Vulnerabilità nei prodotti Zyxel, ProjectSend e CyberPanel

Dic 09, 2024 Minacce, News

---

La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha recentemente aggiunto al proprio catalogo delle Known Exploited Vulnerabilities (KEV) una serie di vulnerabilità nei prodotti di aziende come Zyxel, North Grid Proself, ProjectSend e CyberPanel. Una decisione che arriva in seguito a segnalazioni di sfruttamento attivo di queste falle per scopi malevoli.

Le vulnerabilità sotto i riflettori

Tra le criticità segnalate figura una vulnerabilità classificata come CVE-2024-51378, che ha ottenuto un punteggio CVSS di 10.0, il massimo della gravità. Il calcolo del punteggio base del CVSS (Common Vulnerability Scoring System) si basa su tre categorie: Exploitability, Impact e Scope.

La falla CVE-2024-51378 è legata a permessi predefiniti errati. Consentono di bypassare l’autenticazione ed eseguire comandi arbitrari, sfruttando metacaratteri della shell. Un’altra vulnerabilità, CVE-2024-11680, presenta invece un problema di autenticazione insufficiente, permettendo agli hacker di creare da remoto nuovi account o incorporare script dannosi. Anche CVE-2024-11667 va monitorata. Questo perché dà agli hacker la possibilità di scaricare o caricare file tramite URL appositamente modificati. CVE-2023-45727, invece, apre la porta a potenziali attacchi XML External Entity (XXE), che colpiscono le applicazioni per analizzare l’input XML.

CISA ha invitato le agenzie della Federal Civilian Executive Branch (FCEB) a risolvere queste vulnerabilità entro il 25 dicembre 2024, per garantire la sicurezza delle reti e prevenire possibili compromissioni.

Il coinvolgimento di alcuni noti gruppi di hacker

Tra le nuove falle inserite nel catalogo di CISA, CVE-2023-45727 è stata collegata a un gruppo di cyber spionaggio cinese noto come Earth Kasha, identificato anche con il nome di MirrorFace dagli esperti di Trend Micro. Questa vulnerabilità è perfetta per condurre attacchi mirati. Le vulnerabilità CVE-2024-11680, CVE-2024-51378 e CVE-2024-11667, invece, sono state associate a campagne ransomware come PSAUX e Helldown.

Nuove segnalazioni sui router I-O DATA

Parallelamente, il JPCERT/CC, il primo CSIRT (Computer Security Incident Response Team) istituito in Giappone, ha segnalato attività malevole contro i router I-O DATA UD-LT1 e UD-LT1/EX. Tra le vulnerabilità individuate, una consente ai criminali dotati di accesso come ospite di leggere file sensibili contenenti credenziali. Un’altra può essere invece sfruttata da utenti autenticati con privilegi amministrativi per eseguire comandi arbitrari. Infine, un’ulteriore criticità permette di disabilitare il firewall, alterare la configurazione del router ed eseguire comandi non autorizzati.

Misure di mitigazione in attesa delle patch

Per una delle falle critiche nei router, la società giapponese I-O DATA ha già rilasciato una patch con il firmware Ver2.1.9. Gli aggiornamenti per le altre vulnerabilità nei prodotti, invece, sono previsti per il 18 dicembre 2024. Nel frattempo, si raccomanda agli utenti di disattivare la gestione remota, di modificare le password di default per gli account ospite e di usare credenziali amministrative più robuste.

Monitoraggio costante

I più recenti sviluppi di CISA e JPCERT sulle vulnerabilità nei prodotti mettono in evidenza l’importanza di adottare un approccio proattivo alla cybersecurity, aggiornando regolarmente i sistemi e monitorando in modo continuo le possibili falle. Il panorama delle minacce è in costante evoluzione. Una corretta gestione dei rischi è fondamentale per proteggere infrastrutture critiche e dati sensibili.

---

---

---