Il 25 settembre 2025 tre nuove vulnerabilità (CVE) che colpiscono i prodotti di rete Cisco hanno scosso lo scenario globale della cybersecurity. Due di esse risultano già sfruttate sotto forma di attacchi zero-day ancora prima della divulgazione pubblica. Per garantire una risposta immediata, Greenbone ha integrato nell’OPENVAS ENTERPRISE FEED i test di rilevamento per tutti e tre i CVE ad alto rischio.

campagna di spionaggio arcanedoor

CVE-2025-20333 (CVSS 9.9) e CVE-2025-20362 (CVSS 6.5) colpiscono il web server VPN delle piattaforme Cisco Secure Firewall Adaptive Security Appliance (ASA) e Firewall Threat Defense (FTD), utilizzato per consentire ai dispositivi remoti l’accesso a una rete interna tramite SSL/TLS-based VPN. Queste due vulnerabilità possono essere concatenate per ottenere il completo controllo dei dispositivi non aggiornati e risultano già sfruttate nelle campagne di spionaggio ArcaneDoor. Una terza vulnerabilità, CVE-2025-20363 (CVSS 9.0), pur non essendo ancora classificata come attivamente sfruttata, è stata inclusa in numerosi avvisi di sicurezza nazionale insieme ai primi due. La sua portata è significativa, poiché interessa non solo Cisco ASA e FTD, ma anche Cisco IOS, IOS XE e IOS XR in determinate configurazioni.

L’OPENVAS ENTERPRISE FEED di Greenbone include controlli di rilevamento per ogni nuovo CVE ad alto rischio [1][2][3][4][5][6][7][8][9]. Puoi testare gratuitamente il prodotto e scansionare il tuo ambiente IT alla ricerca di queste e altre vulnerabilità. Di seguito, discutiamo alcuni aspetti della situazione attuale, tra cui la campagna di attacco, una breve descrizione tecnica delle tre vulnerabilità e una guida alla mitigazione.

Campagne di sfruttamento per Cisco ASA 5500-X

CVE-2025-20333 e CVE-2025-20362 sono state effettivamente sfruttate come zero-day contro dispositivi Cisco della serie ASA 5500-X privi di Secure Boot. Se concatenate, permettono ad aggressori non autenticati di ottenere il controllo completo del dispositivo. Le campagne che hanno sfruttato questi difetti hanno distribuito componenti come RayInitiator e LINE VIPER per stabilire persistenza [TA0003], eseguire comandi da remoto [TA0011] ed esfiltrare dati [TA0010]. Tali operazioni sono state attribuite alla campagna di cyber-spionaggio ArcaneDoor, attiva contro infrastrutture perimetrali fin dall’inizio del 2024 e caratterizzata da un elevato livello di sofisticazione. Le tecniche avanzate utilizzate negli attacchi includono:

  • Compromissione del ROM Monitor (ROMMON) [004] e installazione di bootkit a livello pre-OS [T1542.003] per ottenere persistenza nascosta attraverso i riavvii.
  • Intercettazione dell’interfaccia a riga di comando (CLI) [008]
  • Disattivazione della registrazione (logging) [001]
  • Cattura del traffico di rete [T1040]
  • Bypass dei protocolli AAA, dei meccanismi di autenticazione, autorizzazione e accounting [004]

Non sono disponibili exploit PoC pubblici, ma CISA e Cisco hanno confermato che CVE-2025-20333 e CVE-2025-20362 sono già state sfruttate in the wild [1][2]. Sebbene lo sfruttamento del CVE-2025-20363 non sia stato ancora verificato, questo CVE è comunque incluso in numerosi avvisi di CERT nazionali che trattano le prime due vulnerabilità [3][4][5][6][7][8][9][10]. Per approfondire è disponibile l’analisi del malware pubblicata dall’NCSC (Regno Unito) [11] e le linee guida per la caccia agli Indicatori di Compromissione pubblicate dalla CISA [12].

Analisi tecnica dei nuovi CVE critici in Cisco

Tutti e tre i CVE derivano da una convalida errata degli input utente in richieste HTTPS [CWE-20]. In combinazione, CVE‑2025‑20333 e CVE‑2025‑20362 consentono ad un attaccante di ottenere l’esecuzione di codice arbitrario con privilegi root sul dispositivo compromesso. CVE‑2025‑20333 è la vulnerabilità che consente l’RCE, ma nel suo sfruttamento richiede credenziali VPN valide. CVE‑2025‑20362 fornisce un bypass dell’autenticazione. CVE‑2025‑20363 consente l’accesso non autenticato a URL riservati e ha una portata più ampia: oltre a Cisco ASA e FTD, interessa anche Cisco IOS, IOS‑XE e IOS‑XR in specifiche configurazioni.

Di seguito una sintesi tecnica di ciascun CVE:

  • CVE-2025-20333 (CVSS 9.9): richieste HTTPS al server web VPN possono causare RCE arbitrario con privilegi root sui dispositivi Cisco ASA e FTD. Il difetto è classificato come buffer overflow [CWE-122] e, per essere sfruttato, necessita di credenziali VPN valide.
  • CVE-2025-20362 (CVSS 6.5 ): consente ad attaccanti non autenticati di ottenere un bypass dell’autenticazione verso URL riservati del server web VPN su Cisco ASA e FTD. L’origine del problema è una mancanza di controllo dell’autorizzazione su percorsi HTTP sensibili [CWE-862].
  • CVE-2025-20363 (CVSS 9.0 ): permette RCE non autenticato come root sul server web VPN di Cisco ASA/FTD; inoltre, con credenziali di basso privilegio un attaccante può ottenere RCE come root su Cisco IOS, Cisco IOS XE e Cisco IOS XR. La vulnerabilità è un heap‑based buffer overflow [CWE-122] dovuto a una convalida inadeguata dell’input nelle richieste HTTP.

Mitigazione e protezione per dispositivi a rischio

La CISA ha emesso una direttiva di emergenza per tutte le agenzie federali, richiedendo un intervento immediato per affrontare la minaccia in corso. Gli utenti dei prodotti interessati dovrebbero identificare, analizzare e mitigare senza indugio le istanze vulnerabili, al fine di proteggere le proprie operazioni. Per supportare l’analisi e la verifica delle eventuali compromissioni, consigliamo di seguire le Core Dump and Hunt Instructions fornite dalla CISA, insieme alla Detection Guide ufficiale di Cisco.

In caso di violazione, i dispositivi compromessi devono essere scollegati dalla rete ma non spenti e devono essere immediatamente attivati i piani di risposta agli incidenti (IRP) e le procedure di contenimento. Le organizzazioni colpite dovrebbero informare le autorità competenti e mettere a disposizione i dump principali per l’analisi. L’NCSC del Regno Unito ha pubblicato un’analisi del malware RayInitiator e LINE VIPER [1]. Per ulteriori dettagli, è possibile consultare gli avvisi ufficiali di Cisco [2][3][4]. Le piattaforme vulnerabili a CVE-2025-20333 e CVE-2025-20362 includono:

Hardware ASA, ASA Service Module (ASA-SM) ASA Virtual (ASAv) e il firmware ASA su Firepower 2100/4100/9300. Le versioni del software Cisco ASA interessate sono:

  • 09:12 – < 9.12.4.72
  • 09:14 – < 9.14.4.28
  • 09:16 – < 9.16.4.85
  • 09:17 – < 9.17.1.45
  • 09:18 – < 9.18.4.67
  • 09:19 – < 9.19.1.42
  • 09:20 – < 9.20.4.10
  • 09:22 – < 9.22.2.14
  • 09:23 – < 9.23.1.19

Le apparecchiature Cisco FTD vulnerabili includono le seguenti versioni del software:

  • 0 – < 7.0.8.1
  • 1 – tutte le versioni
  • 2 – < 7.2.10.2
  • 3 – tutte le versioni
  • 4 – < 7.4.2.4
  • 6 – < 7.6.2.1
  • 7 – < 7.7.10.1

Il CVE-2025-20363 interessa i prodotti ASA e FTD precedentemente elencati, oltre a tutte le release di Cisco IOS e Cisco IOS XE con VPN SSL Remote Access abilitata, e alle versioni 6.8 e 6.9 di Cisco IOS XR (32-bit su ASR 9001) con server HTTP attivo. Non sono invece interessati: Cisco NX-OS, IOS XR a 64 bit, IOS/IOS XE senza VPN SSL abilitata, ASA/FTD senza funzionalità WebVPN/SSL configurate.

Conclusione

La divulgazione coordinata dei CVE-2025-20333, CVE-2025-20362 e CVE-2025-20363 ha messo in atto una risposta di sicurezza a livello globale. Combinati, questi CVE possono portare alla completa compromissione dei dispositivi Cisco ASA e FTD, nonché dei sistemi che utilizzano Cisco IOS, IOS XE e IOS XR con configurazioni specifiche. È stata inoltre identificata una campagna di spionaggio denominata ArcaneDoor, attualmente in corso, che sfrutta CVE-2025-20333 e CVE-2025-20362 per colpire i dispositivi legacy ASA 5500-X.

Le agenzie di sicurezza, tra cui CISA e vari CERT nazionali, hanno pubblicato linee guida urgenti per la mitigazione, sottolineando la necessità di applicare immediatamente le patch, condurre indagini forensi e attivare i piani di risposta agli incidenti (IRP). Per supportare le organizzazioni in questa attività, Greenbone  ha reso disponibili controlli di rilevamento per tutte e tre le vulnerabilità nell’OPENVAS ENTERPRISE FEED, consentendo di individuare e correggere rapidamente le esposizioni critiche. Avvia  e scansiona il tuo ambiente IT per individuare questi e altri rischi per la sicurezza informatica.

Quest’anno, in Italia, la sicurezza informatica è passata dall’essere un tema da consiglio di amministrazione a una realtà che finisce in prima pagina. Alle conferenze, ai summit e durante i dibattiti di settore è emerso sempre lo stesso messaggio: le aziende si trovano nel mirino di attacchi informatici sempre più sofisticati. Ma si nota un cambiamento in positivo: un nuovo slancio fatto di innovazione e collaborazione che riconosce la portata del problema e lo affronta in modo deciso.

cybersecurity in italy key insights Kopie

Dai rischi astratti alle soluzioni concrete

L’anno è iniziato con una ventata di novità all’ITASEC di febbraio. Invece delle solite presentazioni cupe e focalizzate solo sulle vulnerabilità teoriche, questa volta i riflettori si sono spostati sulle soluzioni concrete. Le organizzazioni hanno portato esempi pratici e strategie reali per tradurre i requisiti di conformità, come NIS2, nella gestione quotidiana delle minacce informatiche.

Le sessioni dedicate a OPENVAS e alle soluzioni Enterprise hanno evidenziato una nuova tendenza: le aziende stanno abbandonando le vecchie tabelle con liste interminabili di vulnerabilità per puntare su analisi realmente attuabili. Il messaggio è chiaro: oggi non basta più rimanere aggiornati, servono indicazioni concrete e operative sui prossimi passi da intraprendere.

Ma dietro l’ottimismo è emersa una realtà scomoda: l’Italia resta tra i Paesi più colpiti d’Europa. Durante gli incontri non sono mancate anche le domande difficili: perché le nostre difese faticano ancora a tenere il passo delle minacce? E cosa servirà davvero per riuscire a voltare pagina?

IA: una lama a doppio taglio

A marzo, al CyberSec 2025 di Milano, l’intelligenza artificiale era sulla bocca di tutti. L’atmosfera era vibrante, sospesa tra entusiasmo e timore. Da un lato, tutti concordavano sul fatto che l’IA ha il potenziale di rivoluzionare i processi di sicurezza, rendendoli più rapidi ed efficaci. Dall’altro è emerso anche il rovescio della medaglia: l’IA offre nuove superfici di attacco.

Le preoccupazioni non sono infondate: se non vengono protetti adeguatamente i modelli di IA possono essere manipolati o addirittura rubati. Per questo soluzioni come la gestione interamente on-premise e l’aggiornamento controllato dei modelli diventano fondamentali. L’obiettivo è chiaro: cogliere i vantaggi dell’automazione e dell’intelligenza artificiale senza mettere a rischio la sicurezza.

Lo ha sottolineato Dirk Boeing, Security Engineer di Greenbone, in un’intervista: “per noi l’IA non è solo un concetto astratto: è uno strumento pratico che, se utilizzato in modo responsabile, aiuta le organizzazioni a respingere gli attacchi informatici”.

La nuova realtà della gestione delle vulnerabilità

Il Security Summit di fine marzo ha sottolineato un altro cambiamento fondamentale: non è più sufficiente scansionare i sistemi di tanto in tanto. L’attuale panorama delle minacce richiede un monitoraggio continuo e robusto. Abbiamo visto che le organizzazioni iniziano a dare la priorità alle vulnerabilità critiche, a ottimizzare i processi di correzione e trasformare la conformità da un carico a un vantaggio competitivo.

Gli utenti sono sempre più consapevoli che le soluzioni aziendali offrono vantaggi che le versioni community non possono garantire: feed stabili, rilevamento più accurato e distribuzione sicura on-premise, andando ben oltre le funzionalità di base.

Numeri che non mentono

La situazione reale in Italia rende questi dati ancora più preoccupanti. Solo nella prima metà del 2025 si sono registrati 1.549 incidenti informatici, con un aumento del 53% rispetto al 2024. Ancora più allarmante: 346 di questi incidenti sono stati considerati gravi, con danni confermati, segnando un incremento del 98% su base annua.

Gli attacchi informatici non fanno distinzione tra bersagli di grandi o piccole dimensioni. Settori critici come la pubblica amministrazione, la sanità e l’energia sono stati duramente colpiti. Un esempio emblematico è l’attacco del 2 aprile a Mobilità di Marca (MOM), la compagnia di trasporti pubblici di Treviso, che ha paralizzato paralizzato per giorni il servizio di biglietteria elettronica. Questo episodio dimostra con chiarezza quanto le vulnerabilità delle infrastrutture digitali possano avere conseguenze dirette sulla vita quotidiana.

Nemmeno le aziende più piccole sono completamente al sicuro. I rapporti di aprile evidenziano come il settore delle telecomunicazioni sia stato interessato da attacchi mirati di phishing, con numerose organizzazioni che hanno subito gravi violazioni della sicurezza. Il messaggio è inequivocabile: nessun’azienda è troppo piccola per non diventare un bersaglio.

L’unica soluzione è  la sicurezza proattiva

Ad ogni conferenza, gli esperti ribadiscono lo stesso concetto: il monitoraggio continuo e la gestione proattiva delle vulnerabilità non sono più un semplice “nice to have”, ma diventano una necessità. La crescente frequenza e complessità degli attacchi richiede un cambiamento radicale: dalla gestione reattiva delle crisi alle strategie di difesa proattive.

Tieni d’occhio queste date: gli eventi di ottobre da non perdere

Il dibattito sulla cybersecurity continuerà a ottobre, con tre grandi appuntamenti che metteranno Roma al centro della scena italiana nel settore della sicurezza informatica:

AFCEA TechNet Europe Roma 2025 (1° – 2 ottobre) riunirà esperti di difesa, leader del settore e innovatori tecnologici per confrontarsi sulle minacce emergenti e sulle soluzioni più all’avanguardia.

Cybertech Europe (21 – 22 ottobre) offre l’occasione di entrare in contatto con i principali esperti di cybersecurity, assistere a dimostrazioni dal vivo e approfondire le sfide e le soluzioni che guidano la resilienza digitale in Italia.

Richmond Cyber Resilience Forum (28 – 30 ottobre) si conferma un punto d’incontro per fornitori e utilizzatori di soluzioni innovative. Qui le aziende italiane avranno l’opportunità di confrontarsi con esperti del settore e scoprire le ultime tendenze e strategie nel campo della cybersecurity.

OPENVAS S.r.l. sarà presente a tutti e tre gli eventi, presentando le sue soluzioni enterprise per la gestione delle vulnerabilità, condividendo approfondimenti sulla sicurezza basata sull’intelligenza artificiale e dimostrando come le organizzazioni possano trasformare la compliance da un semplice obbligo normativo a una vera strategia di difesa proattiva.

La strada da seguire

Il 2025 si sta rivelando un anno decisivo per la sicurezza informatica in Italia. Le minacce sono concrete e in aumento, così come la nostra capacità di reazione collettiva. Ogni conferenza, collaborazione e innovazione ci aiuta a trasformare le sfide di oggi nella resilienza di domani.

La vera domanda non è se ci troveremo di fronte a un attacco informatico, ma se saremo pronti quando accadrà. Non restare in attesa: il momento di rafforzare le difese informatiche della tua organizzazione è ora.

Sei pronto a trasformare report in azioni concrete? Vieni a incontrarci agli eventi di ottobre o contattaci oggi stesso per scoprire come la gestione delle vulnerabilità aziendali può rendere la tua sicurezza più solida e proattiva.

La CVE-2025-10035 (CVSS 10.0) è una vulnerabilità critica appena scoperta in Fortra GoAnywhere MFT (Managed File Transfer). Con un livello di rischio massimo, questa falla consente agli aggressori di eseguire comandi da remoto senza autenticazione (RCE). Greenbone può rilevare i sistemi vulnerabili e tutti gli utenti dovrebbero applicare le patch con urgenza.

blog banner cvss 10 in fortra goanywhere

GoAnywhere MFT è una piattaforma centralizzata per il trasferimento sicuro dei file, utilizzata per lo scambio di dati con partner commerciali, clienti e dentro le organizzazioni. L’applicazione offre anche funzionalità di audit e reportistica per la conformità.

La vulnerabilità è causata da un difetto di deserializzazione [CWE-502] nel License Servlet di Fortra GoAnywhere MFT. Questa falla permette agli aggressori di generare una risposta di licenza falsificata, attraverso la quale possono iniettare ed eseguire comandi arbitrari [CWE-77]. Al momento non ci sono prove di sfruttamento in the wild; tuttavia, va ricordato che in passato Fortra GoAnywhere è già stato un bersaglio privilegiato di attacchi ransomware. Nel 2023, ad esempio, la vulnerabilità CVE-2023-0669 (CVSS 7.2) è stata sfruttata dal gruppo Clop, causando numerose violazioni di alto profilo. Per CVE-2025-10035 non esistono ancora proof-of-concept pubblici, anche se è disponibile un’analisi tecnica approfondita. Tuttavia, questa non descrive una catena di exploit completa: alcuni passaggi restano ancora non confermati.

La CVE-2025-10035 ha già attirato l’attenzione di diversi CERT nazionali, che hanno emesso avvisi ufficiali: il Canadian Centre for Cyber Security[1], il NCSC-NL dei Paesi Bassi [2] e il CERT-In dell’India [3]. Anche il BSI tedesco ha pubblicato un avviso [WID-SEC-2025-2090], attribuendo alla vulnerabilità un punteggio CVSS temporaneo di 8,7. Questo punteggio riflette lo stato di sfruttamento non ancora verificato (E:U), la disponibilità di soluzioni ufficiali (RL:O), e un’elevata fiducia nella qualità del report (RC:C).

Un rilevamento remoto di versione è stato prontamente integrato nell’OPENVAS ENTERPRISE FEED di Greenbone. In questo modo i team di difesa possono individuare rapidamente le istanze vulnerabili di Fortra GoAnywhere MFT.

Valutazione del rischio per CVE-2025-10035 in Fortra GoAnywhere

Secondo la classificazione CVSS 10, la vulnerabilità CVE-2025-10035 rappresenta un rischio estremamente elevato se la console di amministrazione di GoAnywhere è collegata a Internet. L’analisi evidenzia che la complessità dell’attacco è bassa, non è necessaria alcuna interazione dell’utente e lo sfruttamento della falla potrebbe portare all’acquisizione completa del sistema.

Tuttavia, l’esposizione pubblica non è un prerequisito per lo sfruttamento. Anche le istanze presenti su reti private potrebbero essere vulnerabili a minacce interne o a trusted third party [T1199]. Secondo il Data Breach Investigations Report (DBIR) 2025 di Verizon, l’uso improprio dei privilegi (descritto come schemi malevoli da parte di minacce interne) è stato la causa principale dell’8% delle violazioni analizzate a partire dal 2024. Si tratta di una percentuale significativa, che evidenzia come anche le vulnerabilità non esposte al pubblico rappresentino una minaccia per la resilienza informatica.

Analisi tecnica del CVE-2025-10035 in Fortra GoAnywhere

Il License Servlet di GoAnywhere gestisce l’attivazione dei pacchetti di licenza MFT durante le operazioni di configurazione, rinnovo e migrazione. Durante queste operazioni il servlet effettua la deserializzazione Java di un oggetto firmato, il cosiddetto “SignedObject”). In presenza della vulnerabilità CVE-2025-10035, questo processo di deserializzazione può portare a esecuzione remota di codice (RCE).

L’analisi di Watchtowr evidenzia un difetto di pre‑autenticazione nel processo di licenza: la pagina Unlicensed.xhtml può restituire un token di autenticazione valido anche quando l’istanza è già attivata con una licenza valida. Una richiesta HTTP GET non corretta al percorso
/goanywhere/license/Unlicensed.xhtml/x? genera erroneamente un token di richiesta di licenza valido e lo restituisce crittografato all’interno di un oggetto dati serializzato. La causa risiede nella gestione degli errori: l’ AdminErrorHandlerServlet crea internamente un token di richiesta di licenza, lo associa alla sessione non autenticata e lo include nell’oggetto dati serializzato inviato all’utente. Quel pacchetto è cifrato con una chiave hard‑coded che può essere estratta e usata offline per decriptare l’oggetto e recuperare il GUID del token di autenticazione in chiaro.

Una volta recuperato il token GUID, un aggressore non autenticato può usarlo per chiamare l’endpoint Licence Servlet POST /goanywhere/lic/accept/<GUID>?…&bundle=<payload> e inviare un payload serializzato e malevolo. Tuttavia, il meccanismo concreto che permetterebbe la deserializzazione del payload rimane incerto: il payload inviato all’endpoint deve infatti risultare firmato con la chiave privata valida di Fortra. I ricercatori indicano due possibili scenari che spiegherebbero lo sfruttamento pratico della vulnerabilità: o la chiave privata è stata sottratta, oppure payload malevoli sono stati erroneamente firmati con la chiave privata di Fortra.

Mitigazione di CVE-2025-10035 in Fortra GoAnywhere

Fortra ha pubblicato un avviso di sicurezza [FI-2025-012] con istruzioni per mitigare la vulnerabilità CVE-2025-10035. La soluzione definitiva consiste nell’aggiornamento a una versione corretta: 7.8.4 (ultima) o 7.6.3 (Sustain). In alternativa, è possibile adottare una misura temporanea limitando l’accesso alla console di amministrazione.

Fortra raccomanda inoltre a tutti gli utenti di cercare Indicatori di Compromissione (IoC), come voci nei log che segnalano errori relativi a SignedObject.getObject. La presenza di questa stringa rappresenta un forte indicatore che l’istanza potrebbe essere stata sfruttata da aggressori. Seguendo le best practice, le organizzazioni dovrebbero anche considerare di informare clienti e altre parti interessate sullo stato delle proprie istanze e sulle eventuali azioni correttive intraprese.

Riepilogo

CVE-2025-10035 è una vulnerabilità di deserializzazione con punteggio CVSS 10 in GoAnywhere MFT, che può consentire esecuzione remota di codice (RCE) senza autenticazione. Nel 2023 un’altra vulnerabilità di GoAnywhere MFT è stata sfruttata su larga scala e diversi CERT nazionali hanno emesso avvisi, confermando l’alto rischio associato al software. L’OPENVAS ENTERPRISE FEED offre già un controllo della versione per individuare le istanze vulnerabili all’interno dell’infrastruttura. Gli utenti finali devono identificare le istanze esposte pubblicamente o distribuite localmente e applicare le patch disponibili con la massima urgenza.

Dr. Jan-Oliver Wagner

Dopo molti anni alla guida di Greenbone, il nostro cofondatore, il dottor Jan-Oliver Wagner, lascia la gestione operativa attiva. Rimarrà tuttavia strettamente legato all’azienda in qualità di consulente. Desideriamo ringraziare il dottor Wagner per il suo straordinario impegno e per tutto ciò che ha realizzato per Greenbone fin dalla sua fondazione.

 

 

Elmar Geese

Il nuovo CEO è Elmar Geese, che dal 2019 fa parte del team di gestione di Greenbone. Con questo cambiamento alla guida, ci concentriamo su continuità e stabilità per i nostri clienti, dipendenti e azionisti.

La CVE-2025-54236 (CVSS 9.1) è una vulnerabilità critica che consente l’acquisizione di account e, in determinate condizioni, l’esecuzione di codice remoto non autenticato (RCE). La falla CVE-2025-54236, ribattezzata “SessionReaper”, colpisce Adobe Commerce, Adobe Commerce B2B e Magento Open Source. All’origine del problema vi è una convalida impropria degli input [CWE-20] nell’API REST. L’advisory ufficiale di Adobe la classifica come un bypass delle funzionalità di sicurezza, ma non fornisce ulteriori dettagli tecnici.

Blog Banner

La catena di exploit che sfrutta CVE-2025-54236 parte da una deserializzazione nidificata [CWE-502] e porta alla creazione di una sessione malevola associata a un account cliente. I ricercatori di Sansec segnalano che l’esecuzione di codice remoto (RCE) è possibile quando l’archiviazione delle sessioni è basata su file, ma possono esistere anche altre catene d’attacco, ad esempio sfruttando Redis o la memorizzazione delle sessioni su database. La scoperta e la divulgazione responsabile di CVE-2025-54236 sono attribuite a Blaklis, che ha notificato il problema tramite la piattaforma HackerOne.

Al momento non esistono descrizioni tecniche complete, proof-of-concept o kit di exploit resi pubblici. ll CERT-FR, però, ha già pubblicato un avviso ufficiale sulla vulnerabilità. L’ di Greenbone dispone già di un test di vulnerabilità remoto per individuare i sistemi esposti e verificare lo stato delle patch.

Valutazione del rischio: CVE-2025-54236 “SessionReaper”

Magento Open Source (lanciato nel 2008) e la sua versione commerciale, Adobe Commerce, sono tra le piattaforme di e-commerce più diffuse: nel 2024 gestivano circa 200–250.000 shop attivi. Proprio questa ampia diffusione le rende obiettivi particolarmente appetibili per i cybercriminali.

Le vulnerabilità precedenti di Magento sono state sfruttate in attacchi di mass exploitation entro poche ore dalla loro divulgazione [1][2][3][4]. In questo caso, la patch di Adobe è stata accidentalmente  resa pubblica, offrendo così agli aggressori un vantaggio nello sviluppo di exploit. Se sfruttata, la vulnerabilità potrebbe permettere agli aggressori di installare malware [T1105] per mantenere un accesso persistente [TA0003]  all’infrastruttura della vittima. Ciò apre la porta a ulteriori attacchi, come il furto di dati delle carte di pagamento, usate per eseguire transazioni fraudolente [T1657], il furto di altre informazioni sensibili [TA0010], campagne di phishing [T1566] rivolte ai clienti del sito o implementazione di ransomware [T1486].

Mitigazione di CVE-2025-54236 (“SessionReaper”)

CVE-2025-54236 interessa diverse versioni di Adobe Commerce, Adobe Commerce B2B e Magento Open Source, compreso il modulo Custom Attributes Serializable su tutte le piattaforme e modalità di distribuzione [1]. Tuttavia, la knowledge base di Adobe presenta alcune incongruenze: da un lato indica che le versioni del modulo da 0.1.0 a 0.4.0 sono vulnerabili, dall’altro consiglia di aggiornare il modulo alla versione 0.4.0 o successiva.

Si raccomanda agli utenti di installare immediatamente l’hotfix fornito da Adobe o di aggiornare all’ultima versione disponibile, per proteggere le operazioni online e la sicurezza dei clienti. È inoltre consigliabile effettuare una valutazione approfondita per verificare eventuali compromissioni e, se presenti, rimuovere le infezioni. Adobe ha pubblicato anche una guida per gli sviluppatori per supportare l’adattamento alle modifiche necessarie nell’API REST delle applicazioni web. L’OPENVAS ENTERPRISE FEED di Greenbone include già un test di vulnerabilità remoto per identificare i sistemi esposti.

Conclusione

La CVE-2025-54236 rappresenta un rischio critico per gli utenti di Magento e Adobe Commerce. La vulnerabilità consente agli aggressori di acquisire account e di eseguire codice remoto non autenticato sull’infrastruttura della vittima. I difensori devono identificare subito i sistemi vulnerabili e installare le patch necessarie. Il Greenbone OPENVAS ENTERPRISE FEED permette di individuare le applicazioni web esposte e di verificare lo stato delle patch. Inoltre, i responsabili di sicurezza IT dovrebbero monitorare i sistemi per rilevare eventuali compromissioni e rimuovere le infezioni qualora vengano individuati indicatori di compromissi

A partire da agosto 2025 entreranno in vigore le prime disposizioni dell’EU AI Act. Per aziende e autorità pubbliche inizia una nuova fase, in cui l’uso dell’intelligenza artificiale dovrà avvenire con maggiore responsabilità. L’AI Act dell’UE non richiede solo adeguamenti tecnici, ma un nuovo approccio: in futuro l’IA dovrà essere valutata in base al rischio e al contesto d’uso, soprattutto con dati sensibili o personali.

Per le organizzazioni questo significa analizzare a fondo l’ecosistema dei propri sistemi di IA, individuare i rischi già in fase iniziale e affrontarli in modo mirato. Trasparenza dei dati, modelli comprensibili e supervisione umana non sono più un’opzione, ma un obbligo. Allo stesso tempo, l’AI Act fornisce un quadro utile per rafforzare la fiducia e garantire un uso sicuro e responsabile dell’intelligenza artificiale. Ne fanno parte anche la gestione delle vulnerabilità e la sicurezza informatica.

Intervista agli esperti: cybersecurity e intelligenza artificiale

Abbiamo intervistato Kim Nguyen, Senior Vice President Innovation della Bundesdruckerei (la tipografia statale tedesca responsabile di documenti ufficiali e servizi di sicurezza digitale). Con lui, storico volto dei Trusted Services, parliamo di IA, di regolamentazione e delle implicazioni per la sicurezza informatica. Anche Elmar Geese, CMO di Greenbone, parla della sua prospettiva sul futuro del vulnerability management.

Kim Nguyen, Senior Vice President für Innovation bei der Bundesdruckerei

Greenbone: Kim, il tema dell’IA e della sicurezza informatica è al centro del dibattito pubblico, come dimostra la recente conferenza di Potsdam sulla sicurezza informatica . E tu sei uno dei protagonisti di questa discussione.

Nguyen: Sì, l’intelligenza artificiale è decisamente un tema a cui tengo, come dimostrano le mie pubblicazioni e i miei keynote, anche se la mia prospettiva è un po’ diversa da quella della massa. Punto centrale del mio approccio è il tema della fiducia, che si declina in più dimensioni, una delle quali è la protezione degli utenti: il sistema deve essere sicuro, funzionare a loro vantaggio e non perseguire obiettivi nascosti.

Greenbone: Secondo te l’intelligenza artificiale renderà la sicurezza informatica più solid a come rischio sia come opportunità. Da un lato, amplifica i vettori di attacco, permettendo ai criminali informatici di operare in modo più rapido, automatizzato e mirato. Dall’altro, può rafforzare le difese, ad esempio analizzando in tempo reale dati provenienti da diverse fonti per individuare automaticamente gli incidenti di sicurezza e reagire tempestivamente.

Caccia al topo

Chi vuole restare al passo nella continua sfida tra attaccanti e difensori deve puntare sull’IA, soprattutto per la protezione. La regolamentazione statale è fondamentale, perché senza leggi e specifiche tecniche adeguate, nessuno può distinguere ciò che è permesso e affidabile da ciò che non lo è.

Inoltre, il legislatore deve intervenire attivamente in questo contesto tecnico in rapida evoluzione per garantire chiarezza normativa. Trovare il giusto equilibrio, lasciando allo stesso tempo spazio all’innovazione affinché l’intelligenza artificiale possa agire come vero motore di progresso, non è semplice, ma è di fondamentale importanza.

Greenbone: Secondo te, quali sono le domande e le normative più rilevanti dell’EU AI Act e dei regolamenti che le aziende devono affrontare? Cosa ci attende nei prossimi anni e come si prepara una grande istituzione come la Bundesdruckerei?

Nguyen: Con l’AI Act, le aziende devono classificare i loro sistemi di IA in base al rischio e rispettare diversi requisiti di trasparenza, qualità dei dati, governance e sicurezza, soprattutto per le applicazioni ad alto rischio.

Tuttavia, non si tratta solo di garantire la compliance: il quadro normativo può diventare una leva strategica per innovazione affidabile e competitività sostenibile. Non basta concentrarsi su un singolo modello di IA: Importantissimi sono anche l’integrazione, l’addestramento del modello e la formazione degli utenti. È necessario definire ampi limiti di sicurezza per far sì che il sistema non sia in grado di compiere operazioni non autorizzate.

Tracciabilità, robustezza e trasparenza: i pilastri dei processi consolidati

La Bundesdruckerei, in quanto azienda tecnologica del governo, opera da anni nel settore dell’alta sicurezza. Grazie a processi e strutture consolidati, mettiamo al primo posto tracciabilità, robustezza e trasparenza, garantendo così fiducia nelle soluzioni di intelligenza artificiale per l’amministrazione. Il nostro centro di competenza sull’intelligenza artificiale sostiene le agenzie federali e i ministeri nello sviluppo di applicazioni IA. Con il Ministero degli Affari Esteri abbiamo creato la piattaforma PLAIN, che offre un’infrastruttura comune per dati e applicazioni AI, mentre con Assistent.iQ abbiamo sviluppato un assistente AI conforme ai requisiti di sicurezza dei dati, di tracciabilità e flessibilità.

Greenbone: L’open source rappresenta un criterio minimo di fiducia per software, IT e cybersecurity. Ma è possibile applicarlo anche all’intelligenza artificiale? Se sì, in che misura?

Nguyen: L’open source è fondamentale anche per l’IA, perché crea fiducia grazie all’esame di codici e modelli. I risultati devono poter essere verificati con precisione, e per questo è essenziale una community attiva che si prenda cura del progetto in modo costante.

Spesso l’approccio open source di molti progetti è ambizioso e lodevole, ma alcuni di questi non sono mantenuti nel tempo o si interrompono del tutto. Per questo è importante fare attenzione: quando c’è l’IA di mezzo non tutte le open source sono uguali. Anche se gli sviluppatori pubblicano i loro modelli con licenza open source, questo non significa che l’IA sia realmente aperta e verificabile.

Da un lato, contano i valori numerici, i cosiddetti pesi del modello AI, che determinano come il sistema elabora gli input e prende decisioni. Dall’altro, sono fondamentali anche i dati di addestramento, spesso non condivisi con clienti e utenti. Solo con queste informazioni è possibile valutare davvero quanto un modello open source sia comprensibile, affidabile e riproducibile. Solo se tutte le informazioni sui diversi modelli sono disponibili liberamente, si possono sviluppare idee sostenibili e generare innovazioni.

Greenbone: Cosa manca per poter usare l’IA in modo sicuro? Cosa deve cambiare?

Nguyen: Per poter usare l’intelligenza artificiale in modo sicuro non basta l’eccellenza tecnica: serve anche una mentalità adeguata nello sviluppo, nella governance e nella responsabilità. In pratica, la sicurezza va considerata fin dall’inizio secondo il principio del “Security by Design”: gli sviluppatori devono valutare sistematicamente i possibili rischi e integrarli tempestivamente nella progettazione e nell’architettura del modello.

Ugualmente importante è la trasparenza oltre i confini dei sistemi di IA: i modelli linguistici sono affidabili solo in determinati contesti. Al di fuori di questi domini, possono produrre risultati plausibili ma potenzialmente errati. Per questo, gli sviluppatori dovrebbero indicare chiaramente dove il modello è affidabile e dove no.

Mindset, contesto e copyright

Inoltre, per evitare problemi di fiducia e conformità, non si possono trascurare i diritti d’autore sui dati di allenamento. Servono anche dati di test chiari, un’infrastruttura di valutazione adeguata e controlli continui su bias ed equità.

Un equilibrio tra regolamentazione legale, impegno tecnico e governance reattiva è la chiave per un’IA che tutela i valori democratici e garantisce responsabilità tecnologica.

Greenbone: Secondo lei, l’UE può avere un vantaggio competitivo in questo ambito?

Nguyen: Sì, l’UE ha un reale vantaggio nella competizione globale sull’IA, e questo si basa sulla fiducia. Altre regioni puntano soprattutto alla velocità e al dominio di mercato, spesso scaricando gran parte della responsabilità sui rischi sociali, come avvenuto recentemente negli Stati Uniti. Al contrario, con l’AI Act l’Europa propone un modello esemplare basato sulla sicurezza, sulla protezione dei dati e sullo sviluppo incentrato sull’uomo.

Proprio perché l’intelligenza artificiale sta penetrando sempre più in aree sensibili della vita, la protezione dei dati personali e l’affermazione dei valori democratici stanno diventando sempre più importanti. Con la sua struttura di governance, l’UE crea standard vincolanti che guidano molti paesi e aziende in tutto il mondo. Questo focus sui valori ripagherà a lungo termine l’Europa per l’esportazione di tecnologie e il rafforzamento della fiducia della società nella democrazia e nei sistemi digitali locali.

L’Europa guida lo sviluppo di un’IA in cui l’umano è il fulcro. La regolamentazione, però, non deve ostacolare l’innovazione: fiducia e sicurezza devono andare di pari passo con investimenti, apertura tecnologica e rapidità di implementazione. Così l’Europa può definire standard propri e costruire una solida identità competitiva nell’IA.

IA e gestione delle vulnerabilità: il punto di vista di Elmar Geese, CEO di Greenbone

Greenbone: l’intelligenza artificiale è sulla bocca di tutti, quali cambiamenti porta per la gestione delle vulnerabilità?

Geese: Penso che l’IA ci aiuterà molto, ma che non può sostituire la gestione delle vulnerabilità. Ad esempio, l’intelligenza artificiale può svolgere compiti di routine che richiedono molto tempo, come l’analisi di grandi quantità di dati, il riconoscimento di modelli e suggerimenti per la definizione delle priorità. Tuttavia, sono i responsabili della sicurezza a prendere sempre le decisioni finali e ad avere il pieno controllo, soprattutto in casi complessi o critici in cui la comprensione del contesto umano è indispensabile.

L’uso mirato e pianificato dell’IA nella gestione delle vulnerabilità porta numerosi vantaggi, senza compromettere il controllo. Già oggi impieghiamo l’intelligenza artificiale per fornire ai clienti un prodotto migliore, senza che i loro dati vengano condivisi con i grandi fornitori di servizi IA. La nostra “IA affidabile” funziona completamente senza trasmissione o raccolta centralizzata dei dati.

Greenbone: quali sono i principali rischi da tenere sotto controllo?

Geese: Al momento, l’uso dell’IA in aree critiche per la sicurezza comporta rischi che devono essere gestiti con attenzione. L’automazione offre grandi opportunità, ma può anche generare decisioni errate, nuove superfici di attacco o effetti indesiderati. Un’IA “percettiva” combina punti di forza umani e meccanici, sfruttando vantaggi come velocità e scalabilità senza togliere potere al personale specializzato né compromettere la sicurezza.

Greenbone e l’intelligenza artificiale

Greenbone utilizza l’IA in modo mirato per individuare efficacemente i punti deboli nel settore IT e supportare le priorità di sicurezza. Il team rimane sempre responsabile e mantiene il controllo, soprattutto nelle decisioni complesse o sensibili. La protezione dei dati resta la nostra massima priorità: i dati dei clienti non vengono condivisi con fornitori esterni di IA.

Il nostro approccio unisce i vantaggi delle tecnologie moderne al giudizio umano, garantendo una sicurezza informatica efficace e responsabile.

Desideri maggiori informazioni? Siamo a tua disposizione.

 

Il 27 agosto, oltre 20 agenzie di sicurezza internazionale hanno pubblicato un Cybersecurity Advisory dal titolo “Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System”.

 

Tra i firmatari figurano istituzioni di primo piano come:

  • L’NSA, United States National Security Agency
  • La CISA, United States Cybersecurity and Infrastructure Security Agency
  • L’FBI, United States Federal Bureau of Investigation
  • Il BND, Servizio federale di intelligence tedesco
  • Il BfV, Ufficio federale tedesco per la protezione della Costituzione
  • Il BSI, Ufficio federale tedesco per la sicurezza informatica

e molte altre autorità internazionali.

La situazione è decisamente complicata. Ma c’è una buona notizia: grazie ai prodotti OPENVAS, i clienti Greenbone possono rilevare tutte le vulnerabilità coinvolte in questo attacco.

  1. CVE-2024-21887: Ivanti Connect Secure e Ivanti Policy Secure – vulnerabilità di command injection via web component, spesso concatenata con CVE-2023-46805 (che permette il bypass dell’autenticazione).
  2. CVE-2024-3400: vulnerabilità di creazione arbitraria di file che porta a iniezione di comandi sul sistema operativo. Il CVE consente l’esecuzione di codice remoto (RCE) non autenticata sui firewall quando GlobalProtect è abilitato in versioni/configurazioni specifiche.
  3. CVE-2023-20273: Cisco IOS XE (interfaccia web di gestione) – command injection post-autenticazione con escalation di privilegi [T1068], spesso concatenata con CVE-2023-20198 per accesso iniziale per ottenere l’esecuzione del codice come root.
  4. CVE-2023-20198: Cisco IOS XE – bypass dell’autenticazione tramite interfaccia web.
  5. CVE-2018-0171 : Cisco IOS / IOS XE – esecuzione di codice remoto.

Raccomandiamo ai nostri clienti di eseguire immediatamente una scansione completa dei propri sistemi e di installare le patch.

Il nostro Threat Report di luglio 2025 offre una panoramica approfondita delle principali minacce informatiche emerse lo scorso mese. Gli attacchi contro Microsoft SharePoint, noti come “ToolShell” hanno fatto notizia: per ulteriori dettagli e approfondimenti, consulta il nostro rapporto su ToolShell. Nel solo mese di luglio, sono stati pubblicati più di 4.000 nuove CVE, di cui quasi 500 classificate come “critiche”, con un CVSS superiore a 9.0. Gestire un volume di rischi così elevato rappresenta una vera e propria guerra di logoramento per chi si occupa di difesa informatica. Per rispondere a queste nuove sfide, Greenbone ha rilasciato quasi 5.000 nuovi test di rilevamento: strumenti fondamentali che aiutano le aziende a individuare facilmente le vulnerabilità note nei loro ambienti, verificare i livelli di patch e impedire agli attaccanti di passare all’azione.

Blog Banner Threat - report July 2025

Cisco ISE: falle critiche consentono RCE non autenticato con privilegi root

Cisco ha confermato che le versioni 3.3 e 3.4 di Cisco Identity Services Engine (ISE) e Cisco ISE-PIC (Passive Identity Connector) sono già oggetto di sfruttamento attivo. Le CVE di gravità più elevata sono: CVE-2025-20281, CVE-2025-20337 e CVE-2025-20282; tutti con un punteggio CVSS 10. Le vulnerabilità CVE-2025-20281 e CVE-2025-20337 sono state inserite nel catalogo KEV di CISA (Known Exploited Vulnerabilities). Ognuna di queste  falle può essere sfruttato per compromettere i dispositivi tramite richieste API opportunamente costruite, ottenendo privilegi di root sul sistema. Sono stati pubblicati avvisi da diverse agenzie nazionali, tra cui EU-CERT, CSA Singapore, NHS UK e NCSC Ireland. Cisco raccomanda di applicare immediatamente le patch risolutive; non sono disponibili soluzioni alternative. I test di rilevamento per queste versioni sono integrati nell’OPENVAS ENTERPRISE FEED [1][2][3].

A inizio luglio, una vulnerabilità critica ha colpito anche Cisco Unified Communications Manager.  CVE-2025-20309 con un CVSS pari a 10, permette l’accesso remoto all’account root sfruttando credenziali SSH statiche. A segnalarlo è stato il CERT.be belga, NSSC Ireland e il problema è stato approfondito anche nella Week in Review di AUSCERT.

I server CrushFTP e WingFTP sotto attacco attivo

Sono state pubblicate vulnerabilità ad alta gravità che coinvolgono sia CrushFTP che  WingFTP , prontamente inserite nel catalogo CISA KEV, con avvisi di sicurezza diffusi da diversi CERT a livello globale [1][2][3]. I server FTP sono spesso esposti su Internet, ma anche quelli di rete locale possono offrire agli hacker un’opportunità di persistenza e movimento laterale [4]. Va inoltre sottolineato che questi server archiviano frequentemente dati sensibili, aumentando notevolmente il rischio di furto, ricatto o perdita di informazioni critiche.

  • CVE-2025-54309 (CVSS 9.8, EPSS ≥ 91° percentile): se la funzione proxy DMZ non è in uso, CrushFTP è vulnerabile a un accesso non autorizzato tramite un canale alternativo non protetto [CWE-420] a causa di una gestione errata della convalida AS2. Questo permette l’accesso remoto al ruolo di amministratore HTTPS. L’OPENVAS ENTERPRISE FEED include un test di rilevamento banner remoto per identificare le istanze vulnerabili. Gli utenti devono eseguire l’aggiornamento a CrushFTP 10.8.5_12 (o successivo) o 11.3.4_23 (o successivo).
  • CVE-2025-47812 (CVSS 10, EPSS ≥ 99° percentile): caratteri null-byte non sanificati nell’interfaccia web di WingFTP, presenti nelle versioni precedenti alla 7.4.4 consentono l’esecuzione remota di codice Lua arbitrario con i privilegi del servizio FTP (root o SYSTEM di default). Greenbone offre un controllo attivo e un test di rilevamento versione per identificare istanze vulnerabili. Si raccomanda vivamente di aggiornare alla versione 7.4.4 o successive.

Vulnerabilità critica in Node.js: patch bypassata, accesso arbitrario ai file

Il CVE-2025-27210 (CVSS 7.5) rappresenta un bypass della vulnerabilità CVE-2025-23084 (CVSS 5.6) corretta in precedenza sulle piattaforme Windows Node.js e pubblicata a gennaio 2025. Si stima che il 4.8% dei server web a livello globale utilizzi Node.js, che alimenta anche numerose applicazioni sia on-premise che cloud-native. Sono stati emessi avvisi di alto rischio da parte di diversi CERT nazionali[1][2]. È stato pubblicato almeno un proof-of-concept (PoC)[3]. Sia l’OPENVAS ENTERPRISE FEED che il COMMUNITY FEED includono un test per il rilevamento della versione vulnerabile.

La falla, classificata come vulnerabilità di tipo path traversal [CWE-22], è causato dal fatto che le funzioni integrate path.join() e path.normalize() di Node.js non filtrano correttamente i nomi dei dispositivi di Windows come CON, PRN e AUX, riservati a dispositivi di sistema speciali [4]. Questa falla può essere sfruttata da remoto per aggirare le protezioni sui percorsi qualora l’input utente venga passato a queste funzioni. Sono interessate dalla vulnerabilità le versioni di Node.js 20.x precedenti alla 20.19.4, 22.x precedenti alla 22.17.1 e 24.x precedenti alla 24.4.1.

CVE-2025-37099: compromissione remota completa in HPE Insight Remote Support

Le nuove vulnerabilità in HPE Insight Remote Support rappresentano un rischio estremo di compromissione completa del sistema all’interno dell’infrastruttura aziendale. IRS viene utilizzato nelle reti aziendali locali per automatizzare i controlli sullo stato dell’hardware, il monitoraggio dell’infrastruttura e la generazione automatica di ticket di supporto.

CVE-2025-37099 (CVSS 9.8)  permette l’esecuzione remota di codice non autenticato (RCE) con privilegi di SISTEMA, a causa di una convalida errata dell’input [CWE-20] nella funzione processAttachmentDataStream. Ciò consente l’esecuzione di payload dannosi come codice arbitrario [CWE‑94][1]. Ciò consente agli aggressori di eseguire malware su tutti i sistemi gestiti. Sebbene non sia esplicitamente documentato, l’accesso a livello di sistema potrebbe anche consentire agli aggressori di manipolare o eliminare i registri di monitoraggio per nascondere l’attività. Poiché il servizio interessato comunica spesso con dispositivi come server e controller iLO, compromettere il mio pivoting laterale all’interno di una rete [2].

Gli utenti devono aggiornare immediatamente alla versione 7.15.0.646 o successive. La divulgazione coordinata ha incluso anche due vulnerabilità aggiuntive: CVE-2025-37098 e CVE-2025-37097, entrambe con un punteggio CVSS 7.5. L’OPENVAS ENTERPRISE FEED include un test specifico di rilevamento della versione che permette di identificare rapidamente le istanze vulnerabili e verificare che il livello di patch sia adeguato ai requisiti di conformità.

Patch essenziali per i CVE Dell con punteggi EPSS elevati

Sono state rilasciate patch cumulative per un’ampia gamma di prodotti Dell Technologies, al fine di correggere diverse vulnerabilità dei componenti. Il Canadian Cyber CSE ha pubblicato tre avvisi nel mese di luglio per segnalare questi aggiornamenti[1][2][3]. Tra i CVE più rilevanti di questa ondata di aggiornamenti, diversi possono essere rilevati tramite l’OPENVAS ENTERPRISE FEED [1][2][3][4][5]:

  • CVE-2024-53677 (CVSS 9.8, EPSS 99° percentile): Dell Avamar Data Store e Avamar Virtual Edition hanno ricevuto aggiornamenti per coreggere una vulnerabilità in Apache Struts. Non sono disponibili mitigazioni o soluzioni alternative. Consultare l’advisory del fornitore per l’elenco completo dei prodotti coinvolti.
  • CVE-2025-24813 (CVSS 9.8, EPSS 99° percentile): le versioni di Dell Secure Connect Gateway precedenti alla 5.30.0.14 sono esposti a una vulnerabilità critica di Apache Tomcat e altri CVE critici. Dell ha segnalato questo aggiornamento come essenziale.
  • CVE-2004-0597 (CVSS 10, EPSS 99° percentile): Dell Networker è interessato da vulnerabilità critiche di overflow del buffer nella libreria libpng, che permettono a un aggressore remoto di eseguire codice arbitrario tramite immagini PNG malformate, oltre ad altre vulnerabilità. Per ulteriori dettagli si rimanda agli avvisi del fornitore [1][2][3][4].
  • CVE-2016-2842 (CVSS 9.8, EPSS ≥ 98° percentile): Dell Data Protection Advisor presenta vulnerabilità in diversi componenti, tra cui CVE-2016-2842 in OpenSSL, che non verifica correttamente l’allocazione della memoria, consentendo potenziali attacchi DoS o RCE. Per maggiori dettagli, consultare l’advisory del fornitore.
  • CVE-2025-30477 (CVSS 4.4): Dell PowerScale utilizza un algoritmo crittografico rischioso, che potrebbe portare alla divulgazione di informazioni. Nel giugno 2025, PowerScale ha corretto i difetti di gravità elevata. Consultare le avvertenze del fornitore per ulteriori informazioni [1][2].

Rassegna delle vulnerabilità D-Link per il 2025

L’OPENVAS ENTERPRISE FEED e il COMMUNITY FEED includono attualmente 27 test di vulnerabilità che coprono la maggior parte dei CVE che interessano i prodotti D-Link pubblicati finora nel 2025. Data l’importanza della sicurezza periferica della rete, gli utenti dovrebbero prestare particolare attenzione alle vulnerabilità nei router e in altri dispositivi gateway. Dopo l’accordo di un’azione normativa statunitense che coinvolge D‑Link e la Federal Trade Commission, nel 2019 D‑Link ha accettato di attuare un programma di sicurezza completo. Tuttavia, è lecito chiedersi se misure simili dovrebbero essere applicate più ampiamente. Ad esempio, i prodotti Ivanti hanno registrato negli ultimi anni numerosi difetti di alta gravità [1][2][3][4][5], molti dei quali sono stati sfruttati in attacchi ransomware.

Adobe rilascia patch per difetti critici in ColdFusion

Gli aggiornamenti di sicurezza per ColdFusion 2025, 2023 e 2021 risolvono 13 nuove vulnerabilità (CVE), tra cui figurano (XXE) (CVE-2025-49535, CVSS 9.3), credenziali hard-coded (CVE-2025-49551, CVSS 8.8) e vulnerabilità di command injection del sistema operativo, XML injection e Server-Side Request Forgery (SSRF). Nel 2023, la vulnerabilità CVE‑2023‑26360 (CVSS 9.8) è stata sfruttata da gruppi di minaccia per ottenere accesso iniziale alle agenzie civili federali degli Stati Uniti.

L’OPENVAS ENTERPRISE FEED include un controllo remoto di versione che consente di identificare le istanze di ColdFusion prive di patch. Si raccomanda di applicare immediatamente le patch disponibili: Update 3 (ColdFusion 2025), Update 15 (versione 2023) e Update 21 (versione 2021).

Splunk Enterprise aggiorna componenti con vulnerabilità di gravità elevata

Aggiornamenti cumulativi per Splunk Enterprise includono patch per diversi componenti di terze parti come golang, postgres, aws-sdk-java, idna e altri. Alcuni di questi difetti sono classificati come critici, tra cui CVE-2024-45337 (con un punteggio CVSS 9.1) e un percentile EPSS ≥ 97%, indicativo di un’alta probabilità di exploit attivo. Sia il CERT-FR che il Canadian Cyber CSE hanno pubblicato avvisi relativi agli aggiornamenti di luglio di Splunk. Gli utenti possono verificare lo stato delle patch tramite un controllo di versione disponibile in OPENVAS ENTERPRISE FEED, che include anche test di vulnerabilità per precedenti avvisi e CVE legati a Splunk.

Oracle rilascia patch per vulnerabilità ad alta gravità in VirtualBox

Diversi CVE pubblicati a metà luglio 2025 riguardano Oracle VM VirtualBox 7.1.10 e permettono a un utente locale con privilegi elevati, che abbia accesso all’infrastruttura host o all’ambiente di esecuzione della VM guest, di compromettere VirtualBox. Queste vulnerabilità possono consentire un aumento dei privilegi o il pieno controllo del componente principale dell’hypervisor. Il CVE‑2025‑53024 (CVSS 8.2) è un bug di overflow di numeri interi nel dispositivo virtuale VMSVGA causato da una convalida insufficiente dei dati forniti dall’utente. Questa falla può portare al danneggiamento della memoria e alla compromissione completa dell’hypervisor[1]. L’OPENVAS ENTERPRISE FEED e il COMMUNITY FEED includono test di rilevamento delle versioni Windows, Linux e macOS.

SonicWall SMA100: RCE post-autenticazione

Il CVE-2025-40599 (CVSS 9.1) nelle appliance SonicWall serie SMA 100 consente a un utente remoto autenticato con privilegi amministrativi di eseguire codice arbitrario e ottenere accesso persistente tramite caricamento di file arbitrario. Il rischio associato a questa vulnerabilità aumenta in presenza di credenziali deboli o rubate. Il difetto interessa i modelli SMA 210, 410, 500v con versioni 10.2.1.15-81sv e precedenti. Secondo l’advisory del fornitore, non esistono soluzioni alternative efficaci. L’OPENVAS ENTERPRISE FEED include un controllo remoto di versione per identificare i dispositivi colpiti.

Nuovi CVE MySQL consentono attacchi DoS autenticati

Tra le numerose vulnerabilità che permettono l’esecuzione remota di codice non autorizzata (RCE) è facile trascurare quelle che causano semplicemente Denial of Service (DoS). A luglio, Oracle ha rilasciato una serie di patch per vulnerabilità DoS che interessano MySQL 8 e MySQL 9 [1]. Sebbene queste falle richiedano accesso privilegiato per essere sfruttate, i Managed Service Provider (MSP) offrono hosting MySQL condiviso a piccole e medie imprese (PMI), enti governativi o organizzazioni non profit, che preferiscono evitare il sovraccarico della gestione diretta della propria infrastruttura di database. In questo contesto, i tenant accedono a database separati all’interno della medesima istanza del server MySQL. Un’istanza non aggiornata potrebbe permettere a un utente malintenzionato di compromettere altre organizzazioni presenti sulla stessa piattaforma. Questi difetti evidenziano anche l’importanza di utilizzare password complesse e di adottare misure per mitigare il rischio di attacchi di brute-force e di password spraying.

I test di rilevamento remoto delle versioni sono disponibili per tutti i CVE indicati di seguito. Questi test sono inclusi sia nell’OPENVAS ENTERPRISE FEED e COMMUNITY FEED e coprono le installazioni di MySQL su Linux e su Windows.

ID CVE Versione interessate Impatto Vettore d’accesso Status della patch

CVE-2025-50078

(CVSS 6.5)

8.0.0–8.0.42, 8.4.0–8.4.5, 9.0.0–9.3.0 DoS (hang/crash) Remote authenticated access Patch disponibile (luglio 2025)

CVE-2025-50082

(CVSS 6.5)

8.0.0–8.0.42, 8.4.0–8.4.5, 9.0.0–9.3.0 DoS (crash) Remote authenticated access Patch disponibile (luglio 2025)

CVE-2025-50083

(CVSS 6.5)

8.0.0–8.0.42, 8.4.0–8.4.5, 9.0.0–9.3.0 DoS (crash) Remote authenticated access Patch disponibile (luglio 2025)

La CVE-2025-8088 (CVSS 8.4) è una vulnerabilità critica di path traversal [CWE-35] che interessa la versione 7.12 e precedenti di WinRAR nonché relativi componenti come UnRAR.dll. Questa falla di sicurezza consente ad aggressori non autorizzati di copiare file dannosi in cartelle di sistema sensibili, ad esempio la cartella di avvio di Windows, dove i file possono essere eseguiti automaticamente. Secondo ESET Research, lo sfruttamento diretto della vulnerabilità WinRAR CVE-2025-8088 ha avuto inizio il 18 luglio 2025 e i primi attacchi sono stati attribuiti al gruppo APT russo RomCom. Da allora, diversi report di intelligence hanno segnalato che sul dark web un exploit funzionante della vulnerabilità è stato offerto in vendita a un prezzo di 80.000 $.

RARLAB ha reso disponibili sia le note di release che le versioni patchate di WinRAR e del relativo codice sorgente e raccomanda agli utenti di aggiornare immediatamente all’ultima versione. La CVE-2025-8088 riguarda solo le versioni Windows. Grazie all’ENTERPRISE FEED di Greenbone, OPENVAS SECURITY INTELLIGENCE può aiutare il tuo team di sicurezza nell’individuare le versioni vulnerabili di WinRAR all’interno della rete aziendale. Nel nostro threat report di maggio 2025 abbiamo segnalato che gruppi di attacco sponsorizzati dallo Stato russo stanno sfruttando un’altra vulnerabilità di WinRAR, la CVE-2023-38831 (CVSS 7.8) mediante campagne ransomware mirate. Oggi analizziamo l’offensiva più recente nei confronti di WinRAR.

Un riepilogo delle tattiche e tecniche di RomCom

RomCom (noto anche come Storm-0978, Tropical Scorpius e UNC2596) è un gruppo di minaccia legato alla Russia, conosciuto per aver sviluppato un proprio malware, il RomCom RAT al fine di condurre attacchi ransomware altamente sofisticati, motivati da obiettivi finanziari, oltre a campagne di spionaggio [1][2][3][4]. Le loro operazioni sfruttano molteplici vettori di attacco, tra cui spear phishing, installatori di software trojan e lo sfruttamento di vulnerabilità ad alto impatto, quali CVE-2023-36884 (CVSS 7.5) in Microsoft Word, CVE-2024-9680 (CVSS 9.8) in Firefox, CVE-2024-49039 (CVSS 8.8) in Windows Task Scheduler e molte altre. Secondo ESET, le recenti campagne di spear phishing di RomCom allegano alle e-mail archivi RAR compromessi e prendono di mira aziende dei settori finanziario, manifatturiero, della difesa e della logistica, in particolare in Europa e in Canada.

Comprendere la catena di attacco di CVE-2025-8088

Le campagne che sfruttano la CVE-2025-8088 adottano un procedimento di attacco a più fasi, utilizzando archivi RAR infetti per introdurre ed eseguire malware sui sistemi delle vittime. Di seguito, una panoramica delle fasi individuate da ESET Research:

  • Consegna via spear phishing: le vittime ricevono e-mail fraudolente contenenti archivi RAR appositamente creati [T1204.002], progettati per sfruttare la CVE-2025-8088 una volta estratti. A un primo sguardo, l’archivio sembra contenere solo uno o due file, ma in realtà include flussi di dati alternativi (Alternate Data Streams – ADS) con contenuti malevoli. Nel file system NTFS, gli ADS consentono di memorizzare dati aggiuntivi in un flusso separato collegato a un file, senza che questi compaiano nei normali elenchi di directory.
  • Exploit di path traversal: i payload nascosti negli ADS utilizzano sequenze di caratteri ..\ per il path traversal durante l’estrazione, così da installare file DLL o EXE malevoli in directory sensibili come %TEMP%, %LOCALAPPDATA% e la cartella di avvio di Windows.
  • Distribuzione del payload: dopo che il payload è stato estratto in directory sensibili, un file di collegamento .lnk viene copiato nella cartella di avvio di Windows per garantire la persistenza [T1547]. Sebbene di default WinRAR non disponga di privilegi elevati, la cartella di avvio di Windows è scrivibile dall’utente e consente l’esecuzione automatica del payload malevolo al successivo login.
  • Azioni sugli obiettivi: dopo lo sfruttamento iniziale, sono stati osservati diversi payload malevoli per il comando e controllo (C2), tra cui:
    • Uso di COM hijacking [T1546.015] per eseguire una DLL dannosa (Mythic Agent) indirizzata ai domini Active Directory (AD).
    • Uso di un eseguibile PuTTY CAC trojanizzato (SnipBot), che esegue controlli anti-sandbox [T1497] prima di scaricare payload aggiuntivi [T1105]. PuTTY CAC è una versione modificata del popolare client SSH/Telnet PuTTY, con supporto per autenticazione tramite smart card e certificati.
    • Uso di un downloader scritto in Rust (RustyClaw) utilizzato per distribuire il loader MeltingClaw, impiegato per importare ulteriori malware [T1105].

Mitigazione del rischio CVE-2025-8088

Gli utenti WinRAR di Windows devono aggiornare alla versione WinRAR 7.13 Final, rilasciata il 30 luglio 2025. L’aggiornamento corregge l’applicazione desktop WinRAR, il codice sorgente portatile UnRAR e i componenti UnRAR.dll. Le aziende dovrebbero anche aggiornare qualsiasi software che dipende da UnRAR.dll alla versione 7.13 Final. In ambienti complessi, è necessario eseguire scansioni approfondite delle vulnerabilità per garantire che tutte le istanze interessate siano aggiornate e verificare lo stato delle patch anche dopo la loro installazione.

Ulteriori misure di sicurezza:

  • Utilizzare software antivirus aggiornati per analizzare i file in arrivo e rilevare eventuali malware
  • Applicare autorizzazioni di directory restrittive per impedire l’estrazione di archivi in cartelle sensibili
  • Sensibilizzare gli utenti ed educare il personale a riconoscere e gestire gli attacchi di spear phishing.
  • Implementare sistemi di scansione per indicatori di compromissione (IoC) per individuare possibili violazioni
  • Configurare soluzioni EDR per ricevere notifiche in caso di modifiche sospette alla cartella di avvio di Windows

Conclusione

Il gruppo APT RomCom sfrutta attivamente la vulnerabilità di path traversal di WinRAR CVE-2025-8088 (CVSS 8.4). Gli attacchi vengono sferrato tramite e-mail di spear phishing contenenti archivi RAR dannosi, progettati per distribuire malware direttamente sul computer della vittima. La versione aggiornata, WinRAR 7.13 Final, presenta patch urgenti per tutti i componenti Windows interessati, tra cui l’applicazione desktop, il codice sorgente UnRAR portatile e UnRAR.dll. Si raccomanda agli utenti di installarla immediatamente. Grazie a OPENVAS SECURITY INTELLIGENCE, i team di sicurezza possono utilizzare i test di rilevamento inclusi nell’ENTERPRISE FEED per scansionare l’infrastruttura, individuare le installazioni di WinRAR vulnerabili e applicare le patch necessarie.

Gli ultimi anni hanno visto il settore finanziario globale attraversare una vera tempesta di incidenti informatici, minando la fiducia nei sistemi bancari nei servizi digitali. In questa guerra informatica, le grandi società non sono l’unico bersaglio: anche i cittadini sono esposti direttamente, perché la sicurezza dei dati personali e l’integrità delle transazioni finanziarie sono sempre più a rischio.

Fra le violazioni più significative che hanno colpito entità finanziarie nell’UE e nel mondo ricordiamo:

  • Equifax (2017): violazione attraverso una vulnerabilità priva di patch in Apache Struts, che ha portato al furto di numeri di previdenza sociale, date di nascita, indirizzi e patenti di guida di 147 milioni di persone.
  • UniCredit (2018): la seconda banca italiana ha divulgato involontariamente le informazioni di identificazione personale (PII) di 778.000 clienti. Nel 2024 il Garante per la privacy italiano ha emesso una sanzione di 2,8 milioni di euro a seguito della violazione.
  • Capital One (2019): è stato utilizzato per attaccare Capital One e rubare le informazioni di identificazione personale di 106 milioni di persone.
  • Finastra (2023): l’azienda fintech con sede nel Regno Unito, partner di banche globali, è stata bersaglio di un attacco attraverso il suo sistema di trasferimento sicuro dei file, con conseguente furto di oltre 400GB di dati finanziari sensibili dai principali clienti bancari.
  • UBS and Pictet (2025): un attacco informatico di terze parti su Chain IQ ha esposto i dati PII di oltre 130.000 dipendenti, comprese le informazioni di contatto di alti dirigenti.
  • Bybit (2025): hacker nordcoreani hanno sottratto Ethereum per un valore di 1,5 miliari di dollari dal cold wallet di Bybit, segnando il più grande hack mai visto su un exchange di criptovalute.

Questi incidenti evidenziano l’importanza strategica di proteggere anche i fornitori di tecnologia finanziaria. Gli attacchi informatici contro il settore bancario includono attività come bonifici fraudolenti, hacking di bancomat, malware per dispositivi POS e furti di dati sensibili. Il furto di informazioni di identificazione personale (PII) come nomi, numeri di previdenza sociale, indirizzi e dati finanziari, può avere conseguenze ancora più gravi del semplice furto di denaro. Una volta rubati, questi dati vengono infatti venduti nei mercati darknet e utilizzati per furti d’identità, apertura di conti bancari e linee di credito fraudolente, oltre che per campagne di ingegneria sociale. La diffusione di queste informazioni ha un peso geopolitico significativo, poiché nazioni ostili e soggetti di intelligence con ambiguità giuridiche li raccolgono per attività di sorveglianza, intimidazione o peggio.

Di fronte alle crescenti minacce informatiche, l’UE ha introdotto il Digital Operational Resilience Act, (DORA), un pilastro normativo pensato per rafforzare la resilienza digitale del settore finanziario. Questo atto legislativo stabilisce regole chiare e uniformi, garantendo maggiore sicurezza, continuità operativa e fiducia sia per i consumatori che per le imprese.

In che modo OpenVAS Security Intelligence di Greenbone supporta la conformità al DORA:

  • Il vulnerability management è una delle attività cardine della sicurezza informatica e rappresenta un vantaggio concreto per la resilienza operativa. OPENVAS SCAN di Greenbone è uno scanner di vulnerabilità leader di settore, con esperienza comprovata sul campo.
  • Il nostro OPENVAS ENTERPRISE FEED offre una copertura senza paragoni per il rilevamento delle CVE e di altre vulnerabilità su reti ed endpoint.
  • OpenVAS SCAN identifica i protocolli di crittografia utilizzati dai servizi di rete, assicurando che i dati in transito rispettino le migliori pratiche di sicurezza dei dati.
  • Le nostre scansioni attestano configurazioni di sicurezza rafforzate su un’ampia gamma di sistemi operativi e applicazioni. con benchmark CIS certificati per Apache HTTPD, Microsoft IIS, NGINX, MongoDB, Oracle, PostgreSQL, Google Chrome, Windows 11 Enterprise, Linux, e molti altri [1][2].
  • Tutti i componenti OPENVAS SECURITY INTELLIGENCE sono progettati per garantire l’assoluta sovranità dei dati e per assicurare che non lascino mai i confini della tua azienda.
  • La nostra principale linea di prodotti è open source, è stata testata nel tempo ed è aperta a revisioni sia da parte dei clienti che i membri della community. Questa trasparenza facilita l’audit anche da parte di fornitori di servizi ICT di terze parti.
  • OPENVAS REPORT di Greenbone è pensato per semplificare la raccolta di prove e la conservazione dei dati necessari per la rendicontazione della conformità.
  • In quanto azienda, Greenbone è certificata ISO/IEC 27001:2022 e ISO 9001:2015, a garanzia dell’adozione dei più elevati standard di sicurezza delle informazioni e di gestione della qualità. Inoltre, la certificazione ISO:14001 per i sistemi di gestione ambientale testimonia il nostro impegno costante verso la sostenibilità e ciò che conta davvero.

Il regolamento DORA (Digital Operation Resilience Act) dell’UE

Il Digital Operational Resilience Act (DORA) è un regolamento dell’Unione Europea pubblicato nella Gazzetta Ufficiale il 16 gennaio 2023 ed entrato in vigore il 17 gennaio 2025. Parte integrante della  , DORA mira a uniformare la governance della sicurezza informatica e i requisiti di gestione del rischio, rafforzando la resilienza operativa delle organizzazioni finanziarie nell’UE. Il regolamento si applica a 20 categorie di entità finanziarie, tra cui banche, compagnie assicurative, società di investimento e fornitori terzi di servizi ICT (Information and Communication Technology).

Le entità finanziarie europee non sono soggette alla direttiva NIS 2 in quanto Entità Essenziali (EE)?

Sì, tuttavia, ai sensi dell’articolo 4 della direttiva NIS 2, le società di servizi finanziari coperte da DORA come banche, società di investimento, istituzioni assicurative e infrastrutture di mercato finanziario, devono soddisfare pienamente i requisiti di DORA per la gestione del rischio di sicurezza informatica e la segnalazione degli incidenti. Inoltre, qualsiasi altro mandato UE specifico di settore relativo alla gestione del rischio o alla segnalazione degli incidenti ha la precedenza sulle disposizioni corrispondenti della NIS 2.

Chi sono le Autorità di Vigilanza europee (ESA)?

Le Autorità di Vigilanza europee (ESAs) sono tre organismi indipendenti che hanno il compito di emettere Norme Tecniche di Regolamentazione (RTS) e che forniscono linee guida interpretative e assicurano la corretta applicazione di DORA. Le entità ESA sono:

  • L’Autorità Bancaria Europea (EBA) [1]
  • L’Autorità europea delle assicurazioni e delle pensioni aziendali o professionali (EIOPA) [2]
  • Autorità europea degli strumenti finanziari e dei mercati (ESMA)[3]

Cosa sono le Norme Tecniche di Regolamentazione (RTS)?

Come indica il nome, le RTS (Regulatory Technical Standards) stabiliscono gli standard tecnici che le entità soggette a DORA devono rispettare. I documenti RTS forniscono linee guida operative dettagliate per garantire un’applicazione coerente e uniforme di DORA in tutto il settore finanziario dell’UE.[4].

Le versioni finali delle Norme Techniche di Regolamentazione sono:

  • il Quadro di gestione del rischio ICT e il Quadro semplificato di gestione del rischio ICT[5].
  • Criteri per la classificazione degli incidenti correlati alI’ICT [6]
  • Politica sui servizi ICT a supporto di funzioni critiche o importanti fornite da fornitori terzi (TPP) [7]

Cosa sono le Norme Tecniche di Attuazione (ITS)?

Le ITS (Implementing Technical Standards) sono regole operative dettagliate che definiscono come le entità finanziarie devono adempiere agli obblighi previsti da DORA. Traducendo le disposizioni generali del regolamento in procedure chiare e misurabili, le ITS stabiliscono standard precisi in materia di: segnalazione degli incidenti, monitoraggio delle relazioni e valutazioni dei fornitori ICT di terze parti (TPP), Threat-Led Penetration Testing (TLPT) e condivisione delle informazioni sulle minacce informatiche.

  • Questa la stesura finale ITS dei template per il registro delle informazioni [8]

La portata dell’impatto di DORA sulla sicurezza IT

DORA introduce requisiti stringenti che incidono direttamente sui principali pilastri della sicurezza informatica:

  1. Gestione del rischio: le entità finanziarie devono adottare quadri solidi di gestione del rischio informatico (Risk Management Framework – RMF) per ridurre al minimo i rischi operativi.
  2. Segnalazione degli incidenti: gli incidenti di sicurezza informatica più gravi devono essere notificati alle autorità nazionali entro 24 ore seguendo un formato standardizzato. Per le entità di piccole dimensioni, non interconnesse o esenti, gli obblighi di segnalazione sono ridotti.
  3. Rischio di terze parti: supervisione più rigorosa e responsabilità chiare nella gestione dei rapporti con i fornitori di servizi ICT di terze parti.
  4. Test di sicurezza: valutazioni periodiche della sicurezza dei sistemi digitali per individuare e correggere vulnerabilità, migliorando la resilienza contro le minacce.
  5. Condivisione delle informazioni: maggiore scambio di informazioni tra istituti finanziari e autorità competenti. Le entità sono incoraggiate a segnalare minacce emergenti se possono essere rilevanti per altri operatori del settore.

Conclusione

Attacchi informatici di alto profilo hanno evidenziato le fragilità digitali del settore finanziario, spingendo l’Unione Europea a emanare e, dal 17 gennaio 2025, ad applicare il Digital Operational Resilience Act (DORA). In quanto partner affidabile, Greenbone supporta la conformità DORA delle entità soggette, grazie a una suite collaudata di soluzioni per la gestione delle vulnerabilità aziendali e strumenti avanzati per la rendicontazione della compliance. Le nostre tecnologie garantiscono sovranità dei dati, resilienza operativa e report di valutazione della sicurezza complet

La vera mitigazione del rischio informatico non si riduce a soddisfare requisiti formali di conformità: richiede un approccio proattivo. I difensori devono individuare e affrontare i rischi emergenti il prima possibile, rafforzando così la resilienza operativa. Con Greenbone, le entità finanziarie europee possono individuare fin da subito le vulnerabilità, permettendo ai responsabili IT di intervenire e mitigarle prima che possano essere sfruttate per attacchi informatici.