Recenti aggiornamenti da parte di CISA e VMware mettono in luce le continue sfide legate alla sicurezza informatica, con particolare attenzione alle vulnerabilità sfruttate attivamente e agli aggiornamenti critici per i sistemi di controllo industriale (ICS) e i server VMware vCenter. Da un lato, CISA ha rilasciato un nuovo avviso per i sistemi di controllo industriale e ha aggiunto una vulnerabilità nota al suo catalogo, dall’altro VMware ha dovuto correggere una patch difettosa per una vulnerabilità di esecuzione di codice remoto (RCE) nel server vCenter, evidenziando l’importanza di aggiornamenti tempestivi.
CISA: nuovi avvisi su sistemi di controllo industriale e vulnerabilità sfruttate
Il 22 ottobre 2024, CISA ha rilasciato un avviso dedicato ai sistemi di controllo industriale (ICS), fornendo dettagli tecnici su una vulnerabilità specifica e raccomandando misure di mitigazione. Questi avvisi sono cruciali per proteggere le infrastrutture critiche che si basano su ICS, come centrali elettriche, reti idriche e impianti industriali. L’importanza di tali avvisi è legata alla necessità di prevenire potenziali attacchi che potrebbero sfruttare vulnerabilità non risolte in questi sistemi.
ICSA-24-296-01 ICONICS and Mitsubishi Electric Products
CISA ha aggiornato il Catalogo delle vulnerabilità note e sfruttate, aggiungendo una nuova vulnerabilità che è stata recentemente rilevata come attivamente sfruttata. Il catalogo è uno strumento fondamentale per le agenzie federali, che sono obbligate a risolvere le vulnerabilità elencate entro date precise.
CVE-2024-38094 Microsoft SharePoint Deserialization Vulnerability
Anche se questo obbligo si applica alle agenzie federali, CISA incoraggia tutte le organizzazioni a seguire queste raccomandazioni per ridurre i rischi di attacchi informatici.
VMware: corretta una patch difettosa per una vulnerabilità critica nel server vCenter
Sul fronte aziendale, VMware ha rilasciato un secondo aggiornamento per risolvere definitivamente una vulnerabilità di esecuzione di codice remoto (RCE) critica nel vCenter Server, segnalata come CVE-2024-38812. La vulnerabilità, con un punteggio CVSS di 9.8, è stata scoperta inizialmente durante il concorso di hacking Matrix Cup del 2024 e sfrutta una debolezza di overflow del buffer nella gestione del protocollo DCE/RPC di vCenter. Questa falla permetteva l’esecuzione di codice da remoto senza bisogno di interazione da parte dell’utente, rendendola estremamente pericolosa per le infrastrutture basate su vSphere e Cloud Foundation.
Nonostante la patch rilasciata a settembre 2024, VMware ha confermato che non risolveva completamente il problema, rendendo necessario un nuovo aggiornamento. Le versioni più recenti, tra cui vCenter 7.0 U3t e 8.0 U3d, ora includono la correzione definitiva, mentre i prodotti più vecchi non supportati, come vSphere 6.5 e 6.7, non riceveranno ulteriori aggiornamenti di sicurezza. VMware esorta tutti gli utenti a installare immediatamente le patch, poiché non sono disponibili soluzioni alternative. Attualmente, non ci sono segnalazioni di exploit attivi in natura, ma è solo questione di tempo prima che le vulnerabilità nei sistemi vCenter vengano sfruttate, considerando i precedenti attacchi zero-day.
Sia CISA che VMware hanno messo in guardia contro vulnerabilità critiche che potrebbero essere sfruttate in attacchi cibernetici. Con CISA che continua a monitorare le vulnerabilità nei sistemi di controllo industriale e VMware che rilascia aggiornamenti essenziali per correggere falle nei server vCenter, la sicurezza informatica rimane una priorità assoluta. Gli amministratori di sistema devono agire rapidamente per mitigare i rischi e garantire la protezione delle loro infrastrutture critiche.
