Vulnerabilità critiche per Ivanti, jQuery, QNAP

Sommario

Una serie di avvisi recenti emessi da CISA e altre autorità di sicurezza evidenzia vulnerabilità critiche in software e infrastrutture ampiamente utilizzati, tra cui Ivanti, jQuery e QNAP. Questi difetti continuano a essere sfruttati da attori malevoli per compromettere reti aziendali, rubare dati sensibili e ottenere l’accesso remoto ai sistemi.

Potreste Essere Interessati

Ivanti: vecchie vulnerabilità ancora sfruttate

Gli attori malevoli continuano a sfruttare quattro vulnerabilità zero-day nei dispositivi Ivanti Cloud Service Appliances (CSA), già risolte da patch nel 2024:

CVE-2024-8963 e CVE-2024-8190: Catena di exploit che consente bypass dell’autenticazione amministrativa e l’esecuzione di codice remoto.
CVE-2024-9379 e CVE-2024-9380: Vulnerabilità di SQL injection e RCE utilizzate per accedere a credenziali e impiantare webshells.

Nonostante le patch siano disponibili, molte organizzazioni non hanno ancora aggiornato i loro sistemi. La compromissione può portare a movimenti laterali nei sistemi interni e accesso ai dati sensibili. CISA raccomanda aggiornamenti immediati e analisi dei log per rilevare attività anomale.

Annunci

jQuery: una vulnerabilità vecchia di cinque anni ancora attuale

La vulnerabilità CVE-2020-11023, un bug XSS (cross-site scripting) nella libreria JavaScript jQuery, è stata aggiunta alla lista delle vulnerabilità sfruttate note da CISA. Sebbene sia stata risolta con la versione 3.5.0 di jQuery nel 2020, molte applicazioni e siti web utilizzano ancora versioni non aggiornate.

CVE-2020-11023 – JQuery Cross-Site Scripting (XSS) Vulnerability

La vulnerabilità consente l’esecuzione di codice arbitrario, compromettendo dati e applicazioni.
Secondo EclecticIQ, i criminali informatici continuano a sfruttare questa falla in campagne di comando e controllo.

CISA sollecita tutte le organizzazioni a rimuovere versioni obsolete di jQuery e a utilizzare strumenti come DOMPurify per sanitizzare le stringhe HTML prima della manipolazione DOM.

QNAP e le vulnerabilità di Rsync

QNAP ha corretto sei vulnerabilità critiche nel suo software di backup e ripristino HBS 3 Hybrid Backup Sync, che utilizza il protocollo Rsync per la sincronizzazione dei file. Queste falle, tra cui buffer overflow e traversal path, consentono agli attaccanti di ottenere l’accesso remoto ai dispositivi NAS compromessi.

Vulnerabilità chiave:

CVE-2024-12084 (heap buffer overflow) e CVE-2024-12085 (leak di informazioni): Quando sfruttate insieme, consentono l’esecuzione di codice arbitrario.
CVE-2024-12086 (server leaks): Permette la divulgazione di file client sensibili.
CVE-2024-12087 e CVE-2024-12088: Consentono bypass di opzioni di sicurezza come --safe-links, aumentando il rischio di compromissione.

Secondo il CERT/CC, queste vulnerabilità sono particolarmente pericolose perché permettono attacchi combinati, dove i criminali possono prendere il controllo di server e dispositivi client connessi. Nonostante l’aggiornamento rilasciato da QNAP, molti server Rsync rimangono esposti, con oltre 700.000 IP pubblici rilevati da Shodan.

Raccomandazioni:

Aggiornare immediatamente HBS 3 Hybrid Backup Sync alla versione 25.1.4.952.
Disabilitare connessioni anonime sui server Rsync e limitare gli accessi utilizzando credenziali robuste.

Sistemi di controllo industriale: nuove minacce emergenti

CISA ha pubblicato sei avvisi relativi ai sistemi di controllo industriale (ICS), evidenziando vulnerabilità in software critici utilizzati in settori come l’energia, l’acqua e le telecomunicazioni. Tra le vulnerabilità segnalate figurano problemi di buffer overflow, vulnerabilità di autenticazione e mancata sanitizzazione degli input.

ICSA-25-023-01 mySCADA myPRO Manager
ICSA-25-023-02 Hitachi Energy RTU500 Series Product
ICSA-25-023-03 Schneider Electric EVlink Home Smart and Schneider Charge
ICSA-25-023-04 Schneider Electric Easergy Studio
ICSA-25-023-05 Schneider Electric EcoStruxure Power Build Rapsody
ICSA-25-023-06 HMS Networks Ewon Flexy 202

Implicazioni per le infrastrutture critiche

La compromissione di sistemi ICS può causare gravi danni:

Interruzione dei servizi essenziali, come energia elettrica e acqua.
Accesso non autorizzato a sistemi di controllo che gestiscono infrastrutture sensibili.

CISA raccomanda agli operatori di ICS di adottare framework come NIST Cybersecurity Framework e di aggiornare costantemente i sistemi con patch di sicurezza.

Catalogo CISA delle vulnerabilità sfruttate

Tra le vulnerabilità aggiunte recentemente al catalogo delle vulnerabilità note sfruttate figurano falle in software comunemente utilizzati, come Microsoft Exchange e VMware ESXi. L’obiettivo di questo catalogo è sensibilizzare le organizzazioni sui rischi attuali e promuovere l’adozione tempestiva di patch.

Questi avvisi sottolineano quanto sia cruciale mantenere aggiornati i sistemi e adottare un approccio proattivo alla sicurezza informatica. Le vulnerabilità in Ivanti, jQuery e QNAP, insieme ai rischi nei sistemi ICS, evidenziano la necessità di una protezione multilivello che includa aggiornamenti software, formazione degli utenti e monitoraggio continuo delle reti.