Lo CISA amplia il catalogo delle vulnerabilità conosciute identificando due nuovi punti deboli attivamente sfruttati, mettendo a rischio l’ambiente informatico federale.
La sicurezza informatica è una priorità assoluta nell’era digitale moderna, con entità come l’Agenzia di Sicurezza delle Infrastrutture e della Sicurezza Cybernetica degli Stati Uniti (CISA) che lavorano incessantemente per identificare e mitigare le minacce. Di recente, la CISA ha aggiunto al suo catalogo delle vulnerabilità conosciute e sfruttate due nuovi punti critici. Queste nuove minacce sono state identificate come:
- Vulnerabilità dell’uso delle credenziali codificate negli apparati di archiviazione di rete (NAS) di D-Link (CVE-2024-3272);
- Vulnerabilità dell’iniezione di comandi negli apparati di archiviazione di rete (NAS) di D-Link (CVE-2024-3273).
Le vulnerabilità come queste rappresentano frequenti vettori di attacco per attori cyber malintenzionati e costituiscono un rilevante rischio per l’ambiente informatico federale. Il catalogo delle vulnerabilità sfruttabili noti di CISA è uno strumento fondamentale per tenere traccia delle minacce attive e potenziali alla sicurezza informatica.
Il Binding Operational Directive (BOD) 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities ha creato il catalogo delle vulnerabilità sfruttabili note come un elenco continuamente aggiornato di vulnerabilità e esposizioni comuni (CVE) che rappresentano un rischio significativo per l’ambito federale.
Tale Direttiva impone alle agenzie del Dipartimento Esecutivo Civile Federale (FCEB) di sanare le vulnerabilità identificate entro una data determinata, in modo da proteggere le reti FCEB dalle minacce attive.
Sebbene il BOD 22-01 sia applicabile solo alle agenzie FCEB, la CISA esorta con forza tutte le organizzazioni ad attenuare la loro esposizione agli attacchi cybernetici, dando priorità alla tempestiva risoluzione delle vulnerabilità nel catalogo nell’ambito della loro gestione delle vulnerabilità. La CISA continuerà ad aggiungere le vulnerabilità al suo catalogo che soddisfano i criteri stabiliti.