Le due vulnerabilità in questione sono:
CVE-2023-21237: una falla di divulgazione di informazioni che colpisce i dispositivi Google Pixel. Questa vulnerabilità potrebbe consentire a un aggressore di accedere a informazioni sensibili memorizzate sul dispositivo, come ad esempio password e dati finanziari.
CVE-2021-36380: una falla di iniezione di comandi del sistema operativo in Sunhillo SureLine. Questa vulnerabilità potrebbe consentire a un aggressore di eseguire codice con privilegi di root sul dispositivo interessato.
Google ha rilasciato un aggiornamento per la vulnerabilità CVE-2023-21237 a giugno 2023. L’azienda ha inoltre affermato di aver trovato indicazioni che la vulnerabilità potrebbe essere sotto sfruttamento mirato e limitato.Fortinet ha invece rivelato a fine 2023 che una botnet Mirai chiamata IZ1H9 stava sfruttando la vulnerabilità CVE-2021-36380 per radunare dispositivi vulnerabili in una botnet DDoS.
Le agenzie federali sono tenute ad applicare gli aggiornamenti necessari per queste due vulnerabilità entro il 26 marzo 2024 per proteggere i propri sistemi e dati da potenziali attacchi.
Si consiglia inoltre a tutti gli utenti di dispositivi Google Pixel e Sunhillo SureLine di installare gli aggiornamenti disponibili il prima possibile.
Fonte: https://thehackernews.com/2024/03/urgent-apple-issues-critical-updates.html
