La CISA, l'Agenzia per la sicurezza informatica e delle infrastrutture degli Stati Uniti, ha recentemente aggiunto tre gravi vulnerabilità al suo catalogo Known Exploited Vulnerabilities (KEV), sulla base di prove di sfruttamento attivo. Le vulnerabilità interessano dispositivi e software ampiamente diffusi come AMI MegaRAC, router D-Link DIR-859 e Fortinet FortiOS, evidenziando l'urgenza di adottare misure correttive per proteggere le infrastrutture IT critiche.

Vulnerabilità AMI MegaRAC (CVE-2024-54085)

La prima vulnerabilità, identificata come CVE-2024-54085 con punteggio CVSS 10.0, riguarda una debolezza nell'autenticazione del Redfish Host Interface di AMI MegaRAC SPx. Questa falla consente a un attaccante remoto di assumere il controllo totale del dispositivo, con la possibilità di eseguire malware e manipolare il firmware, garantendo persistenza e massima difficoltà di rilevamento. Secondo Eclypsium, azienda specializzata in sicurezza firmware, un attacco riuscito potrebbe permettere agli attori malevoli di aggirare le difese tradizionali, accedere direttamente alla memoria e ai dati sensibili, muoversi lateralmente nella rete e persino rendere inservibili i server.

Vulnerabilità D-Link DIR-859 (CVE-2024-0769)

La seconda vulnerabilità, CVE-2024-0769 (CVSS 5.3), colpisce i router D-Link DIR-859 tramite un difetto di path traversal. Questo consente escalation dei privilegi e controllo non autorizzato del dispositivo. Particolarmente preoccupante è il fatto che questi router sono fuori produzione dal 2020 e non riceveranno patch, lasciando gli utenti esposti a rischio permanente. Si raccomanda quindi la sostituzione immediata di questi dispositivi.

Vulnerabilità Fortinet FortiOS (CVE-2019-6693)

La terza vulnerabilità, CVE-2019-6693 (CVSS 4.2), interessa FortiOS, FortiManager e FortiAnalyzer. Si tratta di una chiave crittografica hard-coded che permette a chi ottiene l’accesso al file di configurazione CLI di decifrare le password memorizzate. Questo difetto è già stato sfruttato da gruppi ransomware come Akira per ottenere accesso iniziale alle reti bersaglio.

Attori e rischi

Gruppi di cybercriminali sponsorizzati da Stati, in particolare legati alla Cina, risultano tra i sospetti principali per lo sfruttamento di queste falle. Questi attori sono noti per l’utilizzo di backdoor su firmware e impianti UEFI, tecniche che permettono una presenza furtiva e prolungata nei sistemi compromessi. In seguito a queste segnalazioni, le agenzie federali statunitensi sono obbligate a implementare le mitigazioni richieste entro il 16 luglio 2025.

La presenza di dispositivi vulnerabili esposti su internet, come i circa 2000 AMI MegaRAC BMC, e l’assenza di patch per router D-Link obsoleti, sottolineano l'importanza di mantenere aggiornati i sistemi, monitorare gli accessi e sostituire quanto prima le tecnologie a fine vita.