Joseph Lee

Threat Report luglio 2025: sfruttamento attivo colpisce Cisco, CrushFTP, HPE IRS e altri

Il nostro Threat Report di luglio 2025 offre una panoramica approfondita delle principali minacce informatiche emerse lo scorso mese. Gli attacchi contro Microsoft SharePoint, noti come “ToolShell” hanno fatto notizia: per ulteriori dettagli e approfondimenti, consulta il nostro rapporto su ToolShell. Nel solo mese di luglio, sono stati pubblicati più di 4.000 nuove CVE, di cui quasi 500 classificate come “critiche”, con un CVSS superiore a 9.0. Gestire un volume di rischi così elevato rappresenta una vera e propria guerra di logoramento per chi si occupa di difesa informatica. Per rispondere a queste nuove sfide, Greenbone ha rilasciato quasi 5.000 nuovi test di rilevamento: strumenti fondamentali che aiutano le aziende a individuare facilmente le vulnerabilità note nei loro ambienti, verificare i livelli di patch e impedire agli attaccanti di passare all’azione.

Blog Banner Threat - report July 2025

Cisco ISE: falle critiche consentono RCE non autenticato con privilegi root

Cisco ha confermato che le versioni 3.3 e 3.4 di Cisco Identity Services Engine (ISE) e Cisco ISE-PIC (Passive Identity Connector) sono già oggetto di sfruttamento attivo. Le CVE di gravità più elevata sono: CVE-2025-20281, CVE-2025-20337 e CVE-2025-20282; tutti con un punteggio CVSS 10. Le vulnerabilità CVE-2025-20281 e CVE-2025-20337 sono state inserite nel catalogo KEV di CISA (Known Exploited Vulnerabilities). Ognuna di queste  falle può essere sfruttato per compromettere i dispositivi tramite richieste API opportunamente costruite, ottenendo privilegi di root sul sistema. Sono stati pubblicati avvisi da diverse agenzie nazionali, tra cui EU-CERT, CSA Singapore, NHS UK e NCSC Ireland. Cisco raccomanda di applicare immediatamente le patch risolutive; non sono disponibili soluzioni alternative. I test di rilevamento per queste versioni sono integrati nell’OPENVAS ENTERPRISE FEED [1][2][3].

A inizio luglio, una vulnerabilità critica ha colpito anche Cisco Unified Communications Manager.  CVE-2025-20309 con un CVSS pari a 10, permette l’accesso remoto all’account root sfruttando credenziali SSH statiche. A segnalarlo è stato il CERT.be belga, NSSC Ireland e il problema è stato approfondito anche nella Week in Review di AUSCERT.

I server CrushFTP e WingFTP sotto attacco attivo

Sono state pubblicate vulnerabilità ad alta gravità che coinvolgono sia CrushFTP che  WingFTP , prontamente inserite nel catalogo CISA KEV, con avvisi di sicurezza diffusi da diversi CERT a livello globale [1][2][3]. I server FTP sono spesso esposti su Internet, ma anche quelli di rete locale possono offrire agli hacker un’opportunità di persistenza e movimento laterale [4]. Va inoltre sottolineato che questi server archiviano frequentemente dati sensibili, aumentando notevolmente il rischio di furto, ricatto o perdita di informazioni critiche.

  • CVE-2025-54309 (CVSS 9.8, EPSS ≥ 91%): se la funzione proxy DMZ non è in uso, CrushFTP è vulnerabile a un accesso non autorizzato tramite un canale alternativo non protetto [CWE-420] a causa di una gestione errata della convalida AS2. Questo permette l’accesso remoto al ruolo di amministratore HTTPS. L’OPENVAS ENTERPRISE FEED include un test di rilevamento banner remoto per identificare le istanze vulnerabili. Gli utenti devono eseguire l’aggiornamento a CrushFTP 10.8.5_12 (o successivo) o 11.3.4_23 (o successivo).
  • CVE-2025-47812 (CVSS 10, EPSS ≥ 99%): caratteri null-byte non sanificati nell’interfaccia web di WingFTP, presenti nelle versioni precedenti alla 7.4.4 consentono l’esecuzione remota di codice Lua arbitrario con i privilegi del servizio FTP (root o SYSTEM di default). Greenbone offre un controllo attivo e un test di rilevamento versione per identificare istanze vulnerabili. Si raccomanda vivamente di aggiornare alla versione 7.4.4 o successive.

Vulnerabilità critica in Node.js: patch bypassata, accesso arbitrario ai file

Il CVE-2025-27210 (CVSS 7.5) rappresenta un bypass della vulnerabilità CVE-2025-23084 (CVSS 5.6) corretta in precedenza sulle piattaforme Windows Node.js e pubblicata a gennaio 2025. Si stima che il 4.8% dei server web a livello globale utilizzi Node.js, che alimenta anche numerose applicazioni sia on-premise che cloud-native. Sono stati emessi avvisi di alto rischio da parte di diversi CERT nazionali[1][2]. È stato pubblicato almeno un proof-of-concept (PoC)[3]. Sia l’OPENVAS ENTERPRISE FEED che il COMMUNITY FEED includono un test per il rilevamento della versione vulnerabile.

La falla, classificata come vulnerabilità di tipo path traversal [CWE-22], è causato dal fatto che le funzioni integrate path.join() e path.normalize() di Node.js non filtrano correttamente i nomi dei dispositivi di Windows come CON, PRN e AUX, riservati a dispositivi di sistema speciali [4]. Questa falla può essere sfruttata da remoto per aggirare le protezioni sui percorsi qualora l’input utente venga passato a queste funzioni. Sono interessate dalla vulnerabilità le versioni di Node.js 20.x precedenti alla 20.19.4, 22.x precedenti alla 22.17.1 e 24.x precedenti alla 24.4.1.

CVE-2025-37099: compromissione remota completa in HPE Insight Remote Support

Le nuove vulnerabilità in HPE Insight Remote Support rappresentano un rischio estremo di compromissione completa del sistema all’interno dell’infrastruttura aziendale. IRS viene utilizzato nelle reti aziendali locali per automatizzare i controlli sullo stato dell’hardware, il monitoraggio dell’infrastruttura e la generazione automatica di ticket di supporto.

CVE-2025-37099 (CVSS 9.8)  permette l’esecuzione remota di codice non autenticato (RCE) con privilegi di SISTEMA, a causa di una convalida errata dell’input [CWE-20] nella funzione processAttachmentDataStream. Ciò consente l’esecuzione di payload dannosi come codice arbitrario [CWE‑94][1]. Ciò consente agli aggressori di eseguire malware su tutti i sistemi gestiti. Sebbene non sia esplicitamente documentato, l’accesso a livello di sistema potrebbe anche consentire agli aggressori di manipolare o eliminare i registri di monitoraggio per nascondere l’attività. Poiché il servizio interessato comunica spesso con dispositivi come server e controller iLO, compromettere il mio pivoting laterale all’interno di una rete [2].

Gli utenti devono aggiornare immediatamente alla versione 7.15.0.646 o successive. La divulgazione coordinata ha incluso anche due vulnerabilità aggiuntive: CVE-2025-37098 e CVE-2025-37097, entrambe con un punteggio CVSS 7.5. L’OPENVAS ENTERPRISE FEED include un test specifico di rilevamento della versione che permette di identificare rapidamente le istanze vulnerabili e verificare che il livello di patch sia adeguato ai requisiti di conformità.

Patch essenziali per i CVE Dell con punteggi EPSS elevati

Sono state rilasciate patch cumulative per un’ampia gamma di prodotti Dell Technologies, al fine di correggere diverse vulnerabilità dei componenti. Il Canadian Cyber CSE ha pubblicato tre avvisi nel mese di luglio per segnalare questi aggiornamenti[1][2][3]. Tra i CVE più rilevanti di questa ondata di aggiornamenti, diversi possono essere rilevati tramite l’OPENVAS ENTERPRISE FEED [1][2][3][4][5]:

  • CVE-2024-53677 (CVSS 9.8, EPSS 99%): Dell Avamar Data Store e Avamar Virtual Edition hanno ricevuto aggiornamenti per coreggere una vulnerabilità in Apache Struts. Non sono disponibili mitigazioni o soluzioni alternative. Consultare l’advisory del fornitore per l’elenco completo dei prodotti coinvolti.
  • CVE-2025-24813 (CVSS 9.8, EPSS 99%): le versioni di Dell Secure Connect Gateway precedenti alla 5.30.0.14 sono esposti a una vulnerabilità critica di Apache Tomcat e altri CVE critici. Dell ha segnalato questo aggiornamento come essenziale.
  • CVE-2004-0597 (CVSS 10, EPSS 99%): Dell Networker è interessato da vulnerabilità critiche di overflow del buffer nella libreria libpng, che permettono a un aggressore remoto di eseguire codice arbitrario tramite immagini PNG malformate, oltre ad altre vulnerabilità. Per ulteriori dettagli si rimanda agli avvisi del fornitore [1][2][3][4].
  • CVE-2016-2842 (CVSS 9.8, EPSS ≥ 98%): Dell Data Protection Advisor presenta vulnerabilità in diversi componenti, tra cui CVE-2016-2842 in OpenSSL, che non verifica correttamente l’allocazione della memoria, consentendo potenziali attacchi DoS o RCE. Per maggiori dettagli, consultare l’advisory del fornitore.
  • CVE-2025-30477 (CVSS 4.4): Dell PowerScale utilizza un algoritmo crittografico rischioso, che potrebbe portare alla divulgazione di informazioni. Nel giugno 2025, PowerScale ha corretto i difetti di gravità elevata. Consultare le avvertenze del fornitore per ulteriori informazioni [1][2].

Rassegna delle vulnerabilità D-Link per il 2025

L’OPENVAS ENTERPRISE FEED e il COMMUNITY FEED includono attualmente 27 test di vulnerabilità che coprono la maggior parte dei CVE che interessano i prodotti D-Link pubblicati finora nel 2025. Data l’importanza della sicurezza periferica della rete, gli utenti dovrebbero prestare particolare attenzione alle vulnerabilità nei router e in altri dispositivi gateway. Dopo l’accordo di un’azione normativa statunitense che coinvolge D‑Link e la Federal Trade Commission, nel 2019 D‑Link ha accettato di attuare un programma di sicurezza completo. Tuttavia, è lecito chiedersi se misure simili dovrebbero essere applicate più ampiamente. Ad esempio, i prodotti Ivanti hanno registrato negli ultimi anni numerosi difetti di alta gravità [1][2][3][4][5], molti dei quali sono stati sfruttati in attacchi ransomware.

Adobe rilascia patch per difetti critici in ColdFusion

Gli aggiornamenti di sicurezza per ColdFusion 2025, 2023 e 2021 risolvono 13 nuove vulnerabilità (CVE), tra cui figurano (XXE) (CVE-2025-49535, CVSS 9.3), credenziali hard-coded (CVE-2025-49551, CVSS 8.8) e vulnerabilità di command injection del sistema operativo, XML injection e Server-Side Request Forgery (SSRF). Nel 2023, la vulnerabilità CVE‑2023‑26360 (CVSS 9.8) è stata sfruttata da gruppi di minaccia per ottenere accesso iniziale alle agenzie civili federali degli Stati Uniti.

L’OPENVAS ENTERPRISE FEED include un controllo remoto di versione che consente di identificare le istanze di ColdFusion prive di patch. Si raccomanda di applicare immediatamente le patch disponibili: Update 3 (ColdFusion 2025), Update 15 (versione 2023) e Update 21 (versione 2021).

Splunk Enterprise aggiorna componenti con vulnerabilità di gravità elevata

Aggiornamenti cumulativi per Splunk Enterprise includono patch per diversi componenti di terze parti come golang, postgres, aws-sdk-java, idna e altri. Alcuni di questi difetti sono classificati come critici, tra cui CVE-2024-45337 (con un punteggio CVSS 9.1) e un percentile EPSS ≥ 97%, indicativo di un’alta probabilità di exploit attivo. Sia il CERT-FR che il Canadian Cyber CSE hanno pubblicato avvisi relativi agli aggiornamenti di luglio di Splunk. Gli utenti possono verificare lo stato delle patch tramite un controllo di versione disponibile in OPENVAS ENTERPRISE FEED, che include anche test di vulnerabilità per precedenti avvisi e CVE legati a Splunk.

Oracle rilascia patch per vulnerabilità ad alta gravità in VirtualBox

Diversi CVE pubblicati a metà luglio 2025 riguardano Oracle VM VirtualBox 7.1.10 e permettono a un utente locale con privilegi elevati, che abbia accesso all’infrastruttura host o all’ambiente di esecuzione della VM guest, di compromettere VirtualBox. Queste vulnerabilità possono consentire un aumento dei privilegi o il pieno controllo del componente principale dell’hypervisor. Il CVE‑2025‑53024 (CVSS 8.2) è un bug di overflow di numeri interi nel dispositivo virtuale VMSVGA causato da una convalida insufficiente dei dati forniti dall’utente. Questa falla può portare al danneggiamento della memoria e alla compromissione completa dell’hypervisor[1]. L’OPENVAS ENTERPRISE FEED e il COMMUNITY FEED includono test di rilevamento delle versioni Windows, Linux e macOS.

SonicWall SMA100: RCE post-autenticazione

Il CVE-2025-40599 (CVSS 9.1) nelle appliance SonicWall serie SMA 100 consente a un utente remoto autenticato con privilegi amministrativi di eseguire codice arbitrario e ottenere accesso persistente tramite caricamento di file arbitrario. Il rischio associato a questa vulnerabilità aumenta in presenza di credenziali deboli o rubate. Il difetto interessa i modelli SMA 210, 410, 500v con versioni 10.2.1.15-81sv e precedenti. Secondo l’advisory del fornitore, non esistono soluzioni alternative efficaci. L’OPENVAS ENTERPRISE FEED include un controllo remoto di versione per identificare i dispositivi colpiti.

Nuovi CVE MySQL consentono attacchi DoS autenticati

Tra le numerose vulnerabilità che permettono l’esecuzione remota di codice non autorizzata (RCE) è facile trascurare quelle che causano semplicemente Denial of Service (DoS). A luglio, Oracle ha rilasciato una serie di patch per vulnerabilità DoS che interessano MySQL 8 e MySQL 9 [1]. Sebbene queste falle richiedano accesso privilegiato per essere sfruttate, i Managed Service Provider (MSP) offrono hosting MySQL condiviso a piccole e medie imprese (PMI), enti governativi o organizzazioni non profit, che preferiscono evitare il sovraccarico della gestione diretta della propria infrastruttura di database. In questo contesto, i tenant accedono a database separati all’interno della medesima istanza del server MySQL. Un’istanza non aggiornata potrebbe permettere a un utente malintenzionato di compromettere altre organizzazioni presenti sulla stessa piattaforma. Questi difetti evidenziano anche l’importanza di utilizzare password complesse e di adottare misure per mitigare il rischio di attacchi di brute-force e di password spraying.

I test di rilevamento remoto delle versioni sono disponibili per tutti i CVE indicati di seguito. Questi test sono inclusi sia nell’OPENVAS ENTERPRISE FEED e COMMUNITY FEED e coprono le installazioni di MySQL su Linux e su Windows.

ID CVE Versione interessate Impatto Vettore d’accesso Status della patch

CVE-2025-50078

(CVSS 6.5)

 8.0.0–8.0.42, 8.4.0–8.4.5, 9.0.0–9.3.0 DoS (hang/crash) Remote authenticated access Patch disponibile (luglio 2025)

CVE-2025-50082

(CVSS 6.5)

 8.0.0–8.0.42, 8.4.0–8.4.5, 9.0.0–9.3.0 DoS (crash) Remote authenticated access Patch disponibile (luglio 2025)

CVE-2025-50083

(CVSS 6.5)

 8.0.0–8.0.42, 8.4.0–8.4.5, 9.0.0–9.3.0 DoS (crash) Remote authenticated access Patch disponibile (luglio 2025)

Contatto Prova Ora Acquista Torna alla Panoramica

/da
Joseph Lee

WinRAR sotto attacco: CVE-2025-8088 sfruttata per campagne di ingegneria sociale

La CVE-2025-8088 (CVSS 8.4) è una vulnerabilità critica di path traversal [CWE-35] che interessa la versione 7.12 e precedenti di WinRAR nonché relativi componenti come UnRAR.dll. Questa falla di sicurezza consente ad aggressori non autorizzati di copiare file dannosi in cartelle di sistema sensibili, ad esempio la cartella di avvio di Windows, dove i file possono essere eseguiti automaticamente. Secondo ESET Research, lo sfruttamento diretto della vulnerabilità WinRAR CVE-2025-8088 ha avuto inizio il 18 luglio 2025 e i primi attacchi sono stati attribuiti al gruppo APT russo RomCom. Da allora, diversi report di intelligence hanno segnalato che sul dark web un exploit funzionante della vulnerabilità è stato offerto in vendita a un prezzo di 80.000 $.

RARLAB ha reso disponibili sia le note di release che le versioni patchate di WinRAR e del relativo codice sorgente e raccomanda agli utenti di aggiornare immediatamente all’ultima versione. La CVE-2025-8088 riguarda solo le versioni Windows. Grazie all’ENTERPRISE FEED di Greenbone, OPENVAS SECURITY INTELLIGENCE può aiutare il tuo team di sicurezza nell’individuare le versioni vulnerabili di WinRAR all’interno della rete aziendale. Nel nostro threat report di maggio 2025 abbiamo segnalato che gruppi di attacco sponsorizzati dallo Stato russo stanno sfruttando un’altra vulnerabilità di WinRAR, la CVE-2023-38831 (CVSS 7.8) mediante campagne ransomware mirate. Oggi analizziamo l’offensiva più recente nei confronti di WinRAR.

Un riepilogo delle tattiche e tecniche di RomCom

RomCom (noto anche come Storm-0978, Tropical Scorpius e UNC2596) è un gruppo di minaccia legato alla Russia, conosciuto per aver sviluppato un proprio malware, il RomCom RAT al fine di condurre attacchi ransomware altamente sofisticati, motivati da obiettivi finanziari, oltre a campagne di spionaggio [1][2][3][4]. Le loro operazioni sfruttano molteplici vettori di attacco, tra cui spear phishing, installatori di software trojan e lo sfruttamento di vulnerabilità ad alto impatto, quali CVE-2023-36884 (CVSS 7.5) in Microsoft Word, CVE-2024-9680 (CVSS 9.8) in Firefox, CVE-2024-49039 (CVSS 8.8) in Windows Task Scheduler e molte altre. Secondo ESET, le recenti campagne di spear phishing di RomCom allegano alle e-mail archivi RAR compromessi e prendono di mira aziende dei settori finanziario, manifatturiero, della difesa e della logistica, in particolare in Europa e in Canada.

Comprendere la catena di attacco di CVE-2025-8088

Le campagne che sfruttano la CVE-2025-8088 adottano un procedimento di attacco a più fasi, utilizzando archivi RAR infetti per introdurre ed eseguire malware sui sistemi delle vittime. Di seguito, una panoramica delle fasi individuate da ESET Research:

  • Consegna via spear phishing: le vittime ricevono e-mail fraudolente contenenti archivi RAR appositamente creati [T1204.002], progettati per sfruttare la CVE-2025-8088 una volta estratti. A un primo sguardo, l’archivio sembra contenere solo uno o due file, ma in realtà include flussi di dati alternativi (Alternate Data Streams – ADS) con contenuti malevoli. Nel file system NTFS, gli ADS consentono di memorizzare dati aggiuntivi in un flusso separato collegato a un file, senza che questi compaiano nei normali elenchi di directory.
  • Exploit di path traversal: i payload nascosti negli ADS utilizzano sequenze di caratteri ..\ per il path traversal durante l’estrazione, così da installare file DLL o EXE malevoli in directory sensibili come %TEMP%, %LOCALAPPDATA% e la cartella di avvio di Windows.
  • Distribuzione del payload: dopo che il payload è stato estratto in directory sensibili, un file di collegamento .lnk viene copiato nella cartella di avvio di Windows per garantire la persistenza [T1547]. Sebbene di default WinRAR non disponga di privilegi elevati, la cartella di avvio di Windows è scrivibile dall’utente e consente l’esecuzione automatica del payload malevolo al successivo login.
  • Azioni sugli obiettivi: dopo lo sfruttamento iniziale, sono stati osservati diversi payload malevoli per il comando e controllo (C2), tra cui:
    • Uso di COM hijacking [T1546.015] per eseguire una DLL dannosa (Mythic Agent) indirizzata ai domini Active Directory (AD).
    • Uso di un eseguibile PuTTY CAC trojanizzato (SnipBot), che esegue controlli anti-sandbox [T1497] prima di scaricare payload aggiuntivi [T1105]. PuTTY CAC è una versione modificata del popolare client SSH/Telnet PuTTY, con supporto per autenticazione tramite smart card e certificati.
    • Uso di un downloader scritto in Rust (RustyClaw) utilizzato per distribuire il loader MeltingClaw, impiegato per importare ulteriori malware [T1105].

Mitigazione del rischio CVE-2025-8088

Gli utenti WinRAR di Windows devono aggiornare alla versione WinRAR 7.13 Final, rilasciata il 30 luglio 2025. L’aggiornamento corregge l’applicazione desktop WinRAR, il codice sorgente portatile UnRAR e i componenti UnRAR.dll. Le aziende dovrebbero anche aggiornare qualsiasi software che dipende da UnRAR.dll alla versione 7.13 Final. In ambienti complessi, è necessario eseguire scansioni approfondite delle vulnerabilità per garantire che tutte le istanze interessate siano aggiornate e verificare lo stato delle patch anche dopo la loro installazione.

Ulteriori misure di sicurezza:

  • Utilizzare software antivirus aggiornati per analizzare i file in arrivo e rilevare eventuali malware
  • Applicare autorizzazioni di directory restrittive per impedire l’estrazione di archivi in cartelle sensibili
  • Sensibilizzare gli utenti ed educare il personale a riconoscere e gestire gli attacchi di spear phishing.
  • Implementare sistemi di scansione per indicatori di compromissione (IoC) per individuare possibili violazioni
  • Configurare soluzioni EDR per ricevere notifiche in caso di modifiche sospette alla cartella di avvio di Windows

Conclusione

Il gruppo APT RomCom sfrutta attivamente la vulnerabilità di path traversal di WinRAR CVE-2025-8088 (CVSS 8.4). Gli attacchi vengono sferrato tramite e-mail di spear phishing contenenti archivi RAR dannosi, progettati per distribuire malware direttamente sul computer della vittima. La versione aggiornata, WinRAR 7.13 Final, presenta patch urgenti per tutti i componenti Windows interessati, tra cui l’applicazione desktop, il codice sorgente UnRAR portatile e UnRAR.dll. Si raccomanda agli utenti di installarla immediatamente. Grazie a OPENVAS SECURITY INTELLIGENCE, i team di sicurezza possono utilizzare i test di rilevamento inclusi nell’ENTERPRISE FEED per scansionare l’infrastruttura, individuare le installazioni di WinRAR vulnerabili e applicare le patch necessarie.

Contatto Prova Ora Acquista Torna alla Panoramica

/da
Greenbone AG

Greenbone per la conformità DORA: rilevamento delle vulnerabilità, sovranità dei dati e report affidabili

Gli ultimi anni hanno visto il settore finanziario globale attraversare una vera tempesta di incidenti informatici, minando la fiducia nei sistemi bancari nei servizi digitali. In questa guerra informatica, le grandi società non sono l’unico bersaglio: anche i cittadini sono esposti direttamente, perché la sicurezza dei dati personali e l’integrità delle transazioni finanziarie sono sempre più a rischio.

Fra le violazioni più significative che hanno colpito entità finanziarie nell’UE e nel mondo ricordiamo:

  • Equifax (2017): violazione attraverso una vulnerabilità priva di patch in Apache Struts, che ha portato al furto di numeri di previdenza sociale, date di nascita, indirizzi e patenti di guida di 147 milioni di persone.
  • UniCredit (2018): la seconda banca italiana ha divulgato involontariamente le informazioni di identificazione personale (PII) di 778.000 clienti. Nel 2024 il Garante per la privacy italiano ha emesso una sanzione di 2,8 milioni di euro a seguito della violazione.
  • Capital One (2019): è stato utilizzato per attaccare Capital One e rubare le informazioni di identificazione personale di 106 milioni di persone.
  • Finastra (2023): l’azienda fintech con sede nel Regno Unito, partner di banche globali, è stata bersaglio di un attacco attraverso il suo sistema di trasferimento sicuro dei file, con conseguente furto di oltre 400GB di dati finanziari sensibili dai principali clienti bancari.
  • UBS and Pictet (2025): un attacco informatico di terze parti su Chain IQ ha esposto i dati PII di oltre 130.000 dipendenti, comprese le informazioni di contatto di alti dirigenti.
  • Bybit (2025): hacker nordcoreani hanno sottratto Ethereum per un valore di 1,5 miliari di dollari dal cold wallet di Bybit, segnando il più grande hack mai visto su un exchange di criptovalute.

Questi incidenti evidenziano l’importanza strategica di proteggere anche i fornitori di tecnologia finanziaria. Gli attacchi informatici contro il settore bancario includono attività come bonifici fraudolenti, hacking di bancomat, malware per dispositivi POS e furti di dati sensibili. Il furto di informazioni di identificazione personale (PII) come nomi, numeri di previdenza sociale, indirizzi e dati finanziari, può avere conseguenze ancora più gravi del semplice furto di denaro. Una volta rubati, questi dati vengono infatti venduti nei mercati darknet e utilizzati per furti d’identità, apertura di conti bancari e linee di credito fraudolente, oltre che per campagne di ingegneria sociale. La diffusione di queste informazioni ha un peso geopolitico significativo, poiché nazioni ostili e soggetti di intelligence con ambiguità giuridiche li raccolgono per attività di sorveglianza, intimidazione o peggio.

Di fronte alle crescenti minacce informatiche, l’UE ha introdotto il Digital Operational Resilience Act, (DORA), un pilastro normativo pensato per rafforzare la resilienza digitale del settore finanziario. Questo atto legislativo stabilisce regole chiare e uniformi, garantendo maggiore sicurezza, continuità operativa e fiducia sia per i consumatori che per le imprese.

In che modo OpenVAS Security Intelligence di Greenbone supporta la conformità al DORA:

  • Il vulnerability management è una delle attività cardine della sicurezza informatica e rappresenta un vantaggio concreto per la resilienza operativa. OPENVAS SCAN di Greenbone è uno scanner di vulnerabilità leader di settore, con esperienza comprovata sul campo.
  • Il nostro OPENVAS ENTERPRISE FEED offre una copertura senza paragoni per il rilevamento delle CVE e di altre vulnerabilità su reti ed endpoint.
  • OpenVAS SCAN identifica i protocolli di crittografia utilizzati dai servizi di rete, assicurando che i dati in transito rispettino le migliori pratiche di sicurezza dei dati.
  • Le nostre scansioni attestano configurazioni di sicurezza rafforzate su un’ampia gamma di sistemi operativi e applicazioni. con benchmark CIS certificati per Apache HTTPD, Microsoft IIS, NGINX, MongoDB, Oracle, PostgreSQL, Google Chrome, Windows 11 Enterprise, Linux, e molti altri [1][2].
  • Tutti i componenti OPENVAS SECURITY INTELLIGENCE sono progettati per garantire l’assoluta sovranità dei dati e per assicurare che non lascino mai i confini della tua azienda.
  • La nostra principale linea di prodotti è open source, è stata testata nel tempo ed è aperta a revisioni sia da parte dei clienti che i membri della community. Questa trasparenza facilita l’audit anche da parte di fornitori di servizi ICT di terze parti.
  • OPENVAS REPORT di Greenbone è pensato per semplificare la raccolta di prove e la conservazione dei dati necessari per la rendicontazione della conformità.
  • In quanto azienda, Greenbone è certificata ISO/IEC 27001:2022 e ISO 9001:2015, a garanzia dell’adozione dei più elevati standard di sicurezza delle informazioni e di gestione della qualità. Inoltre, la certificazione ISO:14001 per i sistemi di gestione ambientale testimonia il nostro impegno costante verso la sostenibilità e ciò che conta davvero.

Il regolamento DORA (Digital Operation Resilience Act) dell’UE

Il Digital Operational Resilience Act (DORA) è un regolamento dell’Unione Europea pubblicato nella Gazzetta Ufficiale il 16 gennaio 2023 ed entrato in vigore il 17 gennaio 2025. Parte integrante della  , DORA mira a uniformare la governance della sicurezza informatica e i requisiti di gestione del rischio, rafforzando la resilienza operativa delle organizzazioni finanziarie nell’UE. Il regolamento si applica a 20 categorie di entità finanziarie, tra cui banche, compagnie assicurative, società di investimento e fornitori terzi di servizi ICT (Information and Communication Technology).

Le entità finanziarie europee non sono soggette alla direttiva NIS 2 in quanto Entità Essenziali (EE)?

Sì, tuttavia, ai sensi dell’articolo 4 della direttiva NIS 2, le società di servizi finanziari coperte da DORA come banche, società di investimento, istituzioni assicurative e infrastrutture di mercato finanziario, devono soddisfare pienamente i requisiti di DORA per la gestione del rischio di sicurezza informatica e la segnalazione degli incidenti. Inoltre, qualsiasi altro mandato UE specifico di settore relativo alla gestione del rischio o alla segnalazione degli incidenti ha la precedenza sulle disposizioni corrispondenti della NIS 2.

Chi sono le Autorità di Vigilanza europee (ESA)?

Le Autorità di Vigilanza europee (ESAs) sono tre organismi indipendenti che hanno il compito di emettere Norme Tecniche di Regolamentazione (RTS) e che forniscono linee guida interpretative e assicurano la corretta applicazione di DORA. Le entità ESA sono:

  • L’Autorità Bancaria Europea (EBA) [1]
  • L’Autorità europea delle assicurazioni e delle pensioni aziendali o professionali (EIOPA) [2]
  • Autorità europea degli strumenti finanziari e dei mercati (ESMA)[3]

Cosa sono le Norme Tecniche di Regolamentazione (RTS)?

Come indica il nome, le RTS (Regulatory Technical Standards) stabiliscono gli standard tecnici che le entità soggette a DORA devono rispettare. I documenti RTS forniscono linee guida operative dettagliate per garantire un’applicazione coerente e uniforme di DORA in tutto il settore finanziario dell’UE.[4].

Le versioni finali delle Norme Techniche di Regolamentazione sono:

  • il Quadro di gestione del rischio ICT e il Quadro semplificato di gestione del rischio ICT[5].
  • Criteri per la classificazione degli incidenti correlati alI’ICT [6]
  • Politica sui servizi ICT a supporto di funzioni critiche o importanti fornite da fornitori terzi (TPP) [7]

Cosa sono le Norme Tecniche di Attuazione (ITS)?

Le ITS (Implementing Technical Standards) sono regole operative dettagliate che definiscono come le entità finanziarie devono adempiere agli obblighi previsti da DORA. Traducendo le disposizioni generali del regolamento in procedure chiare e misurabili, le ITS stabiliscono standard precisi in materia di: segnalazione degli incidenti, monitoraggio delle relazioni e valutazioni dei fornitori ICT di terze parti (TPP), Threat-Led Penetration Testing (TLPT) e condivisione delle informazioni sulle minacce informatiche.

  • Questa la stesura finale ITS dei template per il registro delle informazioni [8]

La portata dell’impatto di DORA sulla sicurezza IT

DORA introduce requisiti stringenti che incidono direttamente sui principali pilastri della sicurezza informatica:

  1. Gestione del rischio: le entità finanziarie devono adottare quadri solidi di gestione del rischio informatico (Risk Management Framework – RMF) per ridurre al minimo i rischi operativi.
  2. Segnalazione degli incidenti: gli incidenti di sicurezza informatica più gravi devono essere notificati alle autorità nazionali entro 24 ore seguendo un formato standardizzato. Per le entità di piccole dimensioni, non interconnesse o esenti, gli obblighi di segnalazione sono ridotti.
  3. Rischio di terze parti: supervisione più rigorosa e responsabilità chiare nella gestione dei rapporti con i fornitori di servizi ICT di terze parti.
  4. Test di sicurezza: valutazioni periodiche della sicurezza dei sistemi digitali per individuare e correggere vulnerabilità, migliorando la resilienza contro le minacce.
  5. Condivisione delle informazioni: maggiore scambio di informazioni tra istituti finanziari e autorità competenti. Le entità sono incoraggiate a segnalare minacce emergenti se possono essere rilevanti per altri operatori del settore.

Conclusione

Attacchi informatici di alto profilo hanno evidenziato le fragilità digitali del settore finanziario, spingendo l’Unione Europea a emanare e, dal 17 gennaio 2025, ad applicare il Digital Operational Resilience Act (DORA). In quanto partner affidabile, Greenbone supporta la conformità DORA delle entità soggette, grazie a una suite collaudata di soluzioni per la gestione delle vulnerabilità aziendali e strumenti avanzati per la rendicontazione della compliance. Le nostre tecnologie garantiscono sovranità dei dati, resilienza operativa e report di valutazione della sicurezza complet

La vera mitigazione del rischio informatico non si riduce a soddisfare requisiti formali di conformità: richiede un approccio proattivo. I difensori devono individuare e affrontare i rischi emergenti il prima possibile, rafforzando così la resilienza operativa. Con Greenbone, le entità finanziarie europee possono individuare fin da subito le vulnerabilità, permettendo ai responsabili IT di intervenire e mitigarle prima che possano essere sfruttate per attacchi informatici.

Contatto Prova Ora Acquista Torna alla Panoramica

/da
Joseph Lee

ToolShell: allerta rossa per Microsoft SharePoint

Sabato 19 luglio, il mondo della cybersecurity è stato scosso da una serie di avvisi di emergenza che hanno riguardato Microsoft SharePoint Server. Si tratta di quattro vulnerabilità, note con il nome di “ToolShell”, 2 delle quali erano state già identificate e corrette con una patch rilasciata a inizio luglio. Le falle consentono l’esecuzione di codice remoto non autenticato (RCE) a livello SYSTEM di Windows.

Finora, gli attacchi di sfruttamento di massa hanno già colpito l’Amministrazione di sicurezza nucleale degli Stati Uniti e oltre 400 altre  organizzazioni, tra cui multinazionali, servizi sanitari, enti governativi, operatori finanziari e infrastrutture energetiche critiche. L’attività di sfruttamento è stata rilevata inizialmente da Eye Security e tre CVE sono stati inseriti nel catalogo delle vulnerabilità note sfruttate (KEV) della CISA, risultando collegati anche ad attacchi ransomware condotti da gruppi  sponsorizzati dallo stato cinese. Attualmente sono disponibili diversi kit di exploit proof of concept (PoC) pubblici[1][2][3]. Numerosi CERT nazionali, tra cui CERT-EU [4], Paesi Bassi[5], Nuova Zelanda[6], Canada[7] e Germania [8], hanno emanato specifici avvisi sulle vulnerabilità di SharePoint. Secondo la Shadowserver Foundation, sono stati rilevati oltre 9.000 indirizzi IP SharePoint pubblici potenzialmente esposti a livello globale.

OPENVAS SECURITY INTELLIGENCE di Greenbone integra test di rilevamento della versione[9][10][11][12], un controllo attivo diretto[13] per tutti i CVE ToolShell e il monitoraggio attivo degli indicatori di compromissione (IoC) [14] associati nel nostro ENTERPRISE FEED. I clienti di OPENVAS ENTERPRISE FEED dovrebbero verificare regolarmente che i propri feed siano sempre aggiornati, così da assicurare che i dispositivi includano gli ultimi controlli di vulnerabilità. Di seguito analizziamo nel dettaglio questi insidiosi bug ToolShell.

Una cronologia degli eventi ToolShell

Di seguito una breve panoramica dei principali eventi legati alla campagna ToolShell fino ad oggi:

I CVE ToolShell in Microsoft SharePoint

Quando le falle originali di “ToolShell” (CVE-2025-49706 e CVE-2025-49704)  sono state rese note per la prima volta a maggio 2025, i dettagli tecnici dell’attacco non sono stati resi pubblici. La divulgazione ha però portato al rilascio di patch ufficiali a metà luglio. Tuttavia, i ricercatori di sicurezza hanno rapidamente osservato attacchi in grado di compromettere anche server completamente aggiornati, spingendo così alla pubblicazione di due nuove vulnerabilità: (CVE-2025-53770 e CVE-2025-53771).

Di seguito una sintesi per ciascun CVE ToolShell:

  • CVE-2025-49704 (CVSS 8.8): generazione impropria di codice, nota anche come “code injection” [CWE-94], che consente a un attaccante con privilegi autenticati di eseguire codice da remoto. Secondo Cisco Talos, l’attacco può essere condotto da un utente autorizzato con privilegi di membro del sito, mentre Microsoft specifica che sono necessari i privilegi di proprietario del sito. L’exploit risulta semplice da eseguire e presenta un’elevata probabilità di successo.
  • CVE-2025-49706 (CVSS 6.3): autenticazione impropria [CWE-287], che permette a un utente non autorizzato di effettuare spoofing sulla rete.
  • CVE-2025-53770 (CVSS 9.8): deserializzazione di dati non attendibili [CWE-502] che consente a un utente non autenticato di eseguire codice da remoto [CWE-94]. Questa è una variante più pericolosa e senza requisiti di autenticazione di CVE-2025-49704.
  • CVE-2025-53771 (CVSS 6.3): impropria limitazione di percorso, nota anche come “path traversal” [CWE-22], che permette a un utente non autorizzato di eseguire spoofing di rete. È una variante di CVE-2025-49706.

I dettagli dell’attacco ToolShell

L’attacco ToolShell consente l’esecuzione di codice remoto (RCE) non autenticato su server Microsoft SharePoint vulnerabili. Il meccanismo dell’attacco si articola in più fasi:

  1. La vulnerabilità CVE-2025-49706 permette di accedere ai servizi interni di SharePoint manipolando l’intestazione Referer: /_layouts/SignOut.aspx per bypassare la logica di convalida. In questo modo, la richiesta risulta autenticata, anche in assenza di sessioni o credenziali valide.
  2. Contestualmente, un payload malevolo nel campo __VIEWSTATE viene inviato all’endpoint /_layouts/15/ToolPane.aspx. Questo payload contiene una catena di gadget .NET appositamente creata per sfruttare il difetto di deserializzazione identificato in CVE-2025-53770. I payload VIEWSTATE sono oggetti serializzati ASP.NET usati per mantenere sincronizzato lo stato dell’interfaccia utente tra browser e server SharePoint.
  3. La deserializzazione malevola consente così di eseguire comandi exe o PowerShell con i privilegi dell’utente SISTEMA di Windows, garantendo il pieno controllo del sistema compromesso.
  4. Sfruttando questo controllo, gli attaccanti hanno installato web shell ASPX dannose, come ad esempio aspx, utilizzate per estrarre la configurazione MachineKey, ovvero le chiavi crittografiche ValidationKey e DecryptionKey, consentendo agli aggressori di ottenere un accesso persistente e autenticato.
  5. Con queste chiavi rubate, gli attaccanti possono firmare payload __VIEWSTATE validi tramite lo strumento ysoserial.

Mitigazione degli attacchi ToolShell su Microsoft SharePoint

Le vulnerabilità ToolShell interessano le versioni locali (on-premise) di Microsoft Office SharePoint 2016, 2019, Subscription Edition, oltre alle edizioni ormai obsolete come SharePoint Server 2010 e 2013. Si raccomanda agli utenti di applicare quanto prima gli aggiornamenti di sicurezza più recenti. Va ricordato che, sebbene CVE-2025-49704 e CVE-2025-49706 siano stati corretti con l’aggiornamento di luglio 2025, la successiva scoperta di exploit capaci di bypassare queste patch ha reso necessarie ulteriori correzioni.

  • KB5002754 per Microsoft SharePoint Server 2019 Core
  • KB5002768 per Microsoft SharePoint Subscription Edition
  • KB5002760 per Microsoft SharePoint Enterprise Server 2016
  • SharePoint Server 2010 e 2013 sono interessati, ma non saranno patchati a causa del loro stato EOL
  • SharePoint Online per Microsoft 365 NON è vulnerabile

La guida di Microsoft consiglia di abilitare l’Antimalware Scan Interface (AMSI) in modalità completa e di utilizzare Microsoft Defender Antivirus per prevenire attacchi contro Microsoft SharePoint. I difensori dovrebbero anche presumere che i loro sistemi siano stati compromessi e cercare IoC identificati nelle campagne osservate. Oltre a identificare e rimuovere qualsiasi infezione da malware, gli utenti dovrebbero mitigare il rischio rappresentato dalle credenziali rubate. Per farlo è necessario aggiornare le chiavi macchina ASP.NET tramite PowerShell (cmdlet Update-SPMachineKey) o eseguire il Machine Key Rotation Job nella Central Administration, quindi riavviare IIS con iisreset.exe per applicare le modifiche.

Riepilogo

La catena di attacchi conosciuta come ToolShell espone gli utenti di Microsoft SharePoint a un rischio molto elevato di esecuzione remota di codice (RCE) senza necessità di autenticazione. L’attacco combina un bypass della logica di autenticazione con un difetto di deserializzazione. Sebbene Microsoft abbia rilasciato le prime patch per CVE-2025-49704 e CVE-2025-49706 a luglio 2025, sono emerse nuove varianti più insidiose, identificate come CVE-2025-53770 e CVE-2025-53771, già attivamente sfruttate a livello globale. Gli utenti devono applicare con tempestività tutti gli aggiornamenti di sicurezza disponibili, eliminare eventuali malware installati dagli aggressori, ruotare le chiavi macchina ASP.NET e verificare la resilienza dell’infrastruttura. Le soluzioni OPENVAS SECURITY INTELLIGENCE di Greenbone offrono una copertura completa e affidabile, in grado di rilevare rapidamente istanze vulnerabili di Microsoft SharePoint tra oltre 180.000 altre vulnerabilità

Contatto Prova Ora Acquista Torna alla Panoramica

/da
Greenbone AG

OPENVAS: un nuovo nome per la comprovata sicurezza Greenbone

Da 15 anni, OPENVAS rappresenta un punto di riferimento per la sicurezza open source a livello mondiale, dalle piccole imprese alle istituzioni pubbliche, fino agli operatori di infrastrutture critiche. OPENVAS è stato sviluppato da Greenbone ed è alla base sia dei prodotti Enterprise che delle versioni Community. Il marchio OPENVAS è riconosciuto a livello globale ed è simbolo di affidabilità open source avanzata, che non ha nulla da invidiare alle soluzioni proprietarie della concorrenza.

Da ora in poi, il nome OPENVAS sarà al centro di tutte le nostre attività. Le nostre soluzioni consolidate e i nuovi prodotti saranno disponibili sotto un unico marchio forte e coerente: OPENVAS.

Perché abbiamo scelto OPENVAS

Il nome OPENVAS è conosciuto a livello internazionale, è sinonimo di affidabilità open source e descrive chiaramente il suo scopo: identificare e ridurre i rischi digitali.

Con il nuovo schema di denominazione, rendiamo le nostre soluzioni ancora più comprensibili, funzionali e uniformi a livello globale. Il nome OPENVAS di riferiva inizialmente solo a un componente tecnico, cioè il vero e proprio scanner di vulnerabilità, ma ora si è evoluto e comprende tutto il nostro consolidato portafoglio di prodotti. Abbiamo accolto con favore questa evoluzione, e utilizziamo il nostro affermato marchio open source OPENVAS in tutte le denominazioni dei nostri prodotti.

Per i nostri utenti, clienti e partner questo significa che tutti gli elementi più apprezzati delle nostre soluzioni rimangono invariati, ma con nomi nuovi e più significativi. Inoltre, quest’anno ci saranno altre novità: scansione dei container, scansione basata su agenti, una nuova API REST e molto altro ancora.

Cosa significa tutto questo per te?

  • Tutto ciò a cui sei abituato rimane invariato: le tue soluzioni continueranno a funzionare come sempre, con tutti i servizi e gli aggiornamenti di sicurezza garantiti.
  • I nuovi nomi sono studiati per creare chiarezza, in quanto ogni denominazione di prodotto descrive direttamente la sua funzione, permettendoti di risparmiare tempo ed evitare possibili fraintendimenti.
  • Marchio forte, comunicazione chiara: a livello nazionale e internazionale ci presentiamo con un nome unico: OPENVAS.

Il nostro obiettivo consolidato è offrirti la soluzione migliore per ridurre al minimo i rischi digitali in modo rapido, semplice e comprensibile.

Cosa significa tutto questo per i nostri prodotti appliance esistenti?

I prodotti esistenti continueranno a essere aggiornati come di consueto. Allo stesso tempo, riceveranno nuovi nomi, nei quali OPENVAS rimarrà sempre al centro.

Alcuni esempi: OPENVAS SCAN è il nuovo nome del prodotto per le Greenbone Enterprise Appliances, mentre il riferimento alle prestazioni rimane invariato.  Greenbone Enterprise EXA diventa OPENVAS SCAN EXA, Greenbone Enterprise 600 diventa OPENVAS SCAN 600.

Naturalmente, continueranno a esistere anche i nostri prodotti gratuiti per la community: utilizzeremo il nome OPENVAS COMMUNITY EDITION per la nostra appliance gratuita e OPENVAS COMMUNITY FEED per il relativo feed di dati contenente i test di vulnerabilità e le informazioni sulla sicurezza.

Greenbone  rimane – OPENVAS diventa il nuovo marchio

Greenbone rimane il nome della nostra azienda, con sede principale in Germania e succursali nel Regno Unito, in Italia e nei Paesi Bassi. Il nome Greenbone si è affermato nei paesi di lingua tedesca; perciò, non intendiamo rinominare Greenbone AG in OPENVAS AG. A livello internazionale, invece, siamo molto più conosciuti come OPENVAS e pertanto operiamo con questo marchio: OPENVAS UK, OPENVAS IT, OPENVAS NL.

Rafforzando il nostro marchio OPENVAS, rendiamo visibile la nostra missione in oltre 150 paesi in tutto il mondo: rendere la sicurezza informatica comprensibile, affidabile e accessibile.

Contatto Prova Ora Acquista Torna alla Panoramica

/da
Greenbone AG

Disponibilità dei dati di vulnerabilità CVE nei prodotti Greenbone

Greenbone AG si impegna costantemente a fornire dati relativi alle vulnerabilità attraverso canali indipendenti e affidabili. Alla luce delle recenti discussioni sul finanziamento e sulla sostenibilità del programma CVE gestito dall’organizzazione statunitense MITRE, desideriamo informarti sulle misure da noi adottate per assicurare una continua erogazione delle informazioni sulle vulnerabilità.

Dal 1999, il sistema CVE rappresenta la base centrale per l’identificazione e la classificazione univoca delle vulnerabilità IT. Il finanziamento del database centrale CVE è attualmente garantito dal governo degli Stati Uniti fino ad aprile 2026. In questo contesto, Greenbone ha adottato tempestivamente misure strutturali per diventare più indipendente dalle singole fonti di dati.

Con il marchio OPENVAS, Greenbone è tra i principali fornitori open source a livello mondiale nell’ecosistema della sicurezza IT. Contribuiamo attivamente allo sviluppo di infrastrutture decentralizzate e sostenibili per la fornitura di informazioni sulle vulnerabilità e puntiamo su modelli innovativi e sostenibili che proteggono efficacemente i nostri clienti dai rischi per la sicurezza.

Il nostro approccio sovrano ai dati si basa su tre pilastri fondamentali:

  • Ampia diversificazione delle fonti: I nostri sistemi e il nostro team di ricerca sulla sicurezza monitorano numerose fonti di informazione internazionali per poter reagire tempestivamente a nuove minacce in modo indipendente dal processo CVE ufficiale.
  • Integrazione di database alternativi: per creare una base informativa stabile e geograficamente diversificata, integriamo nei nostri sistemi cataloghi di vulnerabilità indipendenti, come l’European Union Vulnerability Database (EUVD).
  • Promozione di standard aperti: sosteniamo attivamente la diffusione dello standard CSAF (Common Security Advisory Framework), che abilita una distribuzione decentralizzata e federata delle informazioni sulle vulnerabilità.

Grazie a queste misure garantiamo ai nostri clienti un accesso illimitato alle informazioni aggiornate sulle vulnerabilità, anche in caso di cambiamenti nell’ecosistema internazionale dei dati. In questo modo, i tuoi sistemi IT resteranno completamente protetti anche in futuro.

Greenbone è sinonimo di acquisizione indipendente, sovrana e a prova di futuro delle informazioni sulle vulnerabilità, anche in un contesto geopolitico in continua evoluzione.

Contatto Prova Ora Acquista Torna alla Panoramica

/da
Greenbone AG

Intuitivo e trasparente: una panoramica completa e aggiornata della sicurezza della tua infrastruttura IT, per tutti i livelli decisionali

OPENVAS REPORT nostro ultimo prodotto, è in grado di aggregare i dati provenienti da un numero pressoché illimitato di Greenbone Enterprise Appliance, presentandoli in modo chiaro su una dashboard ben strutturata. L’interfaccia user-friendly e completa semplifica notevolmente la protezione e la messa in sicurezza anche di reti di grandi dimensioni.

Dal 2008, Greenbone AG sviluppa tecnologie open source leader per la gestione automatizzata delle vulnerabilità. Oltre 100.000 organizzazioni in tutto il mondo si affidano alla Community di Greenbone e alle edizioni Enterprise per rafforzare la loro resilienza informatica.

“OPENVAS REPORT è sinonimo di innovazione da parte del leader del mercato open source.”

“Con il nostro nuovo prodotto riduciamo in modo decisivo la lacuna fra le attuali conoscenze di sicurezza e la capacità di agire in modo più rapido, chiaro e flessibile che mai”, dichiara il Dott. Jan-Oliver Wagner, CEO di Greenbone AG.

Riconoscere le situazioni di rischio in modo più rapido ed efficace

Per proteggere le proprie infrastrutture digitali è fondamentale essere sempre aggiornati sugli eventi relativi alla sicurezza e mantenere i tempi di risposta agli eventi critici il più brevi possibili.

OPENVAS REPORT fornisce una panoramica completa e aggiornata della situazione della sicurezza dell’infrastruttura IT, per tutti i livelli decisionali.

Grazie alle appliance aziendali Greenbone collegate, OPENVAS REPORT rileva automaticamente computer e software in azienda. Gli utenti possono contrassegnarli con parole chiave, raggrupparli e ordinarli a proprio piacimento, così da mantenere una visione d’insieme anche in reti molto grandi.

Dashboard moderna e intuitiva

La dashboard di OPENVAS REPORT è uno strumento moderno, intuitivo e altamente flessibile. Consente, ad esempio, di filtrare e ordinare i dati in base alla gravità generale o al rischio specifico delle vulnerabilità. Le aziende possono così creare autonomamente visualizzazioni personalizzate che mostrano un quadro sempre aggiornato della situazione di rischio nella rete aziendale.

 

Panoramica centralizzata

OPENVAS REPORT ti permette di acquisire e valutare con un colpo d’occhio la situazione della sicurezza della tua azienda. Grazie a una guida utente semplice e chiara, anche i dati più complessi diventano leggibili e comprensibili, accelerando così il processo decisionale in situazioni critiche.

Con opzioni di filtro flessibili e personalizzabili, OPENVAS REPORT semplifica notevolmente il lavoro quotidiano di amministratori e responsabili della sicurezza.

Interfaccia flessibile

Le ampie funzioni di esportazione consentono di integrare OPENVAS REPORT in modo ancora più approfondito nell’infrastruttura, ad esempio per elaborare dati esterni all’interno dello stesso OPENVAS REPORT.

I vantaggi in sintesi

Funzione Valore aggiunto per la vostra azienda
Visibilità completa degli asset Una panoramica completa di tutti gli asset IT e delle relative vulnerabilità in un’unica interfaccia, per una valutazione accurata e aggiornata della tua sicurezza.
Dashboard user-friendly Una dashboard interattiva e ben strutturata che rende immediatamente comprensibili anche le informazioni più complesse sulle vulnerabilità, facilitando decisioni rapide e informate.
Elaborazione flessibile dei dati Diverse opzioni di esportazione, API e automazione si integrano perfettamente nei flussi di lavoro esistenti, adattandosi alle specifiche esigenze operative.
Consolidamento efficiente dei dati Aggregazione centralizzata dei risultati provenienti da più scanner e sedi, che riduce il carico amministrativo e accelera i tempi di risposta.
Classificazione personalizzabile delle vulnerabilità Livelli di gravità e tag configurabili liberamente, per mappare con precisione i modelli interni di compliance e gestione del rischio.
Funzioni di reporting avanzate Creazione istantanea di report mirati per i dirigenti, gli audit o team: filtri e link drill-down forniscono dettagli approfonditi sui problemi di sicurezza critici.

Scopri di più

Sei interessato a una demo o desideri un’offerta personalizzata? Contatta il nostro team vendite per scoprire di più su OPENVAS REPORT. Scrivici a sales@greenbone.net oppure contattaci direttamente su. Saremo lieti di rispondere a tutte le tue domande!

Contatto Prova Ora Acquista Torna alla Panoramica

/da
Greenbone AG

Greenbone Detection efficace anche durante l’interruzione NVD del NIST

Nonostante l’interruzione del NIST NVD, il sistema di rilevamento di Greenbone mantiene piena operatività, garantendo scansioni affidabili delle vulnerabilità senza dipendere dai dati di arricchimento CVE mancanti.

Dal 1999, il Common Vulnerabilities and Exposures (CVE), gestito dalla MITRE Corporation, fornisce gratuitamente informazioni pubbliche sulle vulnerabilità, pubblicando e aggiornando dati sulle falle del software. Dal 2005, il National Institute of Standards and Technology (NIST) ha arricchito questi rapporti CVE, dando maggiore contesto per migliorare la valutazione del rischio informatico. Tuttavia, all’inizio del 2024, la comunità della sicurezza informatica è stata sorpresa dall’interruzione delle attività del NIST National Vulnerability Database (NVD). A circa un anno di distanza, questa interruzione non è stata ancora completamente risolta [1][2]. Con il numero crescente di CVE segnalati ogni anno, le difficoltà del NIST hanno causato un ritardo significativo nell’assegnazione di contesti fondamentali come il punteggio di gravità (CVSS), gli elenchi di prodotti interessati (CPE) e le classificazioni delle debolezze (CWE).

I cambiamenti politici promossi di recente dall’amministrazione Trump hanno generato notevole incertezza riguardo al futuro della condivisione delle informazioni sulle vulnerabilità, influenzando anche numerosi fornitori di sicurezza che da tali dati dipendono. Parallelamente, il bilancio 2025  della Cybersecurity and Infrastructure Security Agency (CISA), riflette una significativa riduzione delle risorse in aree chiave. In particolare, si registra un taglio di circa 49,8 milioni di dollari destinati ad appalti, costruzioni e miglioramenti e una diminuzione di 4,7 milioni di dollari per attività di ricerca e sviluppo. Questi ridimensionamenti hanno spinto la CISA ad adottare misure di contenimento delle spese, tra cui la revisione dei contratti e l’ottimizzazione delle strategie di approvvigionamento.

Nonostante le recenti preoccupazioni, il programma CVE non ha subito alcuna interruzione: il 16 aprile 2025, la CISA ha esteso all’ultimo minuto il contratto con MITRE, garantendo la continuità dei servizi CVE per altri 11 mesi, proprio poche ore prima della scadenza prevista. Tuttavia, l’evoluzione degli eventi rimane imprevedibile. Il potenziale impatto negativo sulla condivisione dell’intelligence suscita allarme, configurando forse una nuova dimensione geopolitica, paragonabile a una forma di guerra fredda digitale.

Questo articolo fornisce una breve panoramica sul funzionamento del programma CVE e su come le capacità di rilevamento di Greenbone siano rimaste invariate durante l’interruzione del NIST NVD.

Funzionamento del programma CVE: una panoramica

La MITRE Corporation, organizzazione senza scopo di lucro, opera come pilastro strategico per la sicurezza interna statunitense abbracciando ricerca difensiva, protezione delle infrastrutture critiche e cybersecurity. Nella gestione del programma CVE, MITRE ricopre un ruolo centrale come Primary CNA (CVE Numbering Authority), coordinando l’infrastruttura chiave per l’assegnazione degli ID CVE, la pubblicazione dei record e i flussi di comunicazione tra tutti i CNA e gli Authorized Data Publishers (ADP). I dati CVE sono resi pubblici attraverso il sito web del MITRE CVE.org  e il repository cvelistV5 su GitHub, dove i record sono archiviati in formato JSON strutturato. Questo modello ha ottimizzato il reporting delle vulnerabilità, standardizzato i processi e assicurato una condivisione dei dati fluida nell’ecosistema della sicurezza informatica globale.

Quando in passato un CNA inviava una descrizione della vulnerabilità al MITRE, il NIST ha sempre aggiunto informazioni chiave quali:

  • CVSS (Common Vulnerability Scoring System): un punteggio di gravità (da 0 a 10) e una stringa vettoriale dettagliata che descrive il rischio associato alla vulnerabilità. Il CVSS valuta fattori come la complessità dell’attacco (Attack Complexity, AC), l’impatto su riservatezza (Confidentiality, C), integrità (Integrity, I) e disponibilità (Availability, A), oltre ad altri parametri.
  • CPE (Common Platform Enumeration): una stringa appositamente formattata che identifica in modo univoco i prodotti e le versioni interessate dalla vulnerabilità, includendo nome del prodotto, fornitore e dettagli architetturali.
  • CWE (Common Weakness Enumeration): classifica le cause profonde della vulnerabilità in base alla tipologia del difetto software.

ll CVSS consente alle organizzazioni di quantificare il rischio associato a una vulnerabilità attraverso un punteggio standardizzato (0-10), facilitando la prioritizzazione strategica degli interventi di bonifica. Poiché le segnalazioni CVE iniziali includono solo dichiarazioni non standardizzate sui prodotti coinvolti, l’integrazione dei CPE da parte del NIST consente alle piattaforme di sicurezza di utilizzare il matching CPE come metodo rapido, sebbene parzialmente inaffidabile, per identificare la presenza di vulnerabilità nell’infrastruttura di un’organizzazione.

Se desideri approfondire come funziona il procedimento di divulgazione delle vulnerabilità e il ruolo di CSAF 2.0 come alternativa decentralizzata al programma CVE del MITRE, leggi il nostro articolo: Cos’è il Common Security Advisory Framework 2.0 e come automatizza il vulnerability management. Di seguito procediamo ad esaminare le criticità del NIST NVD e identifichiamo gli elementi che garantiscono la capacità di Greenbone di rilevare le vulnerabilità nonostante il malfunzionamento del database federale.

Interruzione NVD del NIST: cos’è successo?

A partire dal 12 febbraio 2024, il NVD ha ridotto drasticamente l’arricchimento delle vulnerabilità CVE con metadati importanti come punteggi CVSS, identificatori CPE e classificazioni CWE. Il problema è emerso inizialmente grazie al vicepresidente della sicurezza di Anchore, che ne ha segnalato l’impatto operativo. A maggio 2024, circa il 93% delle CVE aggiunte dopo il 12 febbraio risultava privo di analisi contestuali. A settembre 2024, il NIST non ha rispettato la scadenza autoimposta per colmare il ritardo: il 72,4% delle CVE e il 46,7% delle KEV (Known Exploited Vulnerabilities) del CISA rimanevano non erano ancora state arricchite [3].

Il rallentamento del processo di arricchimento del National Vulnerability Database (NVD) ha avuto ripercussioni significative per la comunità della sicurezza informatica. Non solo perché i dati arricchiti sono fondamentali per i difensori nel definire con efficacia le priorità delle minacce, ma anche perché numerosi strumenti di scansione delle vulnerabilità si basano su questi metadati per rilevare e valutare le falle di sicurezza.

In qualità di difensore della cybersecurity, è lecito chiedersi se Greenbone sia stato colpito dall’interruzione del NIST NVD. La risposta è no. Continua a leggere per scoprire perché le capacità di rilevamento di Greenbone sono riuscite a far fronte all’interruzione del NIST NVD.

Il rilevamento di Greenbone risulta efficace nonostante l’interruzione NVD

Senza metadati CVE arricchiti, molte soluzioni di sicurezza risultano inefficaci a causa della dipendenza dalla corrispondenza CPE per identificare le vulnerabilità. Tuttavia, Greenbone è riuscito a far fronte all’interruzione del NIST NVD grazie a un approccio indipendente dal CPE: i test di vulnerabilità OpenVAS possono essere sviluppati direttamente dalle descrizioni CVE non arricchite, integrando anche il rilevamento di configurazioni errate e vulnerabilità senza CVE, come i benchmark CIS [4][5]. 

Per sviluppare i test di vulnerabilità (VT), Greenbone si avvale di un team dedicato di ingegneri software specializzati nell’analisi degli aspetti tecnici alla base delle vulnerabilità. Il sistema include uno scanner CVE in grado di eseguire una corrispondenza CPE tradizionale, ma si distingue dalle soluzioni dipendenti esclusivamente dai dati CPE del NIST NVD grazie a tecniche di rilevamento avanzate che superano i limiti del matching di base. Questa architettura ibrida – tra automazione standardizzata e analisi contestuale – garantisce capacità di rilevamento solide anche durante interruzioni critiche come quella recente del NIST NVD.

Per garantire un rilevamento delle vulnerabilità resiliente e all’avanguardia, lo scanner OpenVAS di Greenbone interagisce attivamente con i servizi di rete esposti, costruendo una mappa dettagliata della superficie di attacco di una rete target. Questo comprende l’identificazione dei servizi accessibili tramite connessioni di rete, l’analisi dei prodotti in esecuzione e l’esecuzione di test specifici (VT) per ogni vulnerabilità CVE o non-CVE, verificandone attivamente la presenza. L’Enterprise Vulnerability Feed di Greenbone include oltre 180.000 VT aggiornati quotidianamente, garantendo il rilevamento tempestivo delle ultime vulnerabilità segnalate e un’individuazione rapida delle minacce emergenti.

Oltre alle scansioni attive, Greenbone integra scansioni autenticate agentless che raccolgono dati dettagliati dagli endpoint, analizzando i pacchetti software installati e confrontandoli con i CVE noti. Questo approccio garantisce un rilevamento preciso delle vulnerabilità, bypassando la dipendenza dai dati CPE arricchiti del NVD.

Punti di forza:

  • Indipendenza dai dati CVE arricchiti: Greenbone garantisce il rilevamento continuo senza dipendere dai metadati arricchiti del NIST NVD, mantenendo prestazioni stabili anche durante interruzioni del database federale. Una descrizione di base di una vulnerabilità consente agli ingegneri di Greenbone di sviluppare un modulo di rilevamento.
  • Rilevamento avanzato oltre il CPE: sebbene Greenbone includa uno scanner CVE con corrispondenza CPE, le sue capacità si estendono ben oltre questo approccio tradizionale, integrando metodi attivi di interazione con i target per un rilevamento più accurato.
  • Mappatura della superficie di attacco: lo scanner OpenVAS di Greenbone interagisce attivamente con i servizi esposti per mappare la superficie di attacco della rete, identificando tutti i servizi raggiungibili. Le scansioni autenticate agentless raccolgono dati direttamente dagli endpoint per analizzare i pacchetti software installati, confrontandoli con i CVE noti senza dipendere dai dati CPE arricchiti.
  • Resilienza alle interruzioni dell’arricchimento NVD: il rilevamento di Greenbone risulta efficace anche senza dati NVD arricchiti, perché si serve delle descrizioni CVE dei CNA per sviluppare controlli attivi precisi e valutazioni basate sulle versioni software.

L’approccio di Greenbone è pratico, efficace e resistente

Greenbone rappresenta il punto di riferimento in termini di praticità, efficacia e resilienza nel campo della gestione delle vulnerabilità. Le sue soluzioni sono progettate per fornire una protezione proattiva e affidabile contro le minacce informatiche, adattandosi a una vasta gamma di ambienti IT. Utilizzando la mappatura attiva della rete e le scansioni autenticate, le soluzioni Greenbone interagiscono direttamente con l’infrastruttura di destinazione.

Questi standard elevati permettono alle aziende di identificare le vulnerabilità in modo preciso e tempestivo, anche in ambienti complessi e distribuiti. Anche in assenza dell’arricchimento del National Vulnerability Database (NVD), i metodi di rilevamento delle vulnerabilità di Greenbone rimangono efficaci e affidabili. Gli ingegneri di Greenbone possono sviluppare controlli attivi accurati e valutazioni delle vulnerabilità basate sulla versione del prodotto, utilizzando le informazioni disponibili nei rapporti iniziali dei CVE.

Grazie a un approccio intrinsecamente resiliente nel rilevamento delle vulnerabilità, Greenbone assicura una gestione affidabile delle minacce, emergendo come punto di riferimento nel panorama della cybersecurity.

Alternative a NVD / NIST / MITRE

La problematica del MITRE rappresenta un campanello d’allarme per la sovranità digitale europea, ma l’UE ha reagito con tempestività: l’EuVD di ENISA, l’Agenzia dell’Unione per la cybersecurity, è ora operativa. Ne parleremo nel nostro prossimo articolo.

Contatto Prova Ora Acquista Torna alla Panoramica

/da
Dirk Boeing

Vulnerabilità nei processori: strategie per mitigare i rischi hardware

Le falle di sicurezza informatica nell’ambito IT si presentano in diverse forme. Tra le più comuni figurano le vulnerabilità legate a software non aggiornati, password deboli, configurazioni errate e l’utilizzo di switch di rete obsoleti. Tuttavia, un tipo di esposizione che spesso genera confusione durante le scansioni riguarda le vulnerabilità hardware.

Abbiamo imparato a convivere con la continua scoperta di vulnerabilità software. Per garantire una sicurezza informatica affidabile, ormai è prassi consolidata per ogni azienda (o almeno si spera) eseguire regolarmente scansioni della rete per identificare tali vulnerabilità e applicare le relative patch. Tuttavia, non sono solo gli sviluppatori di software a commettere errori: anche i processori possono contenere difetti. Le vulnerabilità nei chip spesso derivano da errori di progettazione che permettono a malintenzionati di sfruttare effetti collaterali imprevisti per accedere a dati sensibili. A differenza delle vulnerabilità software, generalmente correggibili con patch o aggiornamenti, quelle hardware richiedono aggiornamenti del microcodice o, in alcuni casi, modifiche strutturali nei progetti futuri dei processori.

Aggiornamenti del microcodice

L’unico metodo per risolvere le vulnerabilità della CPU e continuare così a garantire la sicurezza informatica è l’applicazione di aggiornamenti del microcodice, normalmente distribuiti tramite il sistema operativo o, in alcuni casi, attraverso il firmware (UEFI/BIOS). Il microcodice rappresenta un livello software all’interno del processore che traduce i comandi di alto livello in operazioni interne specifiche.

Anche se gli utenti finali generalmente non aggiornano il microcodice autonomamente, produttori come Intel forniscono update mirati per correggere alcune vulnerabilità, evitando la necessità di sostituire completamente l’hardware. Tuttavia, tali aggiornamenti possono comportare una diminuzione delle prestazioni, poiché disattivano o modificano alcune ottimizzazioni della CPU per prevenire il rischio di sfruttamento. In alcuni casi, questo può anche causare fino a un 50% di riduzione delle prestazioni.

Vulnerabilità su più fronti

Poiché queste vulnerabilità si trovano a livello di CPU, vengono rilevate e segnalate da tool come Greenbone Enterprise Appliance. Tuttavia, questo può generare confusione, poiché gli utenti potrebbero erroneamente pensare che le vulnerabilità segnalate riguardino il sistema operativo. È fondamentale comprendere che non si tratta di falle di sicurezza informatica nel sistema operativo, ma di difetti architetturali all’interno del processore stesso.

Le vulnerabilità vengono rilevate verificando la presenza delle patch di microcodice appropriate per la CPU identificata. Ad esempio, se una scansione rileva un sistema privo dell’aggiornamento del microcodice Intel per Downfall, viene segnalato come vulnerabile. Tuttavia, questo non implica che il sistema operativo stesso sia insicuro o la sicurezza informatica in generale sia a rischio.

Performance o sicurezza?

Per gestire le vulnerabilità della CPU è sempre necessario scendere a compromessi, e gli utenti devono scegliere l’approccio più adatto alle loro esigenze per garantire una sicurezza informatica ottimale. In generale, le opzioni disponibili sono tre:

  • Applicare gli aggiornamenti del microcodice, accettando una possibile riduzione delle prestazioni, soprattutto per i carichi di lavoro ad alta intensità di calcolo.
  • Evitare alcuni aggiornamenti del microcodice, assumendosi il rischio qualora la probabilità di sfruttamento nell’ambiente in uso sia considerata bassa.
  • Sostituire l’hardware interessato con CPU non affette da queste vulnerabilità.

In ultima analisi, la scelta dipende dal caso d’uso specifico e dal livello di tolleranza al rischio dell’organizzazione o dei singoli responsabili.

Contatto Prova Ora Acquista Torna alla Panoramica

/da
Joseph Lee

CVE-2024-54085 con CVSS 10: AMI BMC a rischio di compromissione remota

Di recente, nel software MegaRAC BMC (Baseboard Management Controller) di American Megatrends International (AMI) è stata identificata la falla di sicurezza CVE-2024-54085, valutata con il punteggio di rischio CVSS 10, il più elevato possibile. Questa vulnerabilità consente agli aggressori di bypassare i meccanismi di autenticazione e accedere ai sistemi vulnerabili. Considerando il ruolo predominante di AMI nella supply chain delle schede madri, numerosi fornitori hardware di rilievo potrebbero essere coinvolti. Oltre a una dichiarazione tecnica, è disponibile un Proof-of-Concept (PoC) dettagliata, il che indica che la vulnerabilità non è più solo un rischio teorico.

Utilizzando il Proof of Concept (PoC) disponibile, gli aggressori possono creare un account di servizio sulla console di gestione Redfish, ottenendo così accesso non autenticato a tutte le funzionalità remote di BMC. L’exploit è stato verificato su dispositivi come HPE Cray XD670, Asus RS720A-E11-RS24U e ASRockRack. Sebbene questa CVE sia stata pubblicata nel 2025, l’ID (CVE-2024-54085) è stato probabilmente riservato già nel 2024.

La CVE-2024-54085 permette agli aggressori di:

  • compromettere il server, assumerne il controllo totale e gestirlo da remoto
  • installare software malevolo, inclusi ransomware​
  • modificare il firmware
  • rendere inutilizzabili componenti della scheda madre (BMC o anche BIOS/UEFI) ​
  • causare danni hardware, ad esempio sovratensioni
  • indurre il server in cicli di riavvio continui, causando interruzioni prolungate del servizio (DoS).

Greenbone è in grado di individuare un server colpito attraverso test di vulnerabilità remoti che rilevano attivamente BMC esposti.

Impatto potenziale

L’interfaccia Redfish, utilizzata nel MegaRAC BMC di AMI, è una delle numerose soluzioni BMC che supportano la gestione remota dei server. Lo standard Redfish si è affermato nel mercato dei server aziendali come sostituto moderno di interfacce di gestione obsolete come l’IPMI. La vulnerabilità ha un impatto significativo su tutti i prodotti che utilizzano AMI MegaRAC, inclusi dispositivi OT, IoT e IT.  In passato, vulnerabilità simili in MegaRAC hanno interessato prodotti di numerosi produttori, tra cui Asus, Dell, Gigabyte, Hewlett Packard Enterprise (HPE), Lanner, Lenovo, NVIDIA e Tyan. AMI ha rilasciato patch per questa vulnerabilità l’11 marzo 2025. HPE e Lenovo hanno già distribuito aggiornamenti per i loro prodotti interessati.

Aspetti tecnici di CVE-2024-54085

La vulnerabilità CVE-2024-54085 è un difetto critico individuato nello stack firmware SPx (Service Processor) di AMI, componente chiave della soluzione MegaRAC BMC. I BMC (Baseboard Management Controller) sono microcontroller integrati nelle schede madri dei server che permettono la gestione e il monitoraggio remoto, anche quando il sistema è spento o non risponde.

La CVE-2024-54085 è classificata come “bypass dell’autenticazione tramite spoofing” [CWE-290]. Questo tipo di vulnerabilità si verifica quando un sistema utilizza informazioni facilmente falsificabili, come l’indirizzo IP del client, per autenticare le richieste. Sebbene la raccomandazione di AMI fornisca pochi dettagli, i ricercatori di Eclypsium, ai quali è attribuita la scoperta, hanno pubblicato un articolo dettagliato che ne spiega le cause. La vulnerabilità CVE-2024-54085 deriva dall’utilizzo dell’indirizzo IP come metodo di autenticazione. Nello specifico, la logica di controllo degli accessi basata su Lua nell’interfaccia Redfish utilizza le intestazioni HTTP, come X-Server-Addr o Host, per determinare se una richiesta HTTP è interna o esterna; le richieste interne vengono automaticamente considerate autenticate.

Nei sistemi BMC come MegaRAC, “l’interfaccia host” rappresenta la connessione, sia fisica che logica, tra il BMC e il server principale (l’host). Questa connessione può essere paragonata all’interfaccia di loopback (spesso denominata lo), comunemente associata all’indirizzo IP 127.0.0.1 e al nome host localhost. Nel contesto di MegaRAC, all’interfaccia che collega il chip BMC all’host viene assegnato un indirizzo IP dalla gamma Link-Local, specificamente nell’intervallo 169.254.0.0 fino a 169.254.255.255). Inoltre, questo indirizzo IP è incluso in un elenco di indirizzi considerati attendibili durante il processo di autenticazione HTTP di MegaRAC; pertanto, un attaccante che riesca a falsificare questo indirizzo può eludere l’autenticazione. Attraverso reverse engineering del firmware MegaRAC, i ricercatori hanno identificato che l’indirizzo Link-Local 169.254.0.17 viene utilizzato su più chip BMC.

L’errore è dovuto all’implementazione di un’espressione regolare che estrae il testo dall’intestazione HTTP X-Server-Addr fino al primo due punti e verifica se corrisponde agli indirizzi IP attendibili memorizzati in un database Redis. I chip BMC utilizzano Lighttpd come server web incorporato, che aggiunge automaticamente un’intestazione X-Server-Addr con l’indirizzo IP dell’istanza Redfish. Se una richiesta include già l’intestazione fornita dal client, Lighttpd concatena il proprio valore a quello ricevuto. Questo permette a un attaccante di inviare un’intestazione appositamente modificata, manipolando così il valore estratto dall’espressione regolare. Fornendo un valore X-Server-Addr corrispondente all’indirizzo Link-Local del sistema host seguito da due punti (ad esempio, 169.254.0.17:), un malintenzionato può indurre il BMC a interpretare la richiesta come proveniente dall’interfaccia host interna, bypassando completamente l’autenticazione.

Una volta bypassata l’autenticazione, il resto della richiesta HTTP viene elaborato normalmente, consentendo all’attaccante di eseguire qualsiasi azione API disponibile. Ciò include la creazione di account con privilegi elevati, ottenendo il controllo remoto completo del BMC del server e l’accesso alla sua interfaccia web di amministrazione.

Strategie per mitigare la CVE-2024-54085

Le aziende devono monitorare attentamente le indicazioni dei propri fornitori di hardware e applicare tempestivamente gli aggiornamenti firmware non appena resi disponibili. Come misura temporanea, è consigliabile consultare i manuali dei dispositivi per verificare la possibilità di disattivare l’interfaccia Redfish quando non è in uso. Poiché i BMC rimangono operativi anche quando il server principale è spento, i sistemi interessati devono essere considerati permanentemente a rischio fino all’applicazione della patch firmware, a meno che Redfish non venga disabilitato o il sistema sia isolato dalla rete (air-gap). I responsabili di sicurezza possono sviluppare regole specifiche per firewall o sistemi di prevenzione delle intrusioni (IPS) al fine di bloccare tentativi di sfruttare questa vulnerabilità e di proteggere le interfacce di gestione BMC vulnerabili.

Poiché l’errore risiede in un firmware proprietario incorporato, l’applicazione delle patch risulta più complessa rispetto agli aggiornamenti di routine del sistema operativo o delle applicazioni. A differenza del software tradizionale, il firmware BMC risiede su un chip dedicato della scheda madre. Pertanto, l’aggiornamento del firmware BMC richiede l’uso di un’utilità software speciale fornita dal produttore del dispositivo per “flashare” il firmware aggiornato. Questo processo può causare periodi di inattività, poiché gli amministratori potrebbero dover avviare il sistema in un ambiente speciale e riavviarlo al termine dell’aggiornamento del firmware.

Per riassumere

La vulnerabilità CVE-2024-54085 rappresenta un rischio significativo per l’infrastruttura aziendale, poiché consente il controllo remoto non autenticato di server prodotti da importanti fornitori come HPE e Lenovo. Data la diffusione del software MegaRAC di AMI nei data center, lo sfruttamento di questa falla potrebbe causare guasti estesi, hardware inutilizzabile o periodi di inattività prolungati. È quindi essenziale riconoscere immediatamente questa minaccia e applicare le patch firmware fornite dai produttori per tutti i sistemi interessati.

Greenbone è in grado di individuare un server colpito attraverso test di vulnerabilità remoti che rilevano attivamente BMC che possono essere colpiti.

Contatto Prova Ora Acquista Torna alla Panoramica

/da