La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha recentemente aggiunto al suo catalogo delle vulnerabilità conosciute sfruttate (Known Exploited Vulnerabilities, KEV) una serie di falle di sicurezza che interessano prodotti di Zyxel, North Grid Proself, ProjectSend e CyberPanel. Questa mossa deriva dall'evidenza di un attivo sfruttamento di tali vulnerabilità.

Dettagli delle Vulnerabilità

Tra queste, la vulnerabilità CVE-2024-51378, con un punteggio CVSS di 10.0, sfrutta permessi predefiniti errati per bypassare l'autenticazione ed eseguire comandi arbitrari. La CVE-2023-45727, con un punteggio CVSS di 7.5, riguarda una restrizione impropria del riferimento a entità esterne XML, che potrebbe permettere a un attaccante remoto non autenticato di condurre un attacco XXE. La CVE-2024-11680, con un punteggio CVSS di 9.8, permette a un attaccante remoto non autenticato di creare account, caricare web shell e incorporare JavaScript dannoso. Infine, la CVE-2024-11667, con un punteggio CVSS di 7.5, è una vulnerabilità di traversal del percorso che potrebbe permettere il download o l'upload di file tramite un URL appositamente creato.

Gruppi di Attacco e Sfruttamento

L'inclusione della CVE-2023-45727 nel catalogo KEV segue un rapporto di Trend Micro, che ha collegato il suo sfruttamento attivo a un gruppo di spionaggio informatico con sede in Cina noto come Earth Kasha. La scorsa settimana, il vendor di cybersecurity VulnCheck ha rivelato che attori malintenzionati hanno tentato di sfruttare la CVE-2024-11680 già da settembre 2024 per diffondere payload post-sfruttamento. L'abuso delle vulnerabilità CVE-2024-51378 e CVE-2024-11667 è stato invece attribuito a campagne ransomware come PSAUX e Helldown.

Raccomandazioni e Soluzioni

Alle agenzie federali del ramo esecutivo civile è stato raccomandato di porre rimedio alle vulnerabilità identificate entro il 25 dicembre 2024 per proteggere le loro reti.

Altre Vulnerabilità Note

Inoltre, JPCERT/CC ha avvisato che tre falle di sicurezza nei router I-O DATA UD-LT1 e UD-LT1/EX sono attualmente sfruttate da attori sconosciuti. Queste includono la CVE-2024-45841, un'errata assegnazione di permessi che permette a un attaccante con accesso guest di leggere file sensibili; la CVE-2024-47133, una vulnerabilità di iniezione di comandi OS che permette l'esecuzione di comandi arbitrari; e la CVE-2024-52564, che consente di disabilitare la funzione firewall e modificare la configurazione del router.

Mentre le patch per la CVE-2024-52564 sono già disponibili con la versione firmware Ver2.1.9, si prevede che le correzioni per le altre due vulnerabilità verranno rilasciate il 18 dicembre 2024 con la versione Ver2.2.0. Nel frattempo, l'azienda giapponese consiglia di limitare l'esposizione delle schermate di configurazione disabilitando la gestione remota, cambiando le password di default degli utenti guest e assicurandosi che le password degli amministratori non siano facili da indovinare.