Negli ultimi giorni, diverse vulnerabilità critiche di sicurezza sono emerse su piattaforme di grande rilievo come SonicWall, Apache, Veeam e Cisco, richiedendo azioni immediate per mitigare i rischi di attacchi e compromissioni. In questo articolo esamineremo i dettagli di ciascuna di queste vulnerabilità e le relative misure di sicurezza raccomandate.

SonicWall: Access Control Exploit su SSLVPN

SonicWall ha segnalato una vulnerabilità critica di access control, tracciata come CVE-2024-40766, che sta attualmente subendo attacchi attivi. Questo difetto, con un punteggio CVSS di 9,3, interessa le versioni SonicOS per i dispositivi SonicWall Firewall di generazione 5, 6 e 7. La vulnerabilità permette l’accesso non autorizzato alle risorse del firewall, e nel peggiore dei casi, può causare crash del dispositivo, compromettendo la protezione della rete.

SonicWall consiglia di applicare immediatamente le patch rilasciate, limitare l’accesso al firewall a fonti attendibili e disabilitare l’accesso a SSLVPN se non necessario. Attacchi precedenti simili sono stati sfruttati da attori come hacker cinesi per compromettere reti aziendali.

Apache: vulnerabilità di esecuzione Codice Remoto in OFBiz

Apache ha corretto una grave vulnerabilità di esecuzione di codice remoto (RCE) nel suo software open-source OFBiz, tracciata come CVE-2024-45195. Questo difetto consente agli attaccanti di sfruttare una debolezza nel controllo delle autorizzazioni, eseguendo codice arbitrario su server vulnerabili, sia Linux che Windows.

Apache ha risolto il problema aggiungendo controlli di autorizzazione nella versione 18.12.16. Gli amministratori sono invitati ad aggiornare immediatamente per prevenire attacchi che sfruttano questa vulnerabilità, specialmente considerando che altre vulnerabilità di OFBiz sono già state attivamente sfruttate in precedenza.

Veeam: vulnerabilità critica RCE in Backup & Replication

Veeam ha rilasciato aggiornamenti di sicurezza per risolvere 18 vulnerabilità critiche e ad alta severità nei suoi prodotti Backup & Replication, Service Provider Console e Veeam ONE. La vulnerabilità più grave, tracciata come CVE-2024-40711, permette l’esecuzione di codice remoto non autenticato, con un punteggio CVSS di 9.8.

Poiché Veeam Backup & Replication è spesso mirato da attori ransomware, come il gruppo Cuba e FIN7, per sottrarre backup e impedire la possibilità di ripristinare i dati, gli utenti sono fortemente invitati ad aggiornare a Veeam versione 12.2.0.334 per prevenire possibili attacchi.

Cisco: aggiornamenti di sicurezza per vulnerabilità ISE, Smart Licensing e Duo Epic

Negli ultimi giorni oltre alle vulnerabilità di Apache, SonicWall e Veeam, Cisco ha rilasciato una serie di aggiornamenti di sicurezza per risolvere vulnerabilità critiche nei suoi sistemi, inclusi il software Identity Services Engine (ISE), Cisco Smart Licensing Utility e Duo Epic per Hyperdrive. Queste vulnerabilità, se sfruttate, possono permettere l’escalation dei privilegi, l’accesso non autorizzato e l’esecuzione di codice arbitrario. Gli amministratori sono esortati a implementare le patch il prima possibile.

Cisco: escalation dei privilegi su Identity Services Engine (ISE)

Cisco ha risolto una vulnerabilità di escalation dei privilegi, tracciata come CVE-2024-20469, che consente agli attaccanti di ottenere privilegi di root sui sistemi vulnerabili. Il difetto è presente nel software Identity Services Engine (ISE) di Cisco, utilizzato per il controllo degli accessi di rete e l’amministrazione dei dispositivi.

La vulnerabilità è dovuta a una convalida insufficiente dei comandi CLI e può essere sfruttata localmente da attaccanti con privilegi di amministratore. Cisco ha rilasciato le patch per le versioni 3.2 e 3.3 di ISE e raccomanda di applicare gli aggiornamenti quanto prima.

Cisco ISE: vulnerabilità di Escalation dei Privilegi

La vulnerabilità, tracciata come CVE-2024-20469, riguarda una debolezza di validazione nei comandi CLI del software Identity Services Engine (ISE), che può consentire a un attaccante locale autenticato di eseguire comandi malevoli e ottenere privilegi di root. Sebbene questa vulnerabilità richieda privilegi di amministratore per essere sfruttata, rappresenta una minaccia seria in sistemi non patchati.

Cisco ha rilasciato aggiornamenti per le versioni 3.2 e 3.3 del software ISE, mentre le versioni 3.1 e 3.4 non risultano vulnerabili. Gli amministratori dovrebbero aggiornare immediatamente a ISE 3.2P7 o successivo.

Smart licensing utility: Backdoor e Vulnerabilità di Accesso Non Autorizzato

Un’altra vulnerabilità critica interessa il Cisco Smart Licensing Utility, tracciata come CVE-2024-38650. Questa vulnerabilità permette a un utente a basso privilegio di ottenere l’accesso agli hash NTLM del server, consentendo di eseguire codice remoto. Cisco ha già rimosso una backdoor amministrativa scoperta nel software, che permetteva l’accesso non autorizzato a sistemi non aggiornati.

Cisco ha rilasciato aggiornamenti per le versioni 2.0.0, 2.1.0 e 2.2.0 del software, con correzioni che devono essere applicate al più presto per evitare compromissioni.

Cisco Duo Epic per Hyperdrive: Vulnerabilità di Divulgazione di Informazioni

Cisco ha inoltre risolto una vulnerabilità di divulgazione di informazioni nel sistema Duo Epic per Hyperdrive. Questa vulnerabilità consente agli attaccanti di ottenere accesso non autorizzato a informazioni sensibili. Gli utenti sono invitati a migrare alle versioni non vulnerabili o applicare gli aggiornamenti forniti da Cisco.

Cisco Expressway Edge: Problemi di Autorizzazione

Cisco ha corretto una vulnerabilità di autorizzazione impropria in Expressway Edge. Gli amministratori dovrebbero aggiornare a Expressway-E 15.2 per risolvere questa problematica di sicurezza che potrebbe consentire attacchi non autorizzati.

Cisco ha recentemente rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità critica di escalation dei privilegi nel Meraki Systems Manager Agent per Windows. Questa vulnerabilità, se sfruttata, permetterebbe a un utente locale di ottenere privilegi elevati su un sistema compromesso, mettendo a rischio la sicurezza delle reti gestite da Cisco Meraki.

Dettagli della Vulnerabilità

Il problema riguarda la gestione delle librerie DLL nel Systems Manager Agent per Windows, che potrebbe consentire a un utente malintenzionato di iniettare codice malevolo con privilegi di amministratore. Cisco ha tracciato questa vulnerabilità come CVE-2024-xxxx e ha raccomandato l’installazione immediata della patch.

Cisco Meraki: vulnerabilità Escalation dei Privilegi

Gli amministratori di rete sono invitati a verificare che il Meraki Systems Manager Agent sia aggiornato alla versione 4.2.0 o successiva, che include la correzione per questo problema. Gli aggiornamenti sono disponibili attraverso il Meraki Dashboard e possono essere distribuiti automaticamente impostando la versione dell’agente su “latest”. Cisco Meraki ha rilasciato l’aggiornamento il 12 giugno 2024, rendendolo disponibile per tutti gli utenti di dispositivi Windows.

Azioni raccomandate

Cisco consiglia di seguire le best practice per l’aggiornamento del firmware e di assicurarsi che i dispositivi abbiano sufficiente memoria per supportare il nuovo rilascio. Inoltre, per chi non ha ancora attivato l’aggiornamento automatico, è disponibile una guida dettagliata su come configurare il Meraki Systems Manager Agent e l’opzione di controllo della versione dell’agente su più dispositivi.

Le vulnerabilità descritte in SonicWall, Apache OFBiz, Veeam e Cisco rappresentano rischi significativi per la sicurezza delle reti aziendali. Gli amministratori dovrebbero applicare immediatamente le patch fornite, limitare l’accesso remoto ai dispositivi vulnerabili e implementare misure di sicurezza aggiuntive come l’autenticazione multi-fattore. La rapida reazione e l’aggiornamento tempestivo sono essenziali per proteggere le infrastrutture critiche da attacchi mirati.