CISA allerta su nuove vulnerabilità critiche in Microsoft, Apache e Linux

Le minacce informatiche continuano a evolversi, prendendo di mira infrastrutture critiche, software ampiamente utilizzati e dispositivi connessi. Il Cybersecurity & Infrastructure Security Agency (CISA) degli Stati Uniti ha recentemente aggiunto nuove vulnerabilità al suo Known Exploited Vulnerabilities Catalog, ordinando alle agenzie federali di aggiornare immediatamente i propri sistemi per evitare intrusioni mirate.

Tre attacchi di particolare rilevanza sono stati individuati nelle ultime settimane e queste vulnerabilità, se non corrette rapidamente, potrebbero esporre aziende e istituzioni governative a intrusioni mirate, furti di dati e ransomware.

Attacco phishing contro Microsoft ADFS: bypass dell’MFA con pagine di login false

Un nuovo attacco di phishing sta prendendo di mira Microsoft Active Directory Federation Services (ADFS), il sistema che permette il Single Sign-On (SSO) per l’accesso a più servizi aziendali. Hacker stanno distribuendo email fraudolente che imitano le notifiche IT aziendali, reindirizzando le vittime verso pagine di login false identiche a quelle originali.

Come funziona l’attacco?

1. L’utente riceve un’email che sembra provenire dal dipartimento IT dell’azienda, con un messaggio che invita ad aggiornare le credenziali o ad accettare una nuova policy di sicurezza.
2. Cliccando sul link, viene aperta una pagina fasulla che imita perfettamente il portale di login ADFS.
3. Il phishing cattura username, password e codice MFA, sfruttando tecniche per aggirare la verifica a due fattori.
4. L’attaccante usa immediatamente le credenziali per accedere alla rete aziendale, rubare dati, creare nuove regole di email forwarding e diffondere phishing laterale.

Le vittime più colpite sono state aziende nei settori sanitario, governativo ed educativo. Gli hacker utilizzano VPN Private Internet Access per offuscare la loro posizione e rendere più difficile il tracciamento.

Come difendersi?

• Utilizzare Microsoft Entra per una protezione avanzata, migliorando i controlli di autenticazione.
• Monitorare login anomali e bloccare accessi da IP sospetti.
• Educare i dipendenti a riconoscere phishing e tentativi di attacco mirato.

CISA segnala vulnerabilità critiche in Microsoft .NET e Apache OFBiz

Il Microsoft .NET Framework e il software open-source Apache OFBiz sono stati presi di mira da hacker che hanno sfruttato falle critiche per infiltrarsi nei sistemi aziendali.

Microsoft .NET Framework (CVE-2024-29059)

• Vulnerabilità di Information Disclosure scoperta da CODE WHITE.
• Permette a un attaccante di rubare riferimenti a oggetti interni e usarli per attacchi remoti tramite .NET Remoting.
• Anche se Microsoft aveva inizialmente sottovalutato la minaccia, il bug è stato sfruttato in attacchi reali, spingendo l’azienda a rilasciare una patch d’emergenza.

Apache OFBiz (CVE-2024-45195)

• Vulnerabilità critica di Remote Code Execution (CVSS 9.8) che consente agli hacker di eseguire codice arbitrario sui server non aggiornati.
• La falla sfrutta una debolezza nel browsing forzato, permettendo attacchi diretti senza autenticazione.
• Apache ha rilasciato un aggiornamento che tutte le aziende devono applicare immediatamente per evitare exploit.

CISA ha ordinato alle agenzie federali di patchare questi sistemi entro il 25 febbraio 2025, evidenziando il rischio concreto di compromissioni in corso.

Bug nel kernel Linux (CVE-2024-53104): attacchi mirati su server e Android

Una vulnerabilità ad alto rischio è stata individuata nel kernel Linux, con potenziali impatti su server, infrastrutture cloud e dispositivi Android.

See more

February 2025 Android Security Bulletin includes a heap buffer overflow in a Linux kernel USB peripheral driver (CVE-2024-53104) marked exploited in the wild. It's likely one of the USB bugs exploited by forensic data extraction tools. We block them using these.…

— GrapheneOS (@GrapheneOS) February 4, 2025

Dettagli tecnici della vulnerabilità

• Presente dalla versione 2.6.26 del kernel Linux, affligge quindi una vasta gamma di sistemi operativi basati su Linux.
• Bug di out-of-bounds write nel driver USB Video Class (UVC), sfruttabile da un attaccante locale per ottenere privilegi elevati senza autenticazione.
• Google ha già corretto il problema su Android, ma il bug rimane attivo su molte distribuzioni Linux non aggiornate.

Come viene sfruttato dagli hacker?

• Forensic Data Extraction Tools potrebbero usare questa vulnerabilità per accedere ai dati su dispositivi Android compromessi.
• Gli attaccanti possono eseguire codice malevolo con privilegi di root su server Linux vulnerabili.
• Possibile utilizzo da parte di gruppi APT (Advanced Persistent Threat) per spionaggio e cyberwarfare.

CISA ha dato tre settimane di tempo alle agenzie governative per aggiornare i propri sistemi, fissando la scadenza al 26 febbraio 2025.

Impatti e strategie di difesa

Gli ultimi avvisi di sicurezza evidenziano un panorama sempre più pericoloso per aziende, istituzioni governative e utenti finali. Le nuove vulnerabilità permettono agli hacker di bypassare MFA, ottenere accessi remoti ai server e sfruttare bug nei sistemi operativi più diffusi.

Cosa fare subito?

1. Verificare aggiornamenti per Microsoft .NET, Apache OFBiz e Linux.
2. Rafforzare la sicurezza delle VPN e delle autenticazioni aziendali, adottando MFA avanzato con token hardware.
3. Monitorare gli accessi sospetti e implementare log di sicurezza dettagliati.
4. Formare i dipendenti per riconoscere attacchi di phishing avanzati.

La corsa tra hacker e difese informatiche continua, e la capacità di “patchare” rapidamente le vulnerabilità è ormai un elemento essenziale per proteggere infrastrutture critiche e dati sensibili.