La Cybersecurity and Infrastructure Security Agency (CISA) ha emesso un avviso urgente alle agenzie federali alle quali viene richiesto di seguire le linee guida dei fornitori per risolvere quanto prima due vulnerabilità critiche o addirittura di cessare l’uso dei prodotti interessati.
Le due vulnerabilità critiche
CISA ha identificato e aggiunto al suo catalogo delle vulnerabilità sfruttate note (KEV) due vulnerabilità significative che riguardano un difetto all’interno di Google Chrome CVE-2023-7024 e un bug che colpisce la libreria Perl open source “Spreadsheet::ParseExcel”, progettata per leggere informazioni nei file Excel CVE-2023-7101.
La correzione di Google
CVE-2023-7024 è stata una vulnerabilità critica nel componente WebRTC di Google Chrome scoperta nel dicembre 2023 e che permetteva agli attaccanti di sfruttare potenzialmente un overflow del buffer heap tramite una pagina HTML allestita ad hoc allo scopo di ottenere il controllo del computer della vittima. Google ha corretto la vulnerabilità della sicurezza nello stesso mese di dicembre 2023 con l’aggiornamento del proprio browser Chrome.
Il caso Barracuda e la correzione di Metacpan
CVE-2023-7101 è una vulnerabilità critica che espone utenti dei sistemi operativi con software dipendente da Spreadsheet::ParseExcel versione 0.65 al rischio di esecuzione di codice in modalità remota (RCE), consentendo agli attaccanti di assumere potenzialmente il controllo di un sistema vulnerabile attraverso file Excel appositamente predisposti.
La vulnerabilità inizialmente scoperta dagli esperti di cybersecurity di Barracuda riguardava lo scanner antivirus Amavis all’interno di alcuni dei loro dispositivi di Email Security Gateway (ESG) che utilizzava per l’appunto la libreria di terze parti “Spreadsheet::ParseExcel”.
Il 22 dicembre 2023, Barracuda ha distribuito una patch per i propri prodotti interessati ma la libreria open source è rimasta vulnerabile fino al 29 dicembre 2023 quando il difetto è stato corretto definitivamente da Metacpan rilasciando la versione con patch 0.66 del modulo Perl. Inoltre in collaborazione con Mandiant, i ricercatori di Barracuda hanno concluso che la falla sui propri prodotti (identificata come CVE-2023-7102) è stata sfruttata da un attore di minacce cinese tracciato come UNC4841 per distribuire nuove varianti dei malware SEASPY e SALTWATER.
Ridurre l’esposizione agli attacchi informatici
L’avviso rientra nell’ambito della direttiva BOD (Binding Operational Directive) per la riduzione del rischio significativo delle vulnerabilità sfruttate note che richiede alle agenzie Federal Civilian Executive Branch (FCEB) di porre rimedio entro la data di scadenza per proteggere le proprie reti dalle minacce attive. Sebbene tale direttiva si applichi solo alle agenzie FCEB, CISA esorta sempre tutte le organizzazioni a ridurre la propria esposizione agli attacchi informatici.
È importante mantenere aggiornati il browser e gli altri software per proteggersi da future vulnerabilità. Qualora l’aggiornamento immediato del modulo Perl non sia fattibile, si consiglia di limitare il caricamento di file o disabilitare la funzionalità associata a Spreadsheet::ParseExcel.