Il nostro Threat Report di luglio 2025 offre una panoramica approfondita delle principali minacce informatiche emerse lo scorso mese. Gli attacchi contro Microsoft SharePoint, noti come “ToolShell” hanno fatto notizia: per ulteriori dettagli e approfondimenti, consulta il nostro rapporto su ToolShell. Nel solo mese di luglio, sono stati pubblicati più di 4.000 nuove CVE, di cui quasi 500 classificate come “critiche”, con un CVSS superiore a 9.0. Gestire un volume di rischi così elevato rappresenta una vera e propria guerra di logoramento per chi si occupa di difesa informatica. Per rispondere a queste nuove sfide, Greenbone ha rilasciato quasi 5.000 nuovi test di rilevamento: strumenti fondamentali che aiutano le aziende a individuare facilmente le vulnerabilità note nei loro ambienti, verificare i livelli di patch e impedire agli attaccanti di passare all’azione.

Cisco ISE: falle critiche consentono RCE non autenticato con privilegi root

Cisco ha confermato che le versioni 3.3 e 3.4 di Cisco Identity Services Engine (ISE) e Cisco ISE-PIC (Passive Identity Connector) sono già oggetto di sfruttamento attivo. Le CVE di gravità più elevata sono: CVE-2025-20281, CVE-2025-20337 e CVE-2025-20282; tutti con un punteggio CVSS 10. Le vulnerabilità CVE-2025-20281 e CVE-2025-20337 sono state inserite nel catalogo KEV di CISA (Known Exploited Vulnerabilities). Ognuna di queste  falle può essere sfruttato per compromettere i dispositivi tramite richieste API opportunamente costruite, ottenendo privilegi di root sul sistema. Sono stati pubblicati avvisi da diverse agenzie nazionali, tra cui EU-CERT, CSA Singapore, NHS UK e NCSC Ireland. Cisco raccomanda di applicare immediatamente le patch risolutive; non sono disponibili soluzioni alternative. I test di rilevamento per queste versioni sono integrati nell’OPENVAS ENTERPRISE FEED [1][2][3].

A inizio luglio, una vulnerabilità critica ha colpito anche Cisco Unified Communications Manager.  CVE-2025-20309 con un CVSS pari a 10, permette l’accesso remoto all’account root sfruttando credenziali SSH statiche. A segnalarlo è stato il CERT.be belga, NSSC Ireland e il problema è stato approfondito anche nella Week in Review di AUSCERT.

I server CrushFTP e WingFTP sotto attacco attivo

Sono state pubblicate vulnerabilità ad alta gravità che coinvolgono sia CrushFTP che  WingFTP , prontamente inserite nel catalogo CISA KEV, con avvisi di sicurezza diffusi da diversi CERT a livello globale [1][2][3]. I server FTP sono spesso esposti su Internet, ma anche quelli di rete locale possono offrire agli hacker un’opportunità di persistenza e movimento laterale [4]. Va inoltre sottolineato che questi server archiviano frequentemente dati sensibili, aumentando notevolmente il rischio di furto, ricatto o perdita di informazioni critiche.

• CVE-2025-54309 (CVSS 9.8, EPSS ≥ 91%): se la funzione proxy DMZ non è in uso, CrushFTP è vulnerabile a un accesso non autorizzato tramite un canale alternativo non protetto [CWE-420] a causa di una gestione errata della convalida AS2. Questo permette l’accesso remoto al ruolo di amministratore HTTPS. L’OPENVAS ENTERPRISE FEED include un test di rilevamento banner remoto per identificare le istanze vulnerabili. Gli utenti devono eseguire l’aggiornamento a CrushFTP 10.8.5_12 (o successivo) o 11.3.4_23 (o successivo).
• CVE-2025-47812 (CVSS 10, EPSS ≥ 99%): caratteri null-byte non sanificati nell’interfaccia web di WingFTP, presenti nelle versioni precedenti alla 7.4.4 consentono l’esecuzione remota di codice Lua arbitrario con i privilegi del servizio FTP (root o SYSTEM di default). Greenbone offre un controllo attivo e un test di rilevamento versione per identificare istanze vulnerabili. Si raccomanda vivamente di aggiornare alla versione 7.4.4 o successive.

Vulnerabilità critica in Node.js: patch bypassata, accesso arbitrario ai file

Il CVE-2025-27210 (CVSS 7.5) rappresenta un bypass della vulnerabilità CVE-2025-23084 (CVSS 5.6) corretta in precedenza sulle piattaforme Windows Node.js e pubblicata a gennaio 2025. Si stima che il 4.8% dei server web a livello globale utilizzi Node.js, che alimenta anche numerose applicazioni sia on-premise che cloud-native. Sono stati emessi avvisi di alto rischio da parte di diversi CERT nazionali[1][2]. È stato pubblicato almeno un proof-of-concept (PoC)[3]. Sia l’OPENVAS ENTERPRISE FEED che il COMMUNITY FEED includono un test per il rilevamento della versione vulnerabile.

La falla, classificata come vulnerabilità di tipo path traversal [CWE-22], è causato dal fatto che le funzioni integrate path.join() e path.normalize() di Node.js non filtrano correttamente i nomi dei dispositivi di Windows come CON, PRN e AUX, riservati a dispositivi di sistema speciali [4]. Questa falla può essere sfruttata da remoto per aggirare le protezioni sui percorsi qualora l’input utente venga passato a queste funzioni. Sono interessate dalla vulnerabilità le versioni di Node.js 20.x precedenti alla 20.19.4, 22.x precedenti alla 22.17.1 e 24.x precedenti alla 24.4.1.

CVE-2025-37099: compromissione remota completa in HPE Insight Remote Support

Le nuove vulnerabilità in HPE Insight Remote Support rappresentano un rischio estremo di compromissione completa del sistema all’interno dell’infrastruttura aziendale. IRS viene utilizzato nelle reti aziendali locali per automatizzare i controlli sullo stato dell’hardware, il monitoraggio dell’infrastruttura e la generazione automatica di ticket di supporto.

CVE-2025-37099 (CVSS 9.8)  permette l’esecuzione remota di codice non autenticato (RCE) con privilegi di SISTEMA, a causa di una convalida errata dell’input [CWE-20] nella funzione processAttachmentDataStream. Ciò consente l’esecuzione di payload dannosi come codice arbitrario [CWE‑94][1]. Ciò consente agli aggressori di eseguire malware su tutti i sistemi gestiti. Sebbene non sia esplicitamente documentato, l’accesso a livello di sistema potrebbe anche consentire agli aggressori di manipolare o eliminare i registri di monitoraggio per nascondere l’attività. Poiché il servizio interessato comunica spesso con dispositivi come server e controller iLO, compromettere il mio pivoting laterale all’interno di una rete [2].

Gli utenti devono aggiornare immediatamente alla versione 7.15.0.646 o successive. La divulgazione coordinata ha incluso anche due vulnerabilità aggiuntive: CVE-2025-37098 e CVE-2025-37097, entrambe con un punteggio CVSS 7.5. L’OPENVAS ENTERPRISE FEED include un test specifico di rilevamento della versione che permette di identificare rapidamente le istanze vulnerabili e verificare che il livello di patch sia adeguato ai requisiti di conformità.

Patch essenziali per i CVE Dell con punteggi EPSS elevati

Sono state rilasciate patch cumulative per un’ampia gamma di prodotti Dell Technologies, al fine di correggere diverse vulnerabilità dei componenti. Il Canadian Cyber CSE ha pubblicato tre avvisi nel mese di luglio per segnalare questi aggiornamenti[1][2][3]. Tra i CVE più rilevanti di questa ondata di aggiornamenti, diversi possono essere rilevati tramite l’OPENVAS ENTERPRISE FEED [1][2][3][4][5]:

• CVE-2024-53677 (CVSS 9.8, EPSS ≥ 99%): Dell Avamar Data Store e Avamar Virtual Edition hanno ricevuto aggiornamenti per coreggere una vulnerabilità in Apache Struts. Non sono disponibili mitigazioni o soluzioni alternative. Consultare l’advisory del fornitore per l’elenco completo dei prodotti coinvolti.
• CVE-2025-24813 (CVSS 9.8, EPSS ≥ 99%): le versioni di Dell Secure Connect Gateway precedenti alla 5.30.0.14 sono esposti a una vulnerabilità critica di Apache Tomcat e altri CVE critici. Dell ha segnalato questo aggiornamento come essenziale.
• CVE-2004-0597 (CVSS 10, EPSS ≥ 99%): Dell Networker è interessato da vulnerabilità critiche di overflow del buffer nella libreria libpng, che permettono a un aggressore remoto di eseguire codice arbitrario tramite immagini PNG malformate, oltre ad altre vulnerabilità. Per ulteriori dettagli si rimanda agli avvisi del fornitore [1][2][3][4].
• CVE-2016-2842 (CVSS 9.8, EPSS ≥ 98%): Dell Data Protection Advisor presenta vulnerabilità in diversi componenti, tra cui CVE-2016-2842 in OpenSSL, che non verifica correttamente l’allocazione della memoria, consentendo potenziali attacchi DoS o RCE. Per maggiori dettagli, consultare l’advisory del fornitore.
• CVE-2025-30477 (CVSS 4.4): Dell PowerScale utilizza un algoritmo crittografico rischioso, che potrebbe portare alla divulgazione di informazioni. Nel giugno 2025, PowerScale ha corretto i difetti di gravità elevata. Consultare le avvertenze del fornitore per ulteriori informazioni [1][2].

Rassegna delle vulnerabilità D-Link per il 2025

L’OPENVAS ENTERPRISE FEED e il COMMUNITY FEED includono attualmente 27 test di vulnerabilità che coprono la maggior parte dei CVE che interessano i prodotti D-Link pubblicati finora nel 2025. Data l’importanza della sicurezza periferica della rete, gli utenti dovrebbero prestare particolare attenzione alle vulnerabilità nei router e in altri dispositivi gateway. Dopo l’accordo di un’azione normativa statunitense che coinvolge D‑Link e la Federal Trade Commission, nel 2019 D‑Link ha accettato di attuare un programma di sicurezza completo. Tuttavia, è lecito chiedersi se misure simili dovrebbero essere applicate più ampiamente. Ad esempio, i prodotti Ivanti hanno registrato negli ultimi anni numerosi difetti di alta gravità [1][2][3][4][5], molti dei quali sono stati sfruttati in attacchi ransomware.

Adobe rilascia patch per difetti critici in ColdFusion

Gli aggiornamenti di sicurezza per ColdFusion 2025, 2023 e 2021 risolvono 13 nuove vulnerabilità (CVE), tra cui figurano (XXE) (CVE-2025-49535, CVSS 9.3), credenziali hard-coded (CVE-2025-49551, CVSS 8.8) e vulnerabilità di command injection del sistema operativo, XML injection e Server-Side Request Forgery (SSRF). Nel 2023, la vulnerabilità CVE‑2023‑26360 (CVSS 9.8) è stata sfruttata da gruppi di minaccia per ottenere accesso iniziale alle agenzie civili federali degli Stati Uniti.

L’OPENVAS ENTERPRISE FEED include un controllo remoto di versione che consente di identificare le istanze di ColdFusion prive di patch. Si raccomanda di applicare immediatamente le patch disponibili: Update 3 (ColdFusion 2025), Update 15 (versione 2023) e Update 21 (versione 2021).

Splunk Enterprise aggiorna componenti con vulnerabilità di gravità elevata

Aggiornamenti cumulativi per Splunk Enterprise includono patch per diversi componenti di terze parti come golang, postgres, aws-sdk-java, idna e altri. Alcuni di questi difetti sono classificati come critici, tra cui CVE-2024-45337 (con un punteggio CVSS 9.1) e un percentile EPSS ≥ 97%, indicativo di un’alta probabilità di exploit attivo. Sia il CERT-FR che il Canadian Cyber CSE hanno pubblicato avvisi relativi agli aggiornamenti di luglio di Splunk. Gli utenti possono verificare lo stato delle patch tramite un controllo di versione disponibile in OPENVAS ENTERPRISE FEED, che include anche test di vulnerabilità per precedenti avvisi e CVE legati a Splunk.

Oracle rilascia patch per vulnerabilità ad alta gravità in VirtualBox

Diversi CVE pubblicati a metà luglio 2025 riguardano Oracle VM VirtualBox 7.1.10 e permettono a un utente locale con privilegi elevati, che abbia accesso all’infrastruttura host o all’ambiente di esecuzione della VM guest, di compromettere VirtualBox. Queste vulnerabilità possono consentire un aumento dei privilegi o il pieno controllo del componente principale dell’hypervisor. Il CVE‑2025‑53024 (CVSS 8.2) è un bug di overflow di numeri interi nel dispositivo virtuale VMSVGA causato da una convalida insufficiente dei dati forniti dall’utente. Questa falla può portare al danneggiamento della memoria e alla compromissione completa dell’hypervisor[1]. L’OPENVAS ENTERPRISE FEED e il COMMUNITY FEED includono test di rilevamento delle versioni Windows, Linux e macOS.

SonicWall SMA100: RCE post-autenticazione

Il CVE-2025-40599 (CVSS 9.1) nelle appliance SonicWall serie SMA 100 consente a un utente remoto autenticato con privilegi amministrativi di eseguire codice arbitrario e ottenere accesso persistente tramite caricamento di file arbitrario. Il rischio associato a questa vulnerabilità aumenta in presenza di credenziali deboli o rubate. Il difetto interessa i modelli SMA 210, 410, 500v con versioni 10.2.1.15-81sv e precedenti. Secondo l’advisory del fornitore, non esistono soluzioni alternative efficaci. L’OPENVAS ENTERPRISE FEED include un controllo remoto di versione per identificare i dispositivi colpiti.

Nuovi CVE MySQL consentono attacchi DoS autenticati

Tra le numerose vulnerabilità che permettono l’esecuzione remota di codice non autorizzata (RCE) è facile trascurare quelle che causano semplicemente Denial of Service (DoS). A luglio, Oracle ha rilasciato una serie di patch per vulnerabilità DoS che interessano MySQL 8 e MySQL 9 [1]. Sebbene queste falle richiedano accesso privilegiato per essere sfruttate, i Managed Service Provider (MSP) offrono hosting MySQL condiviso a piccole e medie imprese (PMI), enti governativi o organizzazioni non profit, che preferiscono evitare il sovraccarico della gestione diretta della propria infrastruttura di database. In questo contesto, i tenant accedono a database separati all’interno della medesima istanza del server MySQL. Un’istanza non aggiornata potrebbe permettere a un utente malintenzionato di compromettere altre organizzazioni presenti sulla stessa piattaforma. Questi difetti evidenziano anche l’importanza di utilizzare password complesse e di adottare misure per mitigare il rischio di attacchi di brute-force e di password spraying.

I test di rilevamento remoto delle versioni sono disponibili per tutti i CVE indicati di seguito. Questi test sono inclusi sia nell’OPENVAS ENTERPRISE FEED e COMMUNITY FEED e coprono le installazioni di MySQL su Linux e su Windows.

ID CVE	Versione interessate	Impatto	Vettore d’accesso	Status della patch
CVE-2025-50078 (CVSS 6.5)	8.0.0–8.0.42, 8.4.0–8.4.5, 9.0.0–9.3.0	DoS (hang/crash)	Remote authenticated access	Patch disponibile (luglio 2025)
CVE-2025-50082 (CVSS 6.5)	8.0.0–8.0.42, 8.4.0–8.4.5, 9.0.0–9.3.0	DoS (crash)	Remote authenticated access	Patch disponibile (luglio 2025)
CVE-2025-50083 (CVSS 6.5)	8.0.0–8.0.42, 8.4.0–8.4.5, 9.0.0–9.3.0	DoS (crash)	Remote authenticated access	Patch disponibile (luglio 2025)