CISA KEV: Windows e ScreenConnect nella lista delle vulnerabilità sfruttate

CISA aggiunge CVE-2024-1708 e CVE-2026-32202 al catalogo KEV. APT28 russo e Storm-1175 cinese sfruttano le falle per spionaggio e ransomware: ecco cosa sapere.

Contenuto

CISA KEV: Windows e ScreenConnect nella lista delle vulnerabilità sfruttate
CISA KEV: Windows e ScreenConnect nella lista delle vulnerabilità sfruttate

Il catalogo Known Exploited Vulnerabilities (KEV) della CISA si arricchisce di due nuove entrate che raccontano storie molto diverse dello scenario cyber globale. Martedì 28 aprile 2026 l'agenzia statunitense ha inserito due vulnerabilità attivamente sfruttate: una riguarda ConnectWise ScreenConnect, l'altra Microsoft Windows Shell. Dietro gli identificativi tecnici si nasconde un confronto tra attori statali russi e gruppi criminali cinesi che operano con obiettivi e metodi differenti.

Le due vulnerabilità aggiunte al catalogo KEV

La prima vulnerabilità, CVE-2024-1708, colpisce ConnectWise ScreenConnect con un punteggio CVSS di 8.4. Si tratta di una falla di tipo path traversal che era stata corretta nel febbraio 2024. Nonostante la patch disponibile da oltre due anni, il bug continua a essere sfruttato attivamente: secondo Microsoft, gli attacchi che sfruttano CVE-2024-1708 sono stati collegati a un attore minaccioso con base in Cina, tracciato come Storm-1175, in attacchi che distribuiscono il ransomware Medusa.

La seconda vulnerabilità, CVE-2026-32202, interessa Microsoft Windows Shell con un punteggio CVSS di 4.3, corretta ad aprile 2026. La particolarità di questa falla risiede nella sua origine: deriva da una patch incompleta per CVE-2026-21510. Akamai ha spiegato che la vulnerabilità scaturisce proprio da questo intervento parziale di Microsoft.

Il filone russo: APT28 e le patch incomplete

Secondo Akamai, lo sfruttamento delle vulnerabilità CVE-2026-21510 e CVE-2026-21513 è attribuibile al gruppo russo APT28 (noto anche come Fancy Bear o Sofacy) dall'inizio di dicembre 2025. Gli obiettivi principali di questa campagna si trovano in Ucraina e nell'Unione Europea. Il legame tra queste CVE e la nuova CVE-2026-32202 è diretto: quest'ultima nasce proprio dal tentativo incompleto di correggere il bug originale.

Microsoft non ha rivelato la natura degli attacchi che sfruttano la vulnerabilità Windows Shell, ma il contesto suggerisce finalità di spionaggio e guerra cibernetica coerenti con il modus operandi di APT28. Si tratta di un pattern ricorrente nel panorama delle minacce: gli attori statali puntano spesso su falle già note o su correzioni parziali per mantenere accesso a sistemi strategici.

Il filone cinese: Storm-1175 e il ransomware Medusa

Dall'altra parte dello spettro delle minacce si colloca Storm-1175, gruppo con base in Cina che ha sfruttato CVE-2024-1708 per distribuire il ransomware Medusa all'inizio di aprile 2026. La campagna è stata documentata da Microsoft che ha tracciato le operazioni di questo attore minaccioso.

La differenza di approccio è netta: mentre APT28 persegue obiettivi geopolitici e di intelligence, Storm-1175 opera con finalità criminali e lucrative. ScreenConnect, software di accesso remoto ampiamente diffuso nelle infrastrutture aziendali, rappresenta un target ideale per la diffusione di ransomware grazie alla sua capacità di accesso privilegiato ai sistemi.

La vulnerabilità CVE-2024-1708 è concatenata a CVE-2024-1709, che raggiunge un punteggio CVSS massimo di 10.0. La combinazione delle due falle aumenta significativamente il rischio per le organizzazioni che non hanno applicato le patch rilasciate oltre due anni fa.

Scadenze e obblighi per le agenzie federali

Con l'inserimento nel catalogo KEV, le agenzie federali FCEB (Federal Civilian Executive Branch) hanno un termine preciso per intervenire. La correzione delle vulnerabilità è obbligatoria entro il 12 maggio 2026. La direttiva si applica a tutti gli enti della branca esecutiva civile federale statunitense.

Per le organizzazioni private, l'inserimento nel KEV rappresenta un segnale di allarme: la presenza di prove concrete di sfruttamento attivo eleva la priorità di questi bug rispetto alle migliaia di vulnerabilità teoriche che emergono ogni mese. Il catalogo KEV funge da bussola operativa per i team di sicurezza, indicando dove concentrare le risorse di mitigazione.

Il doppio volto delle minacce moderne

L'aggiunta congiunta di queste due vulnerabilità al catalogo KEV offre uno spaccato rappresentativo del panorama cyber attuale. Da un lato, attori statali russi sfruttano falle derivate da interventi di correzione incompleti per perseguire obiettivi di spionaggio in un contesto di conflitto geopolitico attivo. Dall'altro, gruppi criminali cinesi struttano vulnerabilità note da tempo per distribuire ransomware e generare profitti illeciti.

La convergenza di questi due filoni nello stesso aggiornamento del KEV sottolinea come le organizzazioni debbano prepararsi a fronteggiare minacce con motivazioni e tecniche diverse, ma ugualmente dannose. La protezione richiede sia tempestività nell'applicazione delle patch, sia capacità di rilevamento di attacchi che possono sfruttare falle apparentemente risolte.

Domande frequenti

Cos'è il catalogo KEV della CISA?
Il Known Exploited Vulnerabilities Catalog è un elenco mantenuto dalla CISA che raccoglie le vulnerabilità software per cui esistono prove concrete di sfruttamento attivo. L'inserimento nel catalogo attiva obblighi di correzione per le agenzie federali statunitensi.
Qual è la differenza tra APT28 e Storm-1175?
APT28 è un gruppo di attori statali russi associato a operazioni di spionaggio e guerra cibernetica, mentre Storm-1175 è un gruppo con base in Cina che opera con finalità criminali, principalmente distribuzione di ransomware.
Perché CVE-2024-1708 è ancora pericolosa nel 2026?
Nonostante la patch disponibile dal febbraio 2024, molte organizzazioni non hanno applicato la correzione, permettendo a Storm-1175 di continuare a sfruttare la vulnerabilità per distribuire ransomware Medusa ad aprile 2026.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Fonti

Link utili

Apri l'articolo su DeafNews