CISA aggiunge due vulnerabilità ad alto rischio al catalogo degli exploit: cosa devono fare ora i team di sicurezza

L'Agenzia per la Sicurezza Informatica e delle Infrastrutture (CISA) ha nuovamente aggiornato il suo Catalogo delle Vulnerabilità Sfruttate Note (KEV)—una fonte critica di informazioni sia per i difensori federali che per quelli del settore privato. Il 2 maggio 2025, sono state aggiunte due vulnerabilità verificate come sfruttate in natura:

• CVE-2025-34028 – Vulnerabilità di Traversata del Percorso nel Commvault Command Center
• CVE-2024-58136 – Vulnerabilità del Percorso Alternativo in YiiFramework: Protezione Inadeguata

Queste espansioni evidenziano la necessità per le organizzazioni di tutti i settori di rimanere vigili e proattive nella gestione delle vulnerabilità anche quando non sono sotto requisiti federali attivi.

Perché Queste CVE Sono Importanti

CVE-2025-34028 nel Commvault Command Center è una vulnerabilità di traversata del percorso che consente agli attaccanti di leggere directory non autorizzate o eseguire codice al di fuori delle strutture di file previste. La vulnerabilità è particolarmente preoccupante data la natura sensibile dei sistemi di backup e protezione dei dati, che sono un obiettivo preferito degli attaccanti ransomware e degli attaccanti statali.

CVE-2024-58136 impatta il Yii PHP Framework comunemente utilizzato nelle applicazioni web. È il risultato di una protezione inadeguata dei percorsi alternativi, che può permettere agli attaccanti di bypassare i controlli di accesso progettati per esso. Il suo sfruttamento può portare a un uso non autorizzato di funzionalità o dati sensibili, ponendo quindi un rischio significativo per gli sviluppatori e gli amministratori di piattaforme.

Il Ruolo di BOD 22-01

Le agenzie del Ramo Esecutivo Civile Federale (FCEB) soggette a Direttiva Operativa Vincolante 22-01 devono sanare le vulnerabilità elencate nel KEV entro i tempi prescritti. La direttiva impone una risposta strutturata e prioritaria alle CVE attivamente sfruttate a favore di posizioni di sicurezza più robuste nelle reti governative.
Mentre la direttiva è rivolta alle agenzie federali, CISA suggerisce fortemente che tutte le organizzazioni—aziende private, fornitori di infrastrutture critiche e fornitori di SaaS—utilizzino il catalogo KEV come una lista di sanificazione urgente.

Consigli degli Esperti per i Team di Sicurezza

Al Security Briefing, esortiamo un'azione immediata per gli amministratori che supervisionano le installazioni di Commvault o Yii:

• Controllare ogni installazione del Commvault Command Center e delle applicazioni web basate su Yii.
• Applicare patch o mitigazioni il prima possibile. Un ritardo prolungato nell'applicazione delle patch per le vulnerabilità sfruttate pubblicamente può portare a compromissioni dirette.
• Applicare controlli di accesso ai file e firewall per applicazioni web (WAF) per identificare e prevenire tentativi di traversata del percorso o accesso a percorsi alternativi.
• Track CISA’s KEV Catalog on a weekly basis—incorporate into automated vulnerability scanning and remediation processes.
• Controllare i log di accesso e condurre ricerche di minacce per qualsiasi segno di sfruttamento precedente, in particolare nei sistemi esposti esternamente.

Pensiero Finale: CISA’s continuous updates to the KEV catalog represent a vital warning system. Not responding to these warnings is the same as keeping known entry points open for cybercriminals, who are actively taking advantage of them. Regardless of whether you belong to the private or public sector, handle each KEV addition with the highest priority. Proactive vulnerability management is no longer a choice—it’s a necessity to securing the modern enterprise.