Sommario
L’agenzia CISA (Cybersecurity and Infrastructure Security Agency) ha recentemente ampliato il suo Known Exploited Vulnerabilities Catalog con l’aggiunta di tre nuove vulnerabilità critiche. Queste vulnerabilità, attivamente sfruttate, comprendono falle in prodotti Fortinet e Ivanti, con conseguenze potenzialmente devastanti per le reti governative e aziendali. Parallelamente, Palo Alto Networks ha emesso un avviso per alcune vulnerabilità che riguardano i suoi firewall, le quali potrebbero essere sfruttate per ottenere il controllo completo dei dispositivi.
Vulnerabilità in Fortinet e Ivanti: attacchi attivi in corso
CISA ha inserito nel catalogo delle vulnerabilità note le seguenti falle:
- CVE-2024-23113: Vulnerabilità di format string nei prodotti Fortinet. Questo problema riguarda FortiOS, FortiPAM, FortiProxy e FortiWeb. La falla risiede nel daemon fgfmd che gestisce le richieste di autenticazione. Se sfruttata, consente a un attaccante non autenticato di eseguire codice arbitrario sui dispositivi non aggiornati. Questo tipo di attacco è a bassa complessità e non richiede l’interazione dell’utente. Fortinet ha rilasciato una patch a febbraio, raccomandando la rimozione dell’accesso al daemon fgfmd come misura di mitigazione. Tuttavia, resta necessaria una protezione attiva per impedire l’accesso da indirizzi IP non autorizzati.
- CVE-2024-9379 e CVE-2024-9380: Due vulnerabilità riguardano l’Ivanti Cloud Services Appliance (CSA), tra cui una vulnerabilità di SQL injection e un’altra di OS command injection. Queste vulnerabilità rappresentano una minaccia significativa per le infrastrutture critiche, permettendo agli attaccanti di eseguire comandi non autorizzati e accedere ai dati sensibili.
Le agenzie federali degli Stati Uniti sono obbligate a correggere queste vulnerabilità entro il 30 ottobre 2024, come stabilito dalla direttiva BOD 22-01. Sebbene le direttive riguardino specificamente le agenzie governative, CISA raccomanda a tutte le organizzazioni di adottare misure di protezione simili.
Palo Alto Networks e le vulnerabilità nei firewall
Palo Alto Networks ha lanciato un avvertimento riguardo a diverse vulnerabilità critiche presenti nella sua soluzione Expedition, utilizzata per la migrazione delle configurazioni dei firewall. Queste falle possono essere combinate per ottenere l’accesso ai dati sensibili, tra cui le credenziali degli utenti e le configurazioni dei dispositivi:
- CVE-2024-5910 e CVE-2024-9464: Una combinazione di vulnerabilità di command injection e mancanza di autenticazione che consente agli attaccanti di eseguire comandi non autorizzati su server Expedition vulnerabili. Un ricercatore di Horizon3.ai ha rilasciato un proof-of-concept che dimostra come queste falle possano essere sfruttate insieme per ottenere l’accesso completo.
Nonostante non vi siano ancora prove di sfruttamento attivo di queste vulnerabilità, Palo Alto Networks consiglia un aggiornamento immediato a Expedition 1.2.96 o versioni successive. Gli amministratori sono invitati a limitare l’accesso di rete a Expedition e a ruotare le credenziali di tutti gli account coinvolti dopo l’aggiornamento.
- CVE-2024-9463 (unauthenticated command injection vulnerability)
- CVE-2024-9464 (authenticated command injection vulnerability)
- CVE-2024-9465 (unauthenticated SQL injection vulnerability)
- CVE-2024-9466 (cleartext credentials stored in logs)
- CVE-2024-9467 (unauthenticated reflected XSS vulnerability)
Implicazioni e azioni consigliate
Le vulnerabilità trattate da CISA e Palo Alto Networks sottolineano l’urgenza di adottare strategie di sicurezza proattive. La corretta gestione delle vulnerabilità è essenziale per ridurre i rischi associati agli attacchi informatici, specialmente in un contesto di minacce sempre più sofisticate. Le aziende che utilizzano i prodotti Fortinet, Ivanti e Palo Alto Networks dovrebbero verificare la presenza di aggiornamenti e applicarli tempestivamente, oltre a considerare ulteriori misure di mitigazione per ridurre l’esposizione a potenziali attacchi.
