La CISA (Cybersecurity and Infrastructure Security Agency) ha recentemente aggiunto otto nuove vulnerabilità al suo catalogo di vulnerabilità note e sfruttate, basandosi su prove di sfruttamento attivo. Queste vulnerabilità rappresentano vettori di attacco frequenti per gli attori cyber malintenzionati e pongono rischi significativi per l’impresa federale.
Dettagli delle nuove vulnerabilità
Le nuove vulnerabilità aggiunte al catalogo sono le seguenti:
- CVE-2022-22265: una vulnerabilità di tipo “use-after-free” nei dispositivi mobili Samsung.
- CVE-2014-8361: una vulnerabilità legata a una valida impropria dell’input nel SDK di Realtek.
- CVE-2017-6884: una vulnerabilità di iniezione di comandi nei router Zyxel EMG2926.
- CVE-2021-3129: una vulnerabilità di caricamento file in Laravel Ignition.
- CVE-2022-31459: una vulnerabilità legata a una forza di crittografia inadeguata nei dispositivi Owl Labs Meeting Owl.
- CVE-2022-31461: una vulnerabilità di mancata autenticazione per funzione critica nei dispositivi Owl Labs Meeting Owl.
- CVE-2022-31462: una vulnerabilità legata all’uso di credenziali codificate in modo rigido nei dispositivi Owl Labs Meeting Owl.
- CVE-2022-31463: una vulnerabilità di autenticazione impropria nei dispositivi Owl Labs Meeting Owl.
Queste vulnerabilità sono frequentemente sfruttate dagli attori cyber malintenzionati e rappresentano un rischio significativo per l’impresa federale.
Direttiva operativa vincolante e raccomandazioni
La Direttiva Operativa Vincolante (BOD) 22-01 ha istituito il catalogo come una lista vivente di vulnerabilità note e comuni (CVE) che comportano un rischio significativo per l’impresa federale. Questa direttiva richiede che le agenzie della Federal Civilian Executive Branch (FCEB) rimedino alle vulnerabilità identificate entro la data prevista per proteggere le reti FCEB contro minacce attive.
Sebbene la BOD 22-01 si applichi solo alle agenzie FCEB, la CISA esorta fortemente tutte le organizzazioni a ridurre la loro esposizione agli attacchi informatici, dando priorità alla tempestiva risoluzione delle vulnerabilità elencate nel catalogo come parte delle loro pratiche di gestione delle vulnerabilità. La CISA continuerà ad aggiungere vulnerabilità al catalogo che soddisfano i criteri specificati.