La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha recentemente aggiornato il suo catalogo delle vulnerabilità note e sfruttate (KEV) con l'inclusione di due nuove falle di sicurezza, evidenziando la loro attiva sfruttabilità. Le vulnerabilità aggiunte sono le seguenti:

CVE-2012-4792

con un punteggio CVSS di 9.3, rappresenta una vulnerabilità Use-After-Free in Microsoft Internet Explorer. Questa falla, risalente a più di un decennio fa, permette a un attaccante remoto di eseguire codice arbitrario tramite un sito appositamente creato. Sebbene non sia chiaro se questa vulnerabilità sia stata recentemente sfruttata, in passato è stata utilizzata in attacchi watering hole, rivolti a siti web come il Council on Foreign Relations (CFR) e Capstone Turbine Corporation nel dicembre 2012.

CVE-2024-39891

con un punteggio CVSS di 5.3, riguarda una vulnerabilità di divulgazione di informazioni in un endpoint non autenticato di Twilio Authy. Questa falla può essere sfruttata per accettare una richiesta contenente un numero di telefono e rispondere con informazioni sulla registrazione del numero con Authy. All'inizio di questo mese, Twilio ha dichiarato di aver risolto il problema nelle versioni 25.1.0 per Android e 26.1.0 per iOS, dopo che attori malevoli non identificati hanno sfruttato questa vulnerabilità per identificare i dati associati agli account Authy.

CISA ha sottolineato che "questi tipi di vulnerabilità sono vettori di attacco frequenti per attori cyber malevoli e rappresentano rischi significativi per l'impresa federale". Le agenzie del Federal Civilian Executive Branch (FCEB) sono tenute a risolvere le vulnerabilità identificate entro il 13 agosto 2024, per proteggere le loro reti contro le minacce attive.

L'inclusione di queste vulnerabilità nel catalogo KEV di CISA sottolinea l'importanza di mantenere aggiornati i sistemi e di applicare le patch di sicurezza tempestivamente. Le due vulnerabilità evidenziano come anche falle di sicurezza datate possano rappresentare una minaccia se non adeguatamente mitigate. La CVE-2012-4792, nonostante sia vecchia di un decennio, continua a essere rilevante, mentre la CVE-2024-39891 dimostra quanto sia critico affrontare rapidamente le vulnerabilità nei servizi moderni come Twilio Authy.

L'aggiornamento costante delle misure di sicurezza e la prontezza nel rispondere alle nuove minacce sono elementi chiave per proteggere le infrastrutture digitali. Le agenzie governative, così come le organizzazioni private, devono rimanere vigili e proactive nel loro approccio alla sicurezza informatica per prevenire potenziali exploit e attacchi.