Il 19 settembre 2023, la Cybersecurity and Infrastructure Security Agency (CISA) ha rilasciato quattro avvisi relativi ai sistemi di controllo industriale (ICS) e ha aggiunto una nuova vulnerabilità al suo catalogo delle vulnerabilità note sfruttate. Queste azioni sono parte degli sforzi continui della CISA per fornire informazioni tempestive su attuali problemi di sicurezza, vulnerabilità e exploit che circondano gli ICS e altri sistemi critici.
Dettagli sugli avvisi e la nuova vulnerabilità aggiunta
Gli avvisi sui sistemi di controllo industriale forniscono dettagli tecnici e misure di mitigazione per affrontare le attuali questioni di sicurezza che affliggono questi sistemi. La CISA incoraggia gli utenti e gli amministratori a consultare i nuovi avvisi per ottenere informazioni dettagliate e suggerimenti su come proteggere i loro sistemi.
- ICSA-23-262-01 Siemens SIMATIC PCS neo Administration Console
- ICSA-23-262-03 Omron Engineering Software Zip-Slip
- ICSA-23-262-04 Omron Engineering Software
- ICSA-23-262-05 Omron CJ/CS/CP Series
Parallelamente, la CISA ha aggiunto una nuova vulnerabilità al suo catalogo delle vulnerabilità note sfruttate. Questa vulnerabilità, identificata come CVE-2023-28434, riguarda una funzione di bypass della sicurezza nel software MinIO. Questo tipo di vulnerabilità rappresenta un vettore di attacco frequente per gli attori cyber malintenzionati e pone rischi significativi per l’impresa federale.
La Direttiva Operativa Vincolante (BOD) 22-01 ha istituito il catalogo delle vulnerabilità note sfruttate come una lista vivente di vulnerabilità e esposizioni comuni note (CVE) che rappresentano un rischio significativo per l’impresa federale. Sebbene la BOD 22-01 si applichi solo alle agenzie dell’Esecutivo Civile Federale (FCEB), la CISA esorta fortemente tutte le organizzazioni a ridurre la loro esposizione agli attacchi informatici, dando priorità alla tempestiva risoluzione delle vulnerabilità elencate nel catalogo come parte delle loro pratiche di gestione delle vulnerabilità.