La sicurezza informatica americana si trova di fronte a una crisi di finanziamento che potrebbe compromettere uno degli strumenti più cruciali per la protezione globale dalle minacce cyber. Il programma CVE (Common Vulnerabilities and Exposures), che rappresenta il database mondiale di riferimento per catalogare le vulnerabilità di sicurezza, rischia di interrompere le proprie operazioni dopo che i fondi federali si sono esauriti lo scorso aprile. Nonostante la Cybersecurity and Infrastructure Security Agency (CISA) sia riuscita a trovare risorse per mantenere attivo il servizio per undici mesi, il futuro rimane incerto e preoccupa profondamente il mondo della cybersecurity.
Il sistema nervoso della cybersecurity globale
Due esponenti democratici del Congresso, Bennie Thompson del Mississippi e Zoe Lofgren della California, hanno formalmente richiesto al Government Accountability Office (GAO) di avviare un'indagine approfondita sulla gestione del programma CVE. La loro preoccupazione principale riguarda l'efficienza e l'efficacia dei programmi governativi che supportano sia il National Vulnerability Database (NVD) che il sistema CVE stesso.
Come spiegano i due parlamentari nella loro lettera al Comptroller General Eugene Dodaro, questi sistemi rappresentano il fondamento su cui si basano le organizzazioni di tutto il mondo per mitigare le vulnerabilità che potrebbero essere sfruttate da attori malintenzionati. La cybersecurity, sottolineano, rimane una delle sfide più grandi che il paese si trova ad affrontare.
Tagli di bilancio e conseguenze preoccupanti
Il quadro si complica ulteriormente considerando che la nuova amministrazione Trump ha proposto tagli sostanziali al budget di CISA, l'agenzia responsabile della sicurezza delle infrastrutture critiche. Sebbene i tagli finali per l'anno fiscale 2026 siano stati ridimensionati a 135 milioni di dollari rispetto ai 495 milioni inizialmente previsti, i democratici continuano a considerare questa riduzione eccessiva per un'agenzia così strategica.
L'agenzia ha già subito licenziamenti e l'abbandono di diversi dirigenti di alto livello negli ultimi mesi, creando un clima di instabilità che preoccupa gli esperti del settore.
Vulnerabilità critica nella piattaforma Roundcube
Nel panorama delle minacce immediate, i ricercatori hanno identificato una vulnerabilità critica nella piattaforma webmail open-source Roundcube. La falla, catalogata come CVE-2024-42009, presenta un punteggio CVSS di 9.3 e sfrutta un problema di desanitizzazione nel corpo dei messaggi email.
Gli attaccanti possono utilizzare questa vulnerabilità per rubare e inviare email dall'account delle vittime attraverso messaggi appositamente costruiti. La minaccia è già attiva in natura, colpendo le versioni 1.5.7 e dalla 1.6.x alla 1.6.7 di Roundcube.
Discord e i link che non scadono mai
Check Point Research ha scoperto una problematica significativa nella popolare piattaforma Discord riguardante i link di invito ai gruppi chat. Contrariamente a quanto dovrebbe accadere, questi collegamenti non scadono effettivamente, permettendo ai criminali informatici di dirottarli verso siti che installano trojan di accesso remoto e malware per il furto di criptovalute.
La ricerca dimostra che chiunque abbia un abbonamento premium a Discord può riutilizzare un codice di invito scaduto sul proprio server, reindirizzandolo verso destinazioni dannose. Gli esperti raccomandano agli amministratori di utilizzare link di invito impostati per non scadere mai, poiché rubare questi risulta praticamente impossibile.
Attacchi sofisticati con strumenti legittimi
Proofpoint ha individuato una campagna denominata "UNK_SneakyStrike" che utilizza lo strumento di pentesting TeamFiltration per violare account Entra ID (precedentemente Azure Active Directory). La campagna ha preso di mira circa 80.000 account distribuiti su centinaia di organizzazioni, principalmente negli Stati Uniti ma anche in Irlanda e Regno Unito.
Gli attaccanti sfruttano l'API di Microsoft Teams e server AWS per condurre attacchi di enumerazione utenti e password spraying. Sebbene TeamFiltration sia disponibile per i penetration tester dal 2021, il suo uso malevolo rappresenta una novità preoccupante nel panorama delle minacce.
L'arte dell'offuscamento JavaScript
Palo Alto Networks ha scoperto una campagna di iniezione di codice che ha colpito almeno 269.552 pagine web utilizzando una tecnica di offuscamento JavaScript chiamata JSF*ck. Questa metodologia permette di nascondere codice malevolo utilizzando solamente sei caratteri: []()+!. L'approccio sfrutta la coercizione di tipo di JavaScript, che converte diversi tipi di dati per garantire l'esecuzione delle operazioni, rendendo il codice dannoso estremamente difficile da individuare a prima vista.