Il Centro australiano per la sicurezza informatica (ACSC), l’Agenzia per la sicurezza delle infrastrutture e della cybersecurity (CISA) e l’Agenzia per la sicurezza nazionale (NSA) hanno rilasciato un avviso di sicurezza congiunto per avvertire fornitori, progettisti, sviluppatori e organizzazioni utenti finali di applicazioni web riguardo alle vulnerabilità di riferimento diretto a oggetti non sicuri (IDOR). Queste vulnerabilità vengono frequentemente sfruttate da attori malevoli in incidenti di violazione dei dati e hanno portato al compromesso di informazioni personali, finanziarie e sanitarie di milioni di utenti e consumatori.
Prevenire l’abuso del controllo di accesso alle applicazioni web
ACSC, CISA e NSA incoraggiano fortemente fornitori, progettisti, sviluppatori e organizzazioni utenti finali a esaminare l’avviso di sicurezza per le migliori pratiche, raccomandazioni e mitigazioni per ridurre la prevalenza delle vulnerabilità IDOR e garantire che le applicazioni web siano sicure per progettazione e predefinite.
CISA rilascia cinque avvisi sui sistemi di controllo industriale
CISA ha rilasciato cinque avvisi sui sistemi di controllo industriale (ICS) il 27 luglio 2023. Questi avvisi forniscono informazioni tempestive su problemi di sicurezza attuali, vulnerabilità e exploit riguardanti gli ICS.
- ICSA-23-208-01 ETIC Telecom RAS Authentication
- ICSA-23-208-02 PTC KEPServerEX
- ICSA-23-208-03 Mitsubishi Electric CNC Series
- ICSA-22-307-01 ETIC RAS (Update A)
- ICSA-22-172-01 Mitsubishi Electric MELSEC iQ-R, Q, L Series and MELIPC Series (Update B)
CISA incoraggia gli utenti e gli amministratori a esaminare i nuovi avvisi ICS per dettagli tecnici e mitigazioni.