Vulnerabilità Critiche: Apple, Adobe, Apache e Altro nel Radar del Cybersecurity and Infrastructure Security Agency degli Stati Uniti

La Cybersecurity and Infrastructure Security Agency degli Stati Uniti ha integrato nuovi bug nel proprio elenco di vulnerabilità sfruttate. Ha notificato sei problematiche che coinvolgono prodotti di aziende come Apple, Adobe, Apache, D-Link e Joomla.

Il registro di vulnerabilità sfruttate note, abbreviato in KEV, costituisce una preziosa risorsa globale per le organizzazioni impegnate nella gestione delle vulnerabilità. Tale registro permette di fornire anche delle priorità di mitigazione per le aziende, oltre che per le agenzie federali.

Infatti, entro il 29 gennaio, le agenzie federali sono tenute a risolvere le sei vulnerabilità attivamente sfruttate. Un esempio è rappresentato da CVE-2023-41990, impiegato nella campagna ‘Operation Triangulation’. Il bug è attivo dal 2019 ed è stato scoperto solo nel giugno 2023 da Kaspersky, quando i dispositivi dei suoi ricercatori furono infettati.

Altre come il CVE-2023-38203 e CVE-2023-29300 sono state sfruttate dagli hacker a partire dalla metà del 2023. Lo sfruttamento è partito dopo che i ricercatori di sicurezza hanno dimostrato che le patch fornite potevano essere aggirate.

Le sei vulnerabilità segnalate dal CISA

CVE-2023-27524 – Inizializzazione predefinita non sicura delle risorse che influiscono sulle versioni di Apache Superset fino alla 2.0.1. La vulnerabilità esiste quando la SECRET_KEY configurata per impostazione predefinita non viene modificata. (8,9 punteggio “elevata gravità”)

• CVE-2023-23752 – Controllo di accesso improprio su Joomla! da 4.0.0 a 4.2.7 che consente l’accesso non autorizzato agli endpoint del servizio Web. (5,3 punteggio “media gravità”)
• CVE-2023-41990 – Difetto di esecuzione del codice in modalità remota (RCE) nell’elaborazione di un file di font inviato come allegato iMessage. (punteggio 7,8 “gravità elevata”)
• CVE-2023-38203 – Deserializzazione di dati non attendibili nelle versioni Adobe ColdFusion 2018u17 e precedenti, 2021u7 e precedenti e 2023u1 e precedenti. (9,8 punteggio “gravità critica”)
• CVE-2023-29300 – Deserializzazione di dati non attendibili nelle versioni Adobe ColdFusion 2018u16 e precedenti, 2021u6 e precedenti e 2023.0.0.330468 e precedenti, che porta all’esecuzione di codice arbitrario senza interazione da parte dell’utente. (9,8 punteggio “gravità critica”)
• CVE-2016-20017 – Vulnerabilità di iniezione di comandi remoti non autenticati nei dispositivi D-Link DSL-2750B precedenti alla 1.05, sfruttata attivamente dal 2016 al 2022. (punteggio “gravità critica” 9,8)

Per alcune, come il CVE-2023-27524, sono stati rilasciati proof-of-concept (PoC) degli exploit lo scorso settembre. Tali PoC hanno aperto la strada a un potenziale sfruttamento diffuso da parte di attori malevoli.

Si invitano le organizzazioni e le agenzie federali a verificare le proprie risorse per individuare le vulnerabilità menzionate sopra e altre elencate nel catalogo KEV, applicando gli aggiornamenti di sicurezza disponibili o le misure di mitigazione necessarie.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.