CISA segnala exploit attivi in Windows e Cisco

L’Agenzia per la Cybersecurity e la Sicurezza delle Infrastrutture degli Stati Uniti (CISA) ha aggiunto due vulnerabilità di sicurezza che interessano i prodotti Cisco e Windows al suo catalogo delle Vulnerabilità Sfruttate Conosciute (KEV), lunedì, avvertendo le organizzazioni di un’attiva sfruttamento da parte di attori malintenzionati.

Le due vulnerabilità menzionate di seguito, che sono state aggiunte al KEV sulla base di prove di campagne di sfruttamento, sono vettori di attacco frequenti per attori informatici malintenzionati e pongono rischi significativi per le organizzazioni. Queste sono:

CVE-2023-20118 (Punteggio CVSS: 6.5) – Vulnerabilità di Iniezione di Comandi nei Router Cisco Small Business RV Series:

Questo difetto esiste nell’interfaccia di gestione basata sul web dei Router Cisco Small Business RV016, RV042, RV042G, RV082, RV320 e RV325.

La vulnerabilità consente a un attaccante remoto autenticato di eseguire comandi arbitrari su un dispositivo interessato, a causa di una convalida inadeguata dell’input dell’utente all’interno dei pacchetti HTTP in arrivo.

Questa vulnerabilità può essere sfruttata dall’attaccante inviando una richiesta HTTP appositamente creata all’interfaccia di gestione basata sul web.

Se l’attacco ha successo, l’attaccante potrebbe ottenere privilegi di livello root e accedere a dati non autorizzati. Tuttavia, lo sfruttamento richiede credenziali amministrative valide sul dispositivo interessato.

CVE-2018-8639 (Punteggio CVSS: 7.8) – Vulnerabilità di Chiusura o Rilascio Improprio delle Risorse di Microsoft Windows Win32k:

Questo difetto è una vulnerabilità di elevazione dei privilegi, che esiste in Windows quando il componente Win32k non gestisce correttamente gli oggetti in memoria, noto anche come “Vulnerabilità di Elevazione dei Privilegi Win32k.”

Sfruttare questa vulnerabilità può consentire agli attaccanti locali di ottenere privilegi elevati e potenzialmente eseguire codice arbitrario in modalità kernel, prendendo effettivamente il controllo del sistema Windows interessato.

Secondo un avviso di sicurezza emesso da Microsoft nel dicembre 2018, la vulnerabilità CVE-2018-8639 interessa Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2019, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10 e Windows 10 Servers.

In risposta allo sfruttamento attivo di queste vulnerabilità, la CISA ha ordinato a tutte le agenzie del Federal Civilian Executive Branch (FCEB), secondo la Direttiva Operativa Vincolante (BOD) 22-01 di novembre 2021, di applicare le patch entro il 24 marzo 2025, per mitigare le vulnerabilità identificate e proteggere le loro reti contro potenziali minacce.

Per quanto riguarda la vulnerabilità CVE-2023-20118, Cisco non ha rilasciato una patch per risolverla, poiché i modelli interessati hanno raggiunto la loro fine vita (EoL).

D’altra parte, Microsoft ha corretto la vulnerabilità CVE-2018-8639 nel dicembre 2018 con un aggiornamento di sicurezza di Microsoft Windows.

Le organizzazioni che utilizzano questi prodotti sono invitate a intraprendere immediatamente azioni difensive, come disabilitare la gestione remota, aggiornare al firmware più recente, monitorare attività di rete insolite, utilizzare credenziali forti come password complesse, limitare l’accesso a fonti fidate e implementare strategie di difesa multilivello.