Le minacce informatiche non si fermano mai, la CISA (Agenzia per la Sicurezza Informatica e delle Infrastrutture degli Stati Uniti) è sempre pronta ad informare il pubblico su potenziali scenari di minacce informatiche sul suo registro delle vulnerabilità note, il cosiddetto KEV.
L’Agenzia per la Sicurezza Informatica e delle Infrastrutture degli Stati Uniti (CISA), infatti, ha aggiunto due vulnerabilità di sicurezza, vecchie di sei anni, che interessano Sitecore CMS e Experience Platform (XP) al suo catalogo di Vulnerabilità Sfruttate Conosciute (KEV), sulla base di prove di sfruttamento attivo.
Le nuove vulnerabilità segnalate dalla CISA
Le vulnerabilità elencate nel registro CISA sono le seguenti:
- CVE-2019-9874 (punteggio CVSS: 9.8) – Una vulnerabilità di deserializzazione nel modulo Sitecore.Security.AntiCSRF che consente a un attaccante non autenticato di eseguire codice arbitrario inviando un oggetto .NET serializzato nel parametro HTTP POST
__CSRFTOKEN. - CVE-2019-9875 (punteggio CVSS: 8.8) – Una vulnerabilità di deserializzazione nel modulo Sitecore.Security.AntiCSRF che consente a un attaccante autenticato di eseguire codice arbitrario inviando un oggetto .NET serializzato nel parametro HTTP POST
__CSRFTOKEN.
Attualmente secondo la CISA non ci sono dettagli su come queste falle vengano sfruttate attivamente né da chi, sebbene Sitecore abbia dichiarato in un aggiornamento del 30 marzo 2020 di essere a conoscenza dello sfruttamento attivo della CVE-2019-9874; la CISA non ha menzionato alcun caso di sfruttamento della CVE-2019-9875.
Alla luce dello sfruttamento attivo, le agenzie federali sono tenute ad applicare le patch necessarie entro il 16 aprile 2025 per proteggere le loro reti.
Oltre alla CISA, l’indagine dell’azienda Akamai
Questa situazione si verifica mentre Akamai ha osservato i primi tentativi di exploit che cercano di sondare server potenzialmente vulnerabili a una nuova falla di sicurezza nel framework web Next.js (CVE-2025-29927, punteggio CVSS: 9.1).
Si tratta di una vulnerabilità di aggiramento dell’autorizzazione che, se sfruttata con successo, potrebbe permettere a un attaccante di bypassare i controlli di sicurezza basati su middleware falsificando un’intestazione chiamata “x-middleware-subrequest”, utilizzata per gestire i flussi di richieste interne e questo potrebbe consentire l’accesso non autorizzato a risorse sensibili dell’applicazione, ha dichiarato Raphael Silva di Checkmarx.
“Tra i payload identificati, una tecnica notevole prevede l’uso dell’intestazione x-middleware-request con il valore src/middleware:src/middleware:src/middleware:src/middleware:src/middleware“, ha affermato Akamai, aggiungendo: “Questo approccio simula più sotto-richieste interne all’interno di una singola richiesta, attivando la logica di reindirizzamento interno di Next.js, in un modo molto simile a diversi exploit proof-of-concept disponibili pubblicamente.“
Queste rivelazioni seguono anche un avviso di GreyNoise, che ha segnalato tentativi di sfruttamento attivo contro diverse vulnerabilità note nei dispositivi DrayTek.
Le altre vulnerabilità scoperte dagli esperti di sicurezza informatica
L’azienda di intelligence sulle minacce ha osservato attività malevole in natura contro i seguenti identificatori CVE:
- CVE-2020-8515 (punteggio CVSS: 9.8) – Una vulnerabilità di iniezione di comandi nel sistema operativo che interessa diversi modelli di router DrayTek e potrebbe consentire l’esecuzione remota di codice con privilegi di root tramite metacaratteri della shell nell’URI
cgi-bin/mainfunction.cgi. - CVE-2021-20123 (punteggio CVSS: 7.5) – Una vulnerabilità di inclusione di file locali in DrayTek VigorConnect, che potrebbe permettere a un attaccante non autenticato di scaricare file arbitrari dal sistema operativo sottostante con privilegi di root tramite l’endpoint
DownloadFileServlet. - CVE-2021-20124 (punteggio CVSS: 7.5) – Una vulnerabilità di inclusione di file locali in DrayTek VigorConnect, che potrebbe consentire a un attaccante non autenticato di scaricare file arbitrari dal sistema operativo sottostante con privilegi di root tramite l’endpoint
WebServlet.
Indonesia, Hong Kong e Stati Uniti sono emersi come le principali destinazioni del traffico di attacco per la CVE-2020-8515, mentre Lituania, Stati Uniti e Singapore sono stati identificati tra i paesi bersaglio degli attacchi che sfruttano CVE-2021-20123 e CVE-2021-20124.
Sebbene l’Italia sembrerebbe fuori dagli attacchi di questa minaccia è sempre meglio prestare attenzione quando si naviga su internet.
