Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Allarme CISA KEV: ScreenConnect e Windows sotto attacco reale, patch subito
La CISA ha aggiornato il catalogo Known Exploited Vulnerabilities (KEV) inserendo due vulnerabilità attivamente sfruttate che riguardano ConnectWise ScreenConnect e Microsoft Windows. Questo elenco è un riferimento operativo per la gestione delle patch e per la riduzione del rischio, soprattutto negli ambienti dove la superficie di attacco include strumenti di accesso remoto e postazioni Windows diffuse.
La prima falla è CVE-2024-1708 con punteggio CVSS 8.4. Si tratta di una vulnerabilità di path traversal in ConnectWise ScreenConnect che può consentire a un attaccante di eseguire codice da remoto o di impattare direttamente dati riservati e sistemi critici. La correzione risulta disponibile da febbraio 2024, ma la presenza nel KEV indica che esistono prove di sfruttamento reale e che i sistemi non aggiornati continuano a rappresentare un bersaglio pratico. In scenari di attacco, le vulnerabilità su piattaforme di remote management sono particolarmente appetibili perché possono offrire un punto di ingresso privilegiato e scalabile verso reti aziendali e clienti gestiti.
La seconda vulnerabilità è CVE-2026-32202 con punteggio CVSS 4.3 e interessa Windows Shell. È classificata come failure di un meccanismo di protezione e può permettere spoofing in rete da parte di un attaccante non autorizzato. Anche se il punteggio è più basso, la conferma di sfruttamento attivo alza la priorità di intervento. La patch è stata rilasciata ad aprile 2026 e l’inserimento nel KEV segue un aggiornamento delle informazioni di sicurezza che riconosce l’utilizzo della falla in attacchi reali.
Nel contesto di Windows, è stato evidenziato che la vulnerabilità sarebbe collegata a una patch incompleta per una falla precedente, con riferimenti a campagne che hanno coinvolto anche vulnerabilità zero-day in attacchi mirati. Sul fronte ScreenConnect, CVE-2024-1708 è stata in passato concatenata con CVE-2024-1709, una vulnerabilità critica di authentication bypass con CVSS 10.0, sfruttata da più attori malevoli. In alcune campagne recenti lo sfruttamento è stato associato a distribuzione di ransomware, aumentando l’impatto potenziale su continuità operativa e dati.
Per le agenzie FCEB è previsto l’obbligo di applicare le correzioni entro il 12 maggio 2026, un segnale utile anche per le aziende che vogliono allineare le proprie scadenze di patching a standard elevati e basati su minacce concrete.