CISA adaugă două vulnerabilități cu risc ridicat în catalogul exploatat: Ce ar trebui să facă echipele de securitate acum

Agenția pentru Securitate Cibernetică și Infrastructură (CISA) și-a actualizat din nou Catalogul Vulnerabilităților Exploatate Cunoscute (KEV)—o sursă critică de informații atât pentru apărătorii din sectorul federal, cât și pentru cei din sectorul privat. Pe 2 mai 2025, au fost adăugate două vulnerabilități care au fost verificate ca fiind exploatate în sălbăticie:

• CVE-2025-34028 – Vulnerabilitate de Traversare a Căii în Commvault Command Center
• CVE-2024-58136 – Vulnerabilitate de Cale Alternativă în YiiFramework: Protecție Inadecvată

Aceste extinderi subliniază necesitatea ca organizațiile din toate sectoarele să rămână vigilente și proactive în gestionarea vulnerabilităților, chiar și atunci când nu sunt sub cerințe federale active.

De ce contează aceste CVE-uri

CVE-2025-34028 în Commvault Command Center este o vulnerabilitate de traversare a căii care permite atacatorilor să citească directoare neautorizate sau să ruleze cod în afara structurilor de fișiere intenționate. Vulnerabilitatea este deosebit de îngrijorătoare având în vedere natura sensibilă a sistemelor de backup și protecție a datelor, care sunt o țintă preferată a atacatorilor de tip ransomware și a atacatorilor statali.

CVE-2024-58136 afectează cadrul Yii PHP, care este utilizat frecvent în aplicațiile web. Este rezultatul unei protecții inadecvate a căilor alternative, care poate permite atacatorilor să ocolească controalele de acces proiectate pentru aceasta. Exploatarea sa poate duce la utilizarea neautorizată a funcționalităților sau datelor sensibile, reprezentând astfel un risc semnificativ pentru dezvoltatori și administratorii de platforme.

Rolul BOD 22-01

Agențiile din Ramura Executivă Civilă Federală (FCEB) supuse Directivei Operaționale Obligatorii 22-01 trebuie să remedieze vulnerabilitățile listate în KEV în termenele prescrise. Directiva impune un răspuns structurat și prioritizat la CVE-urile exploatate activ în favoarea unor poziții de securitate mai robuste pe rețelele guvernamentale.
Deși directiva vizează agențiile federale, CISA sugerează cu tărie ca toate organizațiile—companii private, furnizori de infrastructură critică și furnizori SaaS—să utilizeze catalogul KEV ca o listă urgentă de remediere.

Sfaturi de la experți pentru echipele de securitate

La Security Briefing, îndemnăm la acțiuni imediate pentru administratorii care supraveghează instalările Commvault sau Yii:

• Auditați fiecare instalare a Commvault Command Center și a aplicațiilor web bazate pe Yii.
• Aplicați patch-uri sau măsuri de atenuare cât mai curând posibil. Întârzierea extinsă în aplicarea patch-urilor pentru vulnerabilitățile exploatate public poate duce la compromiterea directă.
• Aplicați controale de acces la fișiere și firewall-uri pentru aplicații web (WAF) pentru a identifica și preveni încercările de traversare a căii sau de acces la căi alternative.
• Urmăriți catalogul KEV al CISA săptămânal—integrați-l în procesele automate de scanare și remediere a vulnerabilităților.
• Auditați jurnalele de acces și efectuați vânătoare de amenințări pentru orice semn de exploatare anterioară, în special în sistemele expuse extern.

Gând final: Actualizările continue ale CISA la catalogul KEV reprezintă un sistem de avertizare vital. Nerespectarea acestor avertismente este echivalentă cu păstrarea deschisă a punctelor de intrare cunoscute pentru infractorii cibernetici, care profită activ de ele. Indiferent dacă aparțineți sectorului privat sau public, tratați fiecare adăugare KEV cu cea mai mare prioritate. Gestionarea proactivă a vulnerabilităților nu mai este o alegere—este o necesitate pentru securizarea întreprinderii moderne.