Looney Tunables è sottovalutato? Ecco allora NSA e CISA obbligare le agenzie federali ad applicare le patch

0

Dopo che che è stata dimostrata ovunque, nel nostro caso toccando con mano, la pericolosità della vulnerabilità Looney Tunables scoperta da Qualys verrebbe da pensare come ogni sysadmin SRE che si rispetti abbia già da tempo predisposto cicli di patch per i sistemi del proprio datacenter. Tutti i sistemi del proprio datacenter.

Ma la realtà, lo sappiamo, è ben diversa.

Lo dimostra in prima istanza il report pubblicato congiuntamente dalla NSA (National Security Agency) e dalla CISA (Cybersecurity and Infrastructure Security Agency) nel quale emergono tutte le esigenze di messa in sicurezza della catena di fornitura dei software. Nel report vengono illustrate le pratiche suggerite unitariamente alle tecniche di assessment per incrementare il più possibile la sicurezza nella pubblicazione dei propri software.

Vale la pena sottolineare come le due agenzie svolgano ruoli distinti ma complementari nel contesto della sicurezza nazionale degli Stati Uniti, in particolare per quanto riguarda la sicurezza informatica e la difesa delle infrastrutture critiche.

Se della NSA abbiamo parlato parecchio qui sul portale (l’ultima volta per raccontare come nel Kernel Linux 6.6 SELinux non avrà più il suo marchio) in merito alla CISA è sufficiente descrivere come sia un’agenzia federale creata per proteggere e rinforzare la sicurezza delle infrastrutture critiche degli Stati Uniti.

La CISA si occupa di mitigare le minacce cibernetiche, gestire le emergenze legate alla sicurezza informatica e collaborare con enti governativi, organizzazioni private e pubblico in generale per migliorare la sicurezza informatica e l’infrastruttura critica del paese.

In sostanza, se la NSA si occupa principalmente di intelligence e raccolta di informazioni, la CISA è focalizzata sulla sicurezza cibernetica e sulla difesa delle infrastrutture critiche negli Stati Uniti.

Nell’adempiere alle proprie funzioni la CISA si è vista costretta ad imporre l’applicazione della patch per Looney Tunables a tutte le agenzie federali, alla luce in particolare di tutti i Proof of concept pubblicati sulla vulnerabilità, i quali ormai sono letteralmente alla portata di tutti.

Quindi se NSA e CISA hanno alzato il livello di guardia forse vale la pena, nel caso non lo aveste già fatto, di dare un’occhiata alla CVE-2023-4911.

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.