Cisa inserisce due Cvss 9.8 nel Kev: telecamere e controller industriali sotto attacco

La CVE-2017-7921 entra ufficialmente nel catalogo Known Exploited Vulnerabilities della Cisa il 5 marzo 2026, insieme alla CVE-2021-22681, entrambe con punteggio Cvss 9.8 e già oggetto di sfruttamento attivo. Nel mirino finiscono dispositivi Hikvision e soluzioni industriali Rockwell Automation, due pilastri rispettivamente nei sistemi di videosorveglianza e nel controllo Ics/Scada. L’inserimento nel Kev non è un atto formale: per le agenzie federali statunitensi scatta l’obbligo di remediation entro il 26 marzo 2026 secondo la direttiva Bod 22-01, mentre per il settore privato si traduce in una priorità operativa immediata. In gioco ci sono confidenzialità, integrità e disponibilità di reti enterprise e infrastrutture industriali.

Vulnerabilità CVE-2017-7921 in Hikvision

La CVE-2017-7921 riguarda un difetto di autenticazione impropria in più prodotti Hikvision, produttore globale di telecamere e sistemi di sorveglianza IP. Il problema consente a un attaccante remoto, senza privilegi iniziali, di ottenere escalation di privilegi fino a livelli amministrativi, aggirando i controlli di accesso. Con un Cvss 9.8, la vulnerabilità combina semplicità di exploit e impatto elevato, soprattutto in ambienti dove le telecamere sono integrate nelle reti aziendali. Secondo le analisi operative, gli exploit circolano da oltre quattro mesi, con attività documentate dal Sans Internet Storm Center prima ancora dell’inserimento nel Kev. Questo dettaglio evidenzia un ritardo fisiologico tra sfruttamento sul campo e classificazione formale, ma non attenua il rischio: una volta ottenuto accesso amministrativo, un attore malevolo può manipolare i feed video, alterare configurazioni di rete, creare backdoor persistenti e utilizzare il dispositivo come pivot per movimenti laterali. In contesti come retail, trasporti, logistica e pubblica amministrazione, la compromissione di una telecamera non rappresenta solo una perdita di riservatezza. Diventa un punto di ingresso silenzioso verso segmenti di rete meno protetti. L’assenza di privilegi iniziali richiesti e la possibilità di sfruttamento remoto rendono la vulnerabilità un vettore ideale per campagne automatizzate di scanning e compromissione massiva. Hikvision ha rilasciato aggiornamenti nelle versioni software supportate più recenti, invitando gli amministratori a verificare il firmware installato, applicare le patch disponibili e adottare misure compensative come la segmentazione di rete, la disabilitazione di servizi non necessari e il monitoraggio continuo dei log. In ambienti critici, la raccomandazione è isolare i dispositivi esposti su VLAN dedicate e limitarne l’accesso tramite firewall e controlli granulari. L’integrazione della CVE-2017-7921 nel Kev segnala che la vulnerabilità non è teorica. È già parte dell’arsenale operativo di attori cyber che prendono di mira infrastrutture connessi a sistemi di sorveglianza, sfruttando l’apparente marginalità del dispositivo per ottenere un vantaggio strategico.

Vulnerabilità CVE-2021-22681 in Rockwell Automation

La CVE-2021-22681 colpisce prodotti Rockwell Automation, tra cui Studio 5000 Logix Designer, RsLogix 5000 e diversi Logix Controllers utilizzati in ambito industriale. In questo caso il difetto riguarda la gestione di credenziali insufficientemente protette, che permette a un attaccante con accesso alla rete di bypassare verifiche di autenticazione e interagire con i controller. Anche qui il punteggio è Cvss 9.8, ma l’impatto assume una connotazione differente rispetto al mondo della sorveglianza. I controller Logix governano processi produttivi, linee manifatturiere e sistemi di automazione. Un accesso non autorizzato consente di alterare configurazioni, modificare codice applicativo, interrompere operazioni o generare malfunzionamenti con conseguenze economiche e, in alcuni casi, fisiche. La Cisa ha confermato lo sfruttamento attivo della vulnerabilità, pur senza rendere pubblici dettagli su campagne specifiche. L’inserimento nel Kev indica che l’exploit è stato osservato in scenari reali. In ambienti Ics, dove la continuità operativa è cruciale e i cicli di aggiornamento sono spesso più lenti rispetto all’IT tradizionale, la finestra di esposizione tende ad ampliarsi. Rockwell Automation ha distribuito patch nelle versioni supportate e ha pubblicato linee guida per migrare verso release sicure, raccomandando l’isolamento dei controller su reti dedicate, l’implementazione di controlli di accesso rigorosi e il monitoraggio degli eventi di autenticazione. In molte architetture industriali, tuttavia, i sistemi legacy non aggiornati rappresentano un nodo critico, specialmente quando integrati con segmenti It per esigenze di reporting o telemetria. La CVE-2021-22681 evidenzia come la convergenza tra It e Ot amplifichi l’esposizione. Un attacco iniziale, ad esempio tramite phishing su postazioni aziendali, può evolvere in compromissione dei sistemi di controllo se le segmentazioni non sono adeguate o se le credenziali sono riutilizzate.

Remediation obbligatoria e impatti della direttiva Bod 22-01

Con l’inclusione delle due vulnerabilità nel Kev, la Cisa attiva le misure previste dalla direttiva Binding Operational Directive 22-01. Le agenzie federali devono completare la remediation entro il 26 marzo 2026, un intervallo temporale ristretto che riflette la gravità del rischio. Per il settore privato non esiste un obbligo formale analogo, ma l’indicazione è chiara: le vulnerabilità note e sfruttate attivamente devono essere trattate come priorità assoluta. La gestione efficace passa da un inventario accurato degli asset, dall’identificazione delle versioni vulnerabili e dall’applicazione tempestiva delle patch. In assenza di aggiornamenti immediati, le organizzazioni dovrebbero adottare misure compensative come l’isolamento dei sistemi, il rafforzamento delle regole firewall, l’implementazione di Vpn per accessi remoti e l’analisi dei log alla ricerca di indicatori di compromissione. Il catalogo Known Exploited Vulnerabilities viene aggiornato regolarmente per fornire una fotografia dinamica delle minacce concrete, distinguendo le vulnerabilità teoriche da quelle già sfruttate. L’aggiunta di Hikvision e Rockwell Automation ribadisce che la superficie di attacco non riguarda solo server e applicazioni web, ma anche dispositivi periferici e sistemi industriali spesso considerati marginali.

Confronto operativo tra Hikvision e Rockwell Automation

Pur condividendo lo stesso punteggio Cvss 9.8, le due vulnerabilità presentano profili di rischio differenti. La CVE-2017-7921 in Hikvision incide principalmente su sistemi di videosorveglianza, con impatti diretti su riservatezza e potenziale movimento laterale in reti enterprise. La CVE-2021-22681 in Rockwell Automation coinvolge invece il cuore dei processi produttivi, con conseguenze che possono tradursi in fermo impianto e danni economici rilevanti. Entrambe le falle sono sfruttabili in modalità remota e non richiedono privilegi elevati iniziali, fattore che ne aumenta la pericolosità in ambienti esposti o scarsamente segmentati. La differenza sostanziale sta nel dominio applicativo: nel primo caso la compromissione apre una finestra sulla sorveglianza e sui dati video, nel secondo altera direttamente il comportamento di macchine e linee industriali. Il denominatore comune resta la necessità di un patching rapido, di una gestione strutturata delle vulnerabilità e di una visione integrata tra It e Ot. L’inserimento nel Kev trasforma queste due Cve da problema tecnico a priorità strategica. Non si tratta più di valutare se aggiornare, ma di decidere quanto rapidamente farlo per evitare che un exploit già circolante diventi la causa di un incidente operativo o di una violazione su larga scala.