Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Allerta CISA su 4 falle attive: SimpleHelp, MagicINFO e router D-Link nel mirino Mirai
La CISA ha aggiornato il catalogo Known Exploited Vulnerabilities (KEV) inserendo quattro vulnerabilità sfruttate attivamente che interessano SimpleHelp, Samsung MagicINFO 9 Server e i router D-Link della serie DIR-823X. Questa mossa rafforza le indicazioni operative per la gestione delle vulnerabilità nei sistemi esposti e richiama in particolare le agenzie federali a intervenire entro una scadenza definita.
Vulnerabilità in SimpleHelp
Due delle falle riguardano SimpleHelp, una soluzione spesso usata per assistenza remota e gestione IT.
- CVE-2024-57726 (CVSS 9.9): deriva da un problema di autorizzazione mancante e può consentire a tecnici con privilegi bassi di creare chiavi API con permessi eccessivi. In pratica, un accesso limitato può trasformarsi in un percorso di escalation fino al ruolo di amministratore del server.
- CVE-2024-57728 (CVSS 7.2): è una path traversal di tipo zip slip che permette a un utente admin di caricare file arbitrari in posizioni a scelta nel file system tramite un archivio ZIP costruito ad hoc, con potenziale esecuzione di codice nel contesto del servizio SimpleHelp.
Vulnerabilità in Samsung MagicINFO 9 Server
Un terzo problema riguarda Samsung MagicINFO 9 Server.
- CVE-2024-7399 (CVSS 8.8): è una path traversal che può permettere la scrittura di file arbitrari con privilegi di sistema. In passato questo tipo di accesso è stato associato a campagne malevole che distribuiscono botnet Mirai, evidenziando il legame tra vulnerabilità su server esposti e arruolamento di dispositivi in reti di attacco.
Vulnerabilità nei router D-Link DIR-823X
Infine la CVE-2025-29635 colpisce router D-Link DIR-823X a fine vita.
- CVE-2025-29635 (CVSS 7.5): si tratta di una command injection che consente a un attaccante autorizzato di eseguire comandi inviando una richiesta POST verso un endpoint specifico. Sono stati osservati tentativi di sfruttamento per distribuire varianti di Mirai, aumentando il rischio di compromissione su larga scala in reti domestiche e piccole infrastrutture.
Mitigazione e scadenze operative
Per ridurre il rischio di ransomware e botnet, la mitigazione richiede patch immediate dove disponibili e la dismissione dei dispositivi non più supportati. Per le organizzazioni che seguono le linee guida FCEB, la data da rispettare per applicare le correzioni o interrompere l’uso dei router impattati è l’8 maggio 2026.