CISA KEV aprile 2026: 12 vulnerabilità in una settimana, allarme ransomware

CISA aggiunge 12 vulnerabilità sfruttate al catalogo KEV tra il 20 e il 24 aprile 2026. SimpleHelp, D-Link e Samsung tra i prodotti colpiti. Ecco i dettagli.

Contenuto

CISA KEV aprile 2026: 12 vulnerabilità in una settimana, allarme ransomware

Scopri anche

CISA KEV aprile 2026: 12 vulnerabilità in una settimana, allarme ransomware

L'agenzia statunitense per la cybersecurity (CISA) ha pubblicato due aggiornamenti distinti al catalogo Known Exploited Vulnerabilities (KEV) nell'arco di pochi giorni, tra il 20 e il 24 aprile 2026. L'accelerazione delle pubblicazioni riflette un'intensificazione delle minacce attivamente sfruttate in campo, con 12 vulnerabilità aggiunte in totale e scadenze ravvicinate per gli enti federali.

Il doppio aggiornamento del catalogo KEV

Lunedì 20 aprile 2026 CISA ha inserito 8 nuove vulnerabilità nel catalogo KEV, seguito da un secondo aggiornamento venerdì 24 aprile con ulteriori 4 CVE. La frequenza insolita di due pubblicazioni nella stessa settimana segnala un'escalation delle minacce che richiede attenzione immediata da parte di amministratori di sistema e responsabili della sicurezza.

Tra le vulnerabilità aggiunte il 24 aprile figurano CVE-2024-57726 (CVSS 9.9) e CVE-2024-57728 (CVSS 7.2) nel software SimpleHelp, CVE-2024-7399 (CVSS 8.8) in Samsung MagicINFO 9 Server e CVE-2025-29635 (CVSS 7.5) nei router D-Link DIR-823X. L'aggiornamento del 20 aprile includeva invece CVE-2025-32975 (CVSS 10.0) in Quest KACE SMA e CVE-2023-27351 (CVSS 8.2) in PaperCut NG/MF, tra le altre.

SimpleHelp: vulnerabilità con impatto ransomware

Le due falle rilevate in SimpleHelp presentano profili di rischio distinti. CVE-2024-57726, classificata con punteggio CVSS 9.9, è una vulnerabilità di missing authorization che consente a tecnici con privilegi ridotti di generare API key con permessi eccessivi. CVE-2024-57728, con CVSS 7.2, rappresenta una vulnerabilità di path traversal sfruttabile tramite attacchi di tipo zip slip per raggiungere l'esecuzione di codice arbitrario sui sistemi bersaglio.

Secondo i report di Field Effect e Sophos, le vulnerabilità SimpleHelp sono state utilizzate come punto di partenza per attacchi ransomware attribuiti al gruppo DragonForce. La catena di sfruttamento evidenzia come prodotti per il supporto remoto rappresentino ancora vettori privilegiati per gli attaccanti.

Mirai varianti e dispositivi end-of-life

CVE-2024-7399 in Samsung MagicINFO 9 Server è stata collegata a distribuzioni del botnet Mirai. La vulnerabilità, con CVSS 8.8, espone i server a compromissioni che possono alimentare campagne di tipo DDoS e propagazione malware su larga scala.

Parallelamente, CVE-2025-29635 colpisce i router D-Link DIR-823X tramite una vulnerabilità di command injection. Akamai ha registrato tentativi di sfruttamento attivo nella settimana precedente al 25 aprile 2026, con consegna di una variante Mirai denominata 'tuxnokill'. Il router D-Link DIR-823X è un dispositivo end-of-life, ovvero non più supportato dal produttore con aggiornamenti di sicurezza.

Scadenze federali ravvicinate

Per le agenzie federali FCEB (Federal Civilian Executive Branch), CISA ha fissato al 8 maggio 2026 la scadenza per applicare le patch o dismettere i dispositivi D-Link DIR-823X interessati da CVE-2025-29635. L'ultimatum sottolinea la gravità attribuita alle minacce in corso e la necessità di interventi tempestivi su dispositivi non più mantenuti dal vendor.

Threat actor multipli e geolocalizzazione degli attacchi

L'attribuzione delle campagne evidenzia una diversificazione dei gruppi attivi. UAC-0233 ha sfruttato le vulnerabilità ZCS (CVE-2025-48700 e CVE-2025-66376) contro entità ucraine dal settembre 2025. Secondo CERT-UA, "Upon successful compromise, the attackers gained access to mailbox contents, including correspondence compiled into a TGZ archive, multi-factor authentication backup codes, application passwords, and the global address book".

CVE-2023-27351 in PaperCut NG/MF è stata invece attribuita al gruppo Lace Tempest per attacchi condotti nell'aprile 2023 con ransomware Cl0p e LockBit. CVE-2025-32975 in Quest KACE SMA, con il punteggio massimo CVSS 10.0, è stata weaponizzata da threat actor non identificati su sistemi non patchati fino a fine marzo 2026.

Domande frequenti

Cos'è il catalogo KEV della CISA?
Il Known Exploited Vulnerabilities catalog è un elenco ufficiale delle vulnerabilità attivamente sfruttate sul campo, che impone agli enti federali americani obblighi di mitigazione entro scadenze definite.
Quali prodotti sono interessati dagli aggiornamenti KEV di aprile 2026?
I prodotti coinvolti includono SimpleHelp, Samsung MagicINFO 9 Server, router D-Link DIR-823X, Quest KACE SMA, PaperCut NG/MF e Cisco Catalyst SD-WAN Manager, tra gli altri.
Cosa significa quando un dispositivo è end-of-life?
Un dispositivo end-of-life non riceve più aggiornamenti di sicurezza dal produttore. In questi casi l'unica mitigazione efficace è la dismissione o l'isolamento dalla rete.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Sul tema

Fonti

Link utili

Apri l'articolo su DeafNews