Il Catalogo delle Vulnerabilità Esploitate (KEV) del CISA (Cybersecurity and Infrastructure Security Agency) è un’importante risorsa per le organizzazioni che desiderano gestire efficacemente le vulnerabilità e proteggersi dai rischi informatici. Questo catalogo elenca le vulnerabilità che sono state attivamente esploitate dai threat actors, fornendo una guida chiara per la priorità delle misure di sicurezza. In questo articolo, esploreremo le vulnerabilità critiche aggiunte recentemente al catalogo del CISA e forniremo consigli pratici per mitigare i rischi associati.
Vulnerabilità Critiche Aggiunte al Catalogo
Il CISA ha aggiunto recentemente diverse vulnerabilità critiche al suo catalogo delle vulnerabilità esploitate. Queste vulnerabilità includono:
- CVE-2022-1388: Una vulnerabilità di bypass di autenticazione che porta a un esecuzione di codice remoto (RCE) nel componente iControl REST di F5 BIG-IP, con un punteggio CVSSv3 di 9,8.
- CVE-2024-7261: Una vulnerabilità di neutralizzazione impropria degli elementi speciali nel firmware di Zyxel, che consente a un attaccante non autenticato di eseguire comandi del sistema OS inviando un cookie personalizzato a un dispositivo vulnerabile.
- CVE-2024-44341: Una vulnerabilità di esecuzione di comando remoto (RCE) critica in D-Link, che può essere sfruttata da un attaccante per eseguire comandi arbitrari sul sistema.
Analisi Tecnica della Vulnerabilità CVE-2022-1388
La vulnerabilità CVE-2022-1388 è una delle più critiche aggiunte recentemente al catalogo del CISA. Questa vulnerabilità si manifesta nel componente iControl REST di F5 BIG-IP e consente a un attaccante non autenticato di bypassare le procedure di autenticazione e ottenere accesso remoto al sistema. La caratterizzazione dell’authenticazione del componente iControl REST è fondamentale per comprendere la radice della vulnerabilità.
Secondo la guida dell’API di iControl REST:
- “Gli utenti possono accedere automaticamente alle risorse REST, ma ogni utente deve ottenere un token per l’autenticazione e includere quel token in ogni richiesta REST.”
- “Come amministratore di un sistema BIG-IP, puoi utilizzare l’autenticazione di base per effettuare chiamate REST. Per gli utenti che non hanno privilegi amministrativi, l’utente deve richiedere un token che può essere utilizzato per autenticare l’utente che effettua richieste API REST”.
Exploitation in Wild
La vulnerabilità CVE-2022-1388 è stata attivamente sfruttata dai threat actors. Il 5 maggio 2022, il ricercatore di sicurezza Germán Fernández ha pubblicato un tweet che mostrava uno script per verificare la presenza dell’API di iControl REST. Il 7 maggio 2022, i ricercatori di Horizon3 e Positive Technologies hanno rivelato di aver progettato un exploit per la nuova vulnerabilità F5 BIG-IP. Un Proof of Concept (POC) consente alle aziende che utilizzano software vulnerabile di testare indipendentemente se i loro sistemi sono esploitabili, rendendo le vittime potenziali più resilienti. Tuttavia, è importante ricordare che gli hacker sponsorizzati dallo stato e i threat actors esperti possono reverse-engineerare i patch rilasciati dal fornitore. Con il POC disponibile nel dominio pubblico, il loro compito è notevolmente facilitato per nuove o sconosciute vulnerabilità, che possono poi essere utilizzate per costruire esempi funzionali.
Consigli per la Mitigazione
Per mitigare i rischi associati alla vulnerabilità CVE-2022-1388, è essenziale adottare le seguenti misure:
- Applica Patch: Aggiornare immediatamente le versioni vulnerabili dei moduli BIG-IP con le versioni patchate.
- Vulnerability Assessment and Pentesting (VAPT): Eseguire esercizi di valutazione e pentesting delle vulnerabilità per identificare le debolezze dell’organizzazione.
- Limitazione dell’Esposizione dell’Interfaccia di Gestione BIG-IP: Limitare l’esposizione dell’interfaccia di gestione BIG-IP sulla rete Internet.
- Politica di Password Forte: Utilizzare una politica di password forte all’interno dell’organizzazione.
- Monitoraggio dei Log: Monitorare i log per identificare indizi di compromissione.
Altre Vulnerabilità Critiche
CVE-2024-7261
La vulnerabilità CVE-2024-7261 è una vulnerabilità di neutralizzazione impropria degli elementi speciali nel firmware di Zyxel. Questa vulnerabilità consente a un attaccante non autenticato di eseguire comandi del sistema OS inviando un cookie personalizzato a un dispositivo vulnerabile. L’impatto di questa vulnerabilità è significativo, poiché può permettere l’esecuzione di codice remoto e compromettere i sistemi affetti.
CVE-2024-44341
La vulnerabilità CVE-2024-44341 è una vulnerabilità di esecuzione di comando remoto (RCE) critica in D-Link. Questa vulnerabilità può essere sfruttata da un attaccante per eseguire comandi arbitrari sul sistema. La criticità di questa vulnerabilità è elevata, poiché può portare a una compromissione completa del sistema.
Consigli per la Mitigazione di Altre Vulnerabilità
Per mitigare i rischi associati a queste altre vulnerabilità, è essenziale adottare le seguenti misure:
- Implementazione dei Patch più Recentemente Rilasciati: Implementare regolarmente gli aggiornamenti dei patch rilasciati dai fornitori per risolvere le vulnerabilità e proteggersi dagli exploit.
- Strategia di Gestione dei Patch: Sviluppare una strategia di gestione dei patch completa che includa l’inventario, l’assessamento, il testing, la distribuzione e la verifica dei patch.
- Segmentazione della Rete: Implementare una segmentazione della rete per isolare gli asset critici dalle aree meno sicure, utilizzando firewall, VLAN e controlli di accesso.
- Capacità di Risposta e Recupero Incidenti: Creare e mantenere un piano di risposta agli incidenti, e testarlo regolarmente per assicurare l’efficacia.
- Monitoraggio e Logging Compreseivi: Implementare soluzioni di monitoraggio e logging comprensive per rilevare e analizzare attività sospette all’interno della rete.
Le vulnerabilità critiche aggiunte recentemente al catalogo delle vulnerabilità esploitate del CISA rappresentano una minaccia significativa per la sicurezza informatica. È essenziale che le organizzazioni adottino misure proattive per mitigare i rischi associati a queste vulnerabilità. Questo include l’aggiornamento immediato dei patch, la valutazione delle vulnerabilità, la limitazione dell’esposizione delle interfacce di gestione, la politica di password forte e il monitoraggio dei log. Inoltre, è importante implementare una strategia di gestione dei patch completa e una segmentazione della rete per isolare gli asset critici. Creare e mantenere un piano di risposta agli incidenti e implementare soluzioni di monitoraggio e logging comprensive sono anche fondamentali per assicurare la sicurezza informatica.
