CISA (Cybersecurity and Infrastructure Security Agency), agenzia federale degli Stati Uniti che si occupa di sicurezza informatica e difesa delle reti usate dagli enti pubblici, ha appena pubblicato e reso accessibile da parte di chiunque sia interessato una lista delle vulnerabilità conosciute utilizzate dai criminali per far breccia nelle infrastrutture pubbliche e private.
Si tratta di un compendio di 306 falle di sicurezza, tutte risolte dagli sviluppatori con il rilascio di patch correttive, e scoperte nel corso degli anni nei software Google, Microsoft, Apple, Oracle, Adobe, Atlassian, IBM come in altri prodotti.
Contemporaneamente CISA ha ordinato a tutte le agenzie federali USA di installare tempestivamente gli aggiornamenti di sicurezza per tutte le vulnerabilità di quest’anno (con identificativo che inizia per CVE-2021) entro il prossimo 17 novembre.
Tutte le altre lacune di sicurezza andranno risolte entro e non oltre il 3 maggio 2022.
I portavoce di CISA hanno sottolineato che le vulnerabilità, ove lasciate irrisolte, pongono un serio rischio. È quindi essenziale rimediare alle vulnerabilità conosciute e attivamente sfruttate al fine di proteggere i sistemi informativi federali e ridurre gli incidenti informatici.
Il direttore di CISA, Jen Easterly, ha aggiunto che sebbene la direttiva sia vincolante solo per gli enti pubblici, anche le realtà private dovrebbero agire senza indugio perché gli exploit in grado di far leva sulle medesime vulnerabilità sono oggi utilizzati per aggredire società di vario profilo.
Da CISA si fa infine sapere che il database delle vulnerabilità più utilizzate dagli aggressori informatici verrà mantenuto costantemente aggiornato.