L’ultima vulnerabilità attiva individuata dalla CISA mette in luce i rischi per la sicurezza informatica a livello federale.
La Cybersecurity and Infrastructure Security Agency (CISA) ha recentemente incrementato il suo registro di vulnerabilità note e sfruttate con un nuovo codice che testimonia l’uso attivo di tali falle da parte di attori cyber malintenzionati. Questa azione sottolinea l’importanza di una gestione meticolosa delle minacce informatiche, specialmente per le agenzie federali, ma anche per il settore privato.
La vulnerabilità aggiunta, indicata come CVE-2024-21762, riguarda una problematica di scrittura fuori limiti nel sistema operativo Fortinet FortiOS. Questo tipo di carenza può essere sfruttato per compromettere il funzionamento delle reti e accedere a informazioni sensibili, rappresentando un pericolo concreto per le istituzioni federali.
La Direttiva Operativa Costrittiva (BOD) 22-01 è il dispositivo che ha istituito il catalogo delle vulnerabilità conosciute e sfruttate (Known Exploited Vulnerabilities Catalog), ponendo le basi per una lista dinamica di CVEs che presentano rischi significativi per l’infrastruttura federale. Questa direttiva richiede specificatamente alle agenzie del ramo esecutivo federale civile (FCEB) di correggere le vulnerabilità identificate entro certe scadenze, per mitigare i rischi associati alle minacce attive.
Nonostante la BOD 22-01 si applichi esclusivamente alle agenzie FCEB, la CISA esorta fortemente tutte le organizzazioni a limitare l’esposizione a attacchi cyber, dando priorità alla sistemazione tempestiva delle vulnerabilità inserite nel catalogo, come parte fondamentale delle pratiche di gestione delle vulnerabilità. La CISA prevede di aggiungere al catalogo altre vulnerabilità che soddisfano determinati criteri prestabiliti.
La situazione attuale rafforza l’urgenza per le istituzioni di ogni settore di adottare sistemi di cybersecurity robusti e aggiornati, nonché politiche di prevenzione e risposta agli incidenti che possano salvaguardare con efficacia i dati sensibili e le infrastrutture critiche.