L'Agenzia per la sicurezza informatica e delle infrastrutture degli Stati Uniti (CISA) ha recentemente aggiunto due vulnerabilità di sicurezza al suo catalogo delle vulnerabilità conosciute. Queste vulnerabilità sono attivamente sfruttate e richiedono attenzione immediata. Le vulnerabilità identificate sono CVE-2024-20767 e CVE-2024-35250, entrambe recentemente corrette rispettivamente da Adobe e Microsoft. CVE-2024-20767 riguarda un problema di controllo degli accessi in Adobe ColdFusion, mentre CVE-2024-35250 è un problema di dereferenziazione di un puntatore non attendibile nel driver di modalità kernel di Microsoft Windows, che può permettere un'escalation dei privilegi.

FBI e la campagna HiatusRAT

Oltre a queste vulnerabilità, l'FBI ha avvisato di una campagna in espansione di HiatusRAT, un malware che ora prende di mira dispositivi IoT come telecamere web e DVR, sfruttando vulnerabilità non ancora mitigate da molti fornitori. Gli attori coinvolti stanno utilizzando strumenti open-source per la scansione e il cracking delle password.

Campagna di ransomware sui dispositivi DrayTek

Recentemente, Forescout Vedere Labs ha scoperto che oltre 20.000 dispositivi DrayTek Vigor sono stati presi di mira in una campagna di ransomware coordinata. Questa campagna ha coinvolto tre gruppi di attori delle minacce, tra cui Monstrous Mantis, che ha sfruttato una vulnerabilità zero-day nei router DrayTek per infiltrarsi nelle reti, rubare credenziali e distribuire ransomware come RagnarLocker e Nokoyawa. Questi gruppi hanno seguito un workflow ben strutturato e hanno collaborato per massimizzare il profitto.

Forescout ha evidenziato che le vulnerabilità nei dispositivi DrayTek riguardano problemi ricorrenti nel codice sorgente, suggerendo una mancanza di revisione sistematica del codice da parte del fornitore. Questa situazione mette in luce la necessità di un'analisi approfondita delle cause alla radice e di una gestione proattiva delle vulnerabilità per prevenire futuri attacchi.

Importanza della gestione delle patch

Questi eventi sottolineano l'importanza della gestione delle patch e della sicurezza delle reti, specialmente per le organizzazioni federali e le aziende che utilizzano dispositivi IoT. Le agenzie governative sono invitate a implementare le correzioni necessarie entro il 6 gennaio 2025 per proteggere le proprie reti da queste minacce in evoluzione.