Recentemente, l'Agenzia per la Sicurezza delle Infrastrutture e della Cybersecurity degli Stati Uniti ha aggiunto cinque vulnerabilità critiche alla sua lista di vulnerabilità conosciute ed esplorate (KEV), basandosi su prove di sfruttamento attivo. Queste vulnerabilità coinvolgono software di aziende come Cisco, Hitachi Vantara, Microsoft e Progress WhatsUp Gold.

Vulnerabilità nei router Cisco

Tra le vulnerabilità evidenziate, troviamo CVE-2023-20118 con un punteggio CVSS di 6.5, che riguarda un'iniezione di comandi nell'interfaccia di gestione web dei router della serie Cisco Small Business RV. Questo difetto consente a un attaccante remoto autenticato di ottenere privilegi a livello root e accedere a dati non autorizzati. Purtroppo, i router interessati non riceveranno una patch, poiché sono stati dichiarati obsoleti.

Vulnerabilità nel server Hitachi Vantara

Un'altra vulnerabilità, CVE-2022-43939, con un punteggio CVSS di 8.6, si verifica nel server Hitachi Vantara Pentaho BA e riguarda un bypass dell'autorizzazione. Questo problema deriva dall'uso di percorsi URL non canonici per le decisioni di autorizzazione e, sebbene sia stato risolto nel 2024 con gli aggiornamenti alle versioni 9.3.0.2 e 9.4.0.1, rimane un punto critico per chi non ha aggiornato.

Inoltre, CVE-2022-43769, con un punteggio CVSS di 8.8, è una vulnerabilità di iniezione di elementi speciali nel server Pentaho BA di Hitachi Vantara. Questa vulnerabilità permette di iniettare modelli Spring nei file di proprietà, consentendo l'esecuzione di comandi arbitrari. Anche questa è stata risolta con le stesse versioni aggiornate.

Vulnerabilità nel sistema Microsoft

Per quanto riguarda Microsoft, CVE-2018-8639, con punteggio di 7.8, interessa un difetto di chiusura impropria delle risorse nel sistema Windows Win32k, che potrebbe portare a un'escalation di privilegi locale. Questa vulnerabilità è stata fixata nel dicembre 2018.

Vulnerabilità nel software Progress WhatsUp Gold

Infine, CVE-2024-4885, con un punteggio CVSS di 9.8, riguarda una vulnerabilità di traversata del percorso nel software Progress WhatsUp Gold, che consente a un attaccante non autenticato di eseguire codice da remoto. Questa criticità è stata risolta con l'aggiornamento alla versione 2023.1.3 nel giugno del 2024.

Nonostante alcune di queste vulnerabilità siano già state risolte, la loro continua esplorazione da parte di attori malevoli, come rivelato da aziende di sicurezza come Sekoia e Shadowserver Foundation, sottolinea l'importanza di aggiornare tempestivamente i sistemi. Le agenzie federali statunitensi della Federal Civilian Executive Branch (FCEB) sono state invitate ad applicare le misure di mitigazione necessarie entro il 24 marzo 2025 per proteggere le loro reti.