L’agenzia statunitense CISA (Cybersecurity and Infrastructure Security Agency) ha aggiunto due vulnerabilità al catalogo dei bug noti sfruttati attivamente per distribuire malware. La prima riguarda è un difetto recentemente corretto in Google Chrome, identificato come CVE-2023-7024. La seconda è invece un bug che colpisce una libreria Perl open source per la lettura delle informazioni in un file Excel. Questo è chiamato Spreadsheet::ParseExcel (identificato come CVE-2023-7101). Quest’ultima è una vulnerabilità legata all'esecuzione di codice in modalità remota che colpisce le versioni 0.65 e precedenti della libreria Spreadsheet::ParseExcel. Come riportato nella descrizione del bug sul sito ufficiale della CISA: “Lo Spreadsheet::ParseExcel contiene una vulnerabilità legata all'esecuzione di codice in modalità remota dovuta al passaggio di input non convalidati da un file a un tipo di stringa ‘eval’. Nello specifico, il problema deriva dalla valutazione delle stringhe di formato numerico all'interno della logica di analisi di Excel”.
CISA: gruppo hacker cinese UNC4841 probabile autore delle minacce
Spreadsheet::ParseExcel è una libreria di uso generale che consente operazioni di importazione/esportazione di dati su file Excel, esecuzione di analisi e script di automazione. Il prodotto fornisce inoltre un livello di compatibilità per l'elaborazione di file Excel su app web basate su Perl. Un prodotto che utilizza la libreria open source è Barracuda ESG (Email Security Gateway), che è stato preso di mira alla fine di dicembre da hacker cinesi che hanno sfruttato CVE-2023-7101 in Spreadsheet::ParseExcel per compromettere le apparecchiature. In collaborazione con la società di sicurezza informatica Mandiant, Barracuda pensa che l'autore della minaccia dietro gli attacchi sia UNC4841. Quest'ultimo ha sfruttato la falla per distribuire i malware "SeaSpy" e "Saltwater". Barracuda ha applicato mitigazioni per ESG il 20 dicembre e un aggiornamento della sicurezza che risolveva CVE-2023-7101 è stato poi reso disponibile il 29 dicembre 2023 con Spreadsheet::ParseExcel versione 0.66.
L’altra vulnerabilità attivamente sfruttata è un problema di overflow del buffer di heap in WebRTC nel browser web Google Chrome. Come si legge nel report di CISA: “Google Chromium WebRTC, un progetto open source che fornisce ai browser Web comunicazioni in tempo reale, contiene una vulnerabilità di heap buffer overflow che consente a un utente malintenzionato di causare arresti anomali o esecuzione di codice. Questa vulnerabilità potrebbe avere un impatto sui browser Web che utilizzano WebRTC, incluso ma non limitato a Google Chrome”. La falla è stata scoperta dal Threat Analysis Group (TAG) di Google. Questa è stata corretta tramite un aggiornamento di emergenza il 20 dicembre, nelle versioni 120.0.6099.129/130 per Windows e 120.0.6099.129 per Mac e Linux. CISA ha concesso alle agenzie federali statunitensi tempo fino al 23 gennaio per risolvere i due problemi o per interrompere l'utilizzo dei prodotti vulnerabili.