Il CISA ha aggiunto due nuove vulnerabilità al suo catalogo, basandosi su prove di sfruttamento attivo. Questi difetti rappresentano un rischio significativo per l’impresa federale.
Il Cybersecurity and Infrastructure Security Agency (CISA) ha recentemente ampliato il suo Catalogo delle Vulnerabilità Note Sfruttate (Known Exploited Vulnerabilities Catalog), introducendo due nuove vulnerabilità basandosi su prove di sfruttamento attivo. Queste vulnerabilità sono diventate un obiettivo attraente per gli attori cyber-maliziosi e presentano un rischio significativo per l’ecosistema federale.
Le due vulnerabilità aggiunte sono la CVE-2024-29745, una vulnerabilità sulla divulgazione di informazioni sui Pixel Android, e la CVE-2024-29748, una vulnerabilità di escalation dei privilegi sui Pixel Android. Entrambe le vulnerabilità rappresentano delle falle di sicurezza nelle operazioni del sistema Android e sono state individuate come fonti di attacco per i cyber malintenzionati.
In risposta a questi attacchi, il CISA ha implementato la Direttiva Operativa Vincolante (BOD) 22-01: Riduzione del Rischio Significativo di Vulnerabilità Note Sfruttate. Questa direttiva stabilisce il Catalogo delle Vulnerabilità Note Sfruttate come elenco aggiornato conosciuto di Common Vulnerabilities and Exposures (CVE) che comportano rischi significativi per l’impresa federale.
La BOD 22-01 obbliga le agenzie del ramo esecutivo civile federale (FCEB) a risolvere le vulnerabilità identificate entro una certa data per proteggere le reti FCEB contro le minacce attive. Per ulteriori informazioni, è possibile consultare il foglio informativo BOD 22-01.
Sebbene la BOD 22-01 si applichi solamente alle agenzie FCEB, il CISA raccomanda fortemente a tutte le organizzazioni di ridurre la loro esposizione agli attacchi informatici, dando la priorità alla risoluzione tempestiva delle vulnerabilità del Catalogo come parte della loro pratica di gestione delle vulnerabilità. Il CISA continuerà ad aggiungere vulnerabilità al catalogo che rispettano criteri specifici.