Quest’anno, in Italia, la sicurezza informatica è passata dall’essere un tema da consiglio di amministrazione a una realtà che finisce in prima pagina. Alle conferenze, ai summit e durante i dibattiti di settore è emerso sempre lo stesso messaggio: le aziende si trovano nel mirino di attacchi informatici sempre più sofisticati. Ma si nota un cambiamento in positivo: un nuovo slancio fatto di innovazione e collaborazione che riconosce la portata del problema e lo affronta in modo deciso.

Dai rischi astratti alle soluzioni concrete

L’anno è iniziato con una ventata di novità all’ITASEC di febbraio. Invece delle solite presentazioni cupe e focalizzate solo sulle vulnerabilità teoriche, questa volta i riflettori si sono spostati sulle soluzioni concrete. Le organizzazioni hanno portato esempi pratici e strategie reali per tradurre i requisiti di conformità, come NIS2, nella gestione quotidiana delle minacce informatiche.

Le sessioni dedicate a OPENVAS e alle soluzioni Enterprise hanno evidenziato una nuova tendenza: le aziende stanno abbandonando le vecchie tabelle con liste interminabili di vulnerabilità per puntare su analisi realmente attuabili. Il messaggio è chiaro: oggi non basta più rimanere aggiornati, servono indicazioni concrete e operative sui prossimi passi da intraprendere.

Ma dietro l’ottimismo è emersa una realtà scomoda: l’Italia resta tra i Paesi più colpiti d’Europa. Durante gli incontri non sono mancate anche le domande difficili: perché le nostre difese faticano ancora a tenere il passo delle minacce? E cosa servirà davvero per riuscire a voltare pagina?

IA: una lama a doppio taglio

A marzo, al CyberSec 2025 di Milano, l’intelligenza artificiale era sulla bocca di tutti. L’atmosfera era vibrante, sospesa tra entusiasmo e timore. Da un lato, tutti concordavano sul fatto che l’IA ha il potenziale di rivoluzionare i processi di sicurezza, rendendoli più rapidi ed efficaci. Dall’altro è emerso anche il rovescio della medaglia: l’IA offre nuove superfici di attacco.

Le preoccupazioni non sono infondate: se non vengono protetti adeguatamente i modelli di IA possono essere manipolati o addirittura rubati. Per questo soluzioni come la gestione interamente on-premise e l’aggiornamento controllato dei modelli diventano fondamentali. L’obiettivo è chiaro: cogliere i vantaggi dell’automazione e dell’intelligenza artificiale senza mettere a rischio la sicurezza.

Lo ha sottolineato Dirk Boeing, Security Engineer di Greenbone, in un’intervista: “per noi l’IA non è solo un concetto astratto: è uno strumento pratico che, se utilizzato in modo responsabile, aiuta le organizzazioni a respingere gli attacchi informatici”.

La nuova realtà della gestione delle vulnerabilità

Il Security Summit di fine marzo ha sottolineato un altro cambiamento fondamentale: non è più sufficiente scansionare i sistemi di tanto in tanto. L’attuale panorama delle minacce richiede un monitoraggio continuo e robusto. Abbiamo visto che le organizzazioni iniziano a dare la priorità alle vulnerabilità critiche, a ottimizzare i processi di correzione e trasformare la conformità da un carico a un vantaggio competitivo.

Gli utenti sono sempre più consapevoli che le soluzioni aziendali offrono vantaggi che le versioni community non possono garantire: feed stabili, rilevamento più accurato e distribuzione sicura on-premise, andando ben oltre le funzionalità di base.

Numeri che non mentono

La situazione reale in Italia rende questi dati ancora più preoccupanti. Solo nella prima metà del 2025 si sono registrati 1.549 incidenti informatici, con un aumento del 53% rispetto al 2024. Ancora più allarmante: 346 di questi incidenti sono stati considerati gravi, con danni confermati, segnando un incremento del 98% su base annua.

Gli attacchi informatici non fanno distinzione tra bersagli di grandi o piccole dimensioni. Settori critici come la pubblica amministrazione, la sanità e l’energia sono stati duramente colpiti. Un esempio emblematico è l’attacco del 2 aprile a Mobilità di Marca (MOM), la compagnia di trasporti pubblici di Treviso, che ha paralizzato paralizzato per giorni il servizio di biglietteria elettronica. Questo episodio dimostra con chiarezza quanto le vulnerabilità delle infrastrutture digitali possano avere conseguenze dirette sulla vita quotidiana.

Nemmeno le aziende più piccole sono completamente al sicuro. I rapporti di aprile evidenziano come il settore delle telecomunicazioni sia stato interessato da attacchi mirati di phishing, con numerose organizzazioni che hanno subito gravi violazioni della sicurezza. Il messaggio è inequivocabile: nessun’azienda è troppo piccola per non diventare un bersaglio.

L’unica soluzione è  la sicurezza proattiva

Ad ogni conferenza, gli esperti ribadiscono lo stesso concetto: il monitoraggio continuo e la gestione proattiva delle vulnerabilità non sono più un semplice “nice to have”, ma diventano una necessità. La crescente frequenza e complessità degli attacchi richiede un cambiamento radicale: dalla gestione reattiva delle crisi alle strategie di difesa proattive.

Tieni d’occhio queste date: gli eventi di ottobre da non perdere

Il dibattito sulla cybersecurity continuerà a ottobre, con tre grandi appuntamenti che metteranno Roma al centro della scena italiana nel settore della sicurezza informatica:

AFCEA TechNet Europe Roma 2025 (1° – 2 ottobre) riunirà esperti di difesa, leader del settore e innovatori tecnologici per confrontarsi sulle minacce emergenti e sulle soluzioni più all’avanguardia.

Cybertech Europe (21 – 22 ottobre) offre l’occasione di entrare in contatto con i principali esperti di cybersecurity, assistere a dimostrazioni dal vivo e approfondire le sfide e le soluzioni che guidano la resilienza digitale in Italia.

Richmond Cyber Resilience Forum (28 – 30 ottobre) si conferma un punto d’incontro per fornitori e utilizzatori di soluzioni innovative. Qui le aziende italiane avranno l’opportunità di confrontarsi con esperti del settore e scoprire le ultime tendenze e strategie nel campo della cybersecurity.

OPENVAS S.r.l. sarà presente a tutti e tre gli eventi, presentando le sue soluzioni enterprise per la gestione delle vulnerabilità, condividendo approfondimenti sulla sicurezza basata sull’intelligenza artificiale e dimostrando come le organizzazioni possano trasformare la compliance da un semplice obbligo normativo a una vera strategia di difesa proattiva.

La strada da seguire

Il 2025 si sta rivelando un anno decisivo per la sicurezza informatica in Italia. Le minacce sono concrete e in aumento, così come la nostra capacità di reazione collettiva. Ogni conferenza, collaborazione e innovazione ci aiuta a trasformare le sfide di oggi nella resilienza di domani.

La vera domanda non è se ci troveremo di fronte a un attacco informatico, ma se saremo pronti quando accadrà. Non restare in attesa: il momento di rafforzare le difese informatiche della tua organizzazione è ora.

Sei pronto a trasformare report in azioni concrete? Vieni a incontrarci agli eventi di ottobre o contattaci oggi stesso per scoprire come la gestione delle vulnerabilità aziendali può rendere la tua sicurezza più solida e proattiva.

Dopo molti anni alla guida di Greenbone, il nostro cofondatore, il dottor Jan-Oliver Wagner, lascia la gestione operativa attiva. Rimarrà tuttavia strettamente legato all’azienda in qualità di consulente. Desideriamo ringraziare il dottor Wagner per il suo straordinario impegno e per tutto ciò che ha realizzato per Greenbone fin dalla sua fondazione.

 

 

Il nuovo CEO è Elmar Geese, che dal 2019 fa parte del team di gestione di Greenbone. Con questo cambiamento alla guida, ci concentriamo su continuità e stabilità per i nostri clienti, dipendenti e azionisti.

A partire da agosto 2025 entreranno in vigore le prime disposizioni dell’EU AI Act. Per aziende e autorità pubbliche inizia una nuova fase, in cui l’uso dell’intelligenza artificiale dovrà avvenire con maggiore responsabilità. L’AI Act dell’UE non richiede solo adeguamenti tecnici, ma un nuovo approccio: in futuro l’IA dovrà essere valutata in base al rischio e al contesto d’uso, soprattutto con dati sensibili o personali.

Per le organizzazioni questo significa analizzare a fondo l’ecosistema dei propri sistemi di IA, individuare i rischi già in fase iniziale e affrontarli in modo mirato. Trasparenza dei dati, modelli comprensibili e supervisione umana non sono più un’opzione, ma un obbligo. Allo stesso tempo, l’AI Act fornisce un quadro utile per rafforzare la fiducia e garantire un uso sicuro e responsabile dell’intelligenza artificiale. Ne fanno parte anche la gestione delle vulnerabilità e la sicurezza informatica.

Intervista agli esperti: cybersecurity e intelligenza artificiale

Abbiamo intervistato Kim Nguyen, Senior Vice President Innovation della Bundesdruckerei (la tipografia statale tedesca responsabile di documenti ufficiali e servizi di sicurezza digitale). Con lui, storico volto dei Trusted Services, parliamo di IA, di regolamentazione e delle implicazioni per la sicurezza informatica. Anche Elmar Geese, CMO di Greenbone, parla della sua prospettiva sul futuro del vulnerability management.

Greenbone: Kim, il tema dell’IA e della sicurezza informatica è al centro del dibattito pubblico, come dimostra la recente conferenza di Potsdam sulla sicurezza informatica . E tu sei uno dei protagonisti di questa discussione.

Nguyen: Sì, l’intelligenza artificiale è decisamente un tema a cui tengo, come dimostrano le mie pubblicazioni e i miei keynote, anche se la mia prospettiva è un po’ diversa da quella della massa. Punto centrale del mio approccio è il tema della fiducia, che si declina in più dimensioni, una delle quali è la protezione degli utenti: il sistema deve essere sicuro, funzionare a loro vantaggio e non perseguire obiettivi nascosti.

Greenbone: Secondo te l’intelligenza artificiale renderà la sicurezza informatica più solid a come rischio sia come opportunità. Da un lato, amplifica i vettori di attacco, permettendo ai criminali informatici di operare in modo più rapido, automatizzato e mirato. Dall’altro, può rafforzare le difese, ad esempio analizzando in tempo reale dati provenienti da diverse fonti per individuare automaticamente gli incidenti di sicurezza e reagire tempestivamente.

Caccia al topo

Chi vuole restare al passo nella continua sfida tra attaccanti e difensori deve puntare sull’IA, soprattutto per la protezione. La regolamentazione statale è fondamentale, perché senza leggi e specifiche tecniche adeguate, nessuno può distinguere ciò che è permesso e affidabile da ciò che non lo è.

Inoltre, il legislatore deve intervenire attivamente in questo contesto tecnico in rapida evoluzione per garantire chiarezza normativa. Trovare il giusto equilibrio, lasciando allo stesso tempo spazio all’innovazione affinché l’intelligenza artificiale possa agire come vero motore di progresso, non è semplice, ma è di fondamentale importanza.

Greenbone: Secondo te, quali sono le domande e le normative più rilevanti dell’EU AI Act e dei regolamenti che le aziende devono affrontare? Cosa ci attende nei prossimi anni e come si prepara una grande istituzione come la Bundesdruckerei?

Nguyen: Con l’AI Act, le aziende devono classificare i loro sistemi di IA in base al rischio e rispettare diversi requisiti di trasparenza, qualità dei dati, governance e sicurezza, soprattutto per le applicazioni ad alto rischio.

Tuttavia, non si tratta solo di garantire la compliance: il quadro normativo può diventare una leva strategica per innovazione affidabile e competitività sostenibile. Non basta concentrarsi su un singolo modello di IA: Importantissimi sono anche l’integrazione, l’addestramento del modello e la formazione degli utenti. È necessario definire ampi limiti di sicurezza per far sì che il sistema non sia in grado di compiere operazioni non autorizzate.

Tracciabilità, robustezza e trasparenza: i pilastri dei processi consolidati

La Bundesdruckerei, in quanto azienda tecnologica del governo, opera da anni nel settore dell’alta sicurezza. Grazie a processi e strutture consolidati, mettiamo al primo posto tracciabilità, robustezza e trasparenza, garantendo così fiducia nelle soluzioni di intelligenza artificiale per l’amministrazione. Il nostro centro di competenza sull’intelligenza artificiale sostiene le agenzie federali e i ministeri nello sviluppo di applicazioni IA. Con il Ministero degli Affari Esteri abbiamo creato la piattaforma PLAIN, che offre un’infrastruttura comune per dati e applicazioni AI, mentre con Assistent.iQ abbiamo sviluppato un assistente AI conforme ai requisiti di sicurezza dei dati, di tracciabilità e flessibilità.

Greenbone: L’open source rappresenta un criterio minimo di fiducia per software, IT e cybersecurity. Ma è possibile applicarlo anche all’intelligenza artificiale? Se sì, in che misura?

Nguyen: L’open source è fondamentale anche per l’IA, perché crea fiducia grazie all’esame di codici e modelli. I risultati devono poter essere verificati con precisione, e per questo è essenziale una community attiva che si prenda cura del progetto in modo costante.

Spesso l’approccio open source di molti progetti è ambizioso e lodevole, ma alcuni di questi non sono mantenuti nel tempo o si interrompono del tutto. Per questo è importante fare attenzione: quando c’è l’IA di mezzo non tutte le open source sono uguali. Anche se gli sviluppatori pubblicano i loro modelli con licenza open source, questo non significa che l’IA sia realmente aperta e verificabile.

Da un lato, contano i valori numerici, i cosiddetti pesi del modello AI, che determinano come il sistema elabora gli input e prende decisioni. Dall’altro, sono fondamentali anche i dati di addestramento, spesso non condivisi con clienti e utenti. Solo con queste informazioni è possibile valutare davvero quanto un modello open source sia comprensibile, affidabile e riproducibile. Solo se tutte le informazioni sui diversi modelli sono disponibili liberamente, si possono sviluppare idee sostenibili e generare innovazioni.

Greenbone: Cosa manca per poter usare l’IA in modo sicuro? Cosa deve cambiare?

Nguyen: Per poter usare l’intelligenza artificiale in modo sicuro non basta l’eccellenza tecnica: serve anche una mentalità adeguata nello sviluppo, nella governance e nella responsabilità. In pratica, la sicurezza va considerata fin dall’inizio secondo il principio del “Security by Design”: gli sviluppatori devono valutare sistematicamente i possibili rischi e integrarli tempestivamente nella progettazione e nell’architettura del modello.

Ugualmente importante è la trasparenza oltre i confini dei sistemi di IA: i modelli linguistici sono affidabili solo in determinati contesti. Al di fuori di questi domini, possono produrre risultati plausibili ma potenzialmente errati. Per questo, gli sviluppatori dovrebbero indicare chiaramente dove il modello è affidabile e dove no.

Mindset, contesto e copyright

Inoltre, per evitare problemi di fiducia e conformità, non si possono trascurare i diritti d’autore sui dati di allenamento. Servono anche dati di test chiari, un’infrastruttura di valutazione adeguata e controlli continui su bias ed equità.

Un equilibrio tra regolamentazione legale, impegno tecnico e governance reattiva è la chiave per un’IA che tutela i valori democratici e garantisce responsabilità tecnologica.

Greenbone: Secondo lei, l’UE può avere un vantaggio competitivo in questo ambito?

Nguyen: Sì, l’UE ha un reale vantaggio nella competizione globale sull’IA, e questo si basa sulla fiducia. Altre regioni puntano soprattutto alla velocità e al dominio di mercato, spesso scaricando gran parte della responsabilità sui rischi sociali, come avvenuto recentemente negli Stati Uniti. Al contrario, con l’AI Act l’Europa propone un modello esemplare basato sulla sicurezza, sulla protezione dei dati e sullo sviluppo incentrato sull’uomo.

Proprio perché l’intelligenza artificiale sta penetrando sempre più in aree sensibili della vita, la protezione dei dati personali e l’affermazione dei valori democratici stanno diventando sempre più importanti. Con la sua struttura di governance, l’UE crea standard vincolanti che guidano molti paesi e aziende in tutto il mondo. Questo focus sui valori ripagherà a lungo termine l’Europa per l’esportazione di tecnologie e il rafforzamento della fiducia della società nella democrazia e nei sistemi digitali locali.

L’Europa guida lo sviluppo di un’IA in cui l’umano è il fulcro. La regolamentazione, però, non deve ostacolare l’innovazione: fiducia e sicurezza devono andare di pari passo con investimenti, apertura tecnologica e rapidità di implementazione. Così l’Europa può definire standard propri e costruire una solida identità competitiva nell’IA.

IA e gestione delle vulnerabilità: il punto di vista di Elmar Geese, CEO di Greenbone

Greenbone: l’intelligenza artificiale è sulla bocca di tutti, quali cambiamenti porta per la gestione delle vulnerabilità?

Geese: Penso che l’IA ci aiuterà molto, ma che non può sostituire la gestione delle vulnerabilità. Ad esempio, l’intelligenza artificiale può svolgere compiti di routine che richiedono molto tempo, come l’analisi di grandi quantità di dati, il riconoscimento di modelli e suggerimenti per la definizione delle priorità. Tuttavia, sono i responsabili della sicurezza a prendere sempre le decisioni finali e ad avere il pieno controllo, soprattutto in casi complessi o critici in cui la comprensione del contesto umano è indispensabile.

L’uso mirato e pianificato dell’IA nella gestione delle vulnerabilità porta numerosi vantaggi, senza compromettere il controllo. Già oggi impieghiamo l’intelligenza artificiale per fornire ai clienti un prodotto migliore, senza che i loro dati vengano condivisi con i grandi fornitori di servizi IA. La nostra “IA affidabile” funziona completamente senza trasmissione o raccolta centralizzata dei dati.

Greenbone: quali sono i principali rischi da tenere sotto controllo?

Geese: Al momento, l’uso dell’IA in aree critiche per la sicurezza comporta rischi che devono essere gestiti con attenzione. L’automazione offre grandi opportunità, ma può anche generare decisioni errate, nuove superfici di attacco o effetti indesiderati. Un’IA “percettiva” combina punti di forza umani e meccanici, sfruttando vantaggi come velocità e scalabilità senza togliere potere al personale specializzato né compromettere la sicurezza.

Greenbone e l’intelligenza artificiale

Greenbone utilizza l’IA in modo mirato per individuare efficacemente i punti deboli nel settore IT e supportare le priorità di sicurezza. Il team rimane sempre responsabile e mantiene il controllo, soprattutto nelle decisioni complesse o sensibili. La protezione dei dati resta la nostra massima priorità: i dati dei clienti non vengono condivisi con fornitori esterni di IA.

Il nostro approccio unisce i vantaggi delle tecnologie moderne al giudizio umano, garantendo una sicurezza informatica efficace e responsabile.

Desideri maggiori informazioni? Siamo a tua disposizione.

 

Il nostro Threat Report di luglio 2025 offre una panoramica approfondita delle principali minacce informatiche emerse lo scorso mese. Gli attacchi contro Microsoft SharePoint, noti come “ToolShell” hanno fatto notizia: per ulteriori dettagli e approfondimenti, consulta il nostro rapporto su ToolShell. Nel solo mese di luglio, sono stati pubblicati più di 4.000 nuove CVE, di cui quasi 500 classificate come “critiche”, con un CVSS superiore a 9.0. Gestire un volume di rischi così elevato rappresenta una vera e propria guerra di logoramento per chi si occupa di difesa informatica. Per rispondere a queste nuove sfide, Greenbone ha rilasciato quasi 5.000 nuovi test di rilevamento: strumenti fondamentali che aiutano le aziende a individuare facilmente le vulnerabilità note nei loro ambienti, verificare i livelli di patch e impedire agli attaccanti di passare all’azione.

Cisco ISE: falle critiche consentono RCE non autenticato con privilegi root

Cisco ha confermato che le versioni 3.3 e 3.4 di Cisco Identity Services Engine (ISE) e Cisco ISE-PIC (Passive Identity Connector) sono già oggetto di sfruttamento attivo. Le CVE di gravità più elevata sono: CVE-2025-20281, CVE-2025-20337 e CVE-2025-20282; tutti con un punteggio CVSS 10. Le vulnerabilità CVE-2025-20281 e CVE-2025-20337 sono state inserite nel catalogo KEV di CISA (Known Exploited Vulnerabilities). Ognuna di queste  falle può essere sfruttato per compromettere i dispositivi tramite richieste API opportunamente costruite, ottenendo privilegi di root sul sistema. Sono stati pubblicati avvisi da diverse agenzie nazionali, tra cui EU-CERT, CSA Singapore, NHS UK e NCSC Ireland. Cisco raccomanda di applicare immediatamente le patch risolutive; non sono disponibili soluzioni alternative. I test di rilevamento per queste versioni sono integrati nell’OPENVAS ENTERPRISE FEED [1][2][3].

A inizio luglio, una vulnerabilità critica ha colpito anche Cisco Unified Communications Manager.  CVE-2025-20309 con un CVSS pari a 10, permette l’accesso remoto all’account root sfruttando credenziali SSH statiche. A segnalarlo è stato il CERT.be belga, NSSC Ireland e il problema è stato approfondito anche nella Week in Review di AUSCERT.

I server CrushFTP e WingFTP sotto attacco attivo

Sono state pubblicate vulnerabilità ad alta gravità che coinvolgono sia CrushFTP che  WingFTP , prontamente inserite nel catalogo CISA KEV, con avvisi di sicurezza diffusi da diversi CERT a livello globale [1][2][3]. I server FTP sono spesso esposti su Internet, ma anche quelli di rete locale possono offrire agli hacker un’opportunità di persistenza e movimento laterale [4]. Va inoltre sottolineato che questi server archiviano frequentemente dati sensibili, aumentando notevolmente il rischio di furto, ricatto o perdita di informazioni critiche.

• CVE-2025-54309 (CVSS 9.8, EPSS ≥ 91° percentile): se la funzione proxy DMZ non è in uso, CrushFTP è vulnerabile a un accesso non autorizzato tramite un canale alternativo non protetto [CWE-420] a causa di una gestione errata della convalida AS2. Questo permette l’accesso remoto al ruolo di amministratore HTTPS. L’OPENVAS ENTERPRISE FEED include un test di rilevamento banner remoto per identificare le istanze vulnerabili. Gli utenti devono eseguire l’aggiornamento a CrushFTP 10.8.5_12 (o successivo) o 11.3.4_23 (o successivo).
• CVE-2025-47812 (CVSS 10, EPSS ≥ 99° percentile): caratteri null-byte non sanificati nell’interfaccia web di WingFTP, presenti nelle versioni precedenti alla 7.4.4 consentono l’esecuzione remota di codice Lua arbitrario con i privilegi del servizio FTP (root o SYSTEM di default). Greenbone offre un controllo attivo e un test di rilevamento versione per identificare istanze vulnerabili. Si raccomanda vivamente di aggiornare alla versione 7.4.4 o successive.

Vulnerabilità critica in Node.js: patch bypassata, accesso arbitrario ai file

Il CVE-2025-27210 (CVSS 7.5) rappresenta un bypass della vulnerabilità CVE-2025-23084 (CVSS 5.6) corretta in precedenza sulle piattaforme Windows Node.js e pubblicata a gennaio 2025. Si stima che il 4.8% dei server web a livello globale utilizzi Node.js, che alimenta anche numerose applicazioni sia on-premise che cloud-native. Sono stati emessi avvisi di alto rischio da parte di diversi CERT nazionali[1][2]. È stato pubblicato almeno un proof-of-concept (PoC)[3]. Sia l’OPENVAS ENTERPRISE FEED che il COMMUNITY FEED includono un test per il rilevamento della versione vulnerabile.

La falla, classificata come vulnerabilità di tipo path traversal [CWE-22], è causato dal fatto che le funzioni integrate path.join() e path.normalize() di Node.js non filtrano correttamente i nomi dei dispositivi di Windows come CON, PRN e AUX, riservati a dispositivi di sistema speciali [4]. Questa falla può essere sfruttata da remoto per aggirare le protezioni sui percorsi qualora l’input utente venga passato a queste funzioni. Sono interessate dalla vulnerabilità le versioni di Node.js 20.x precedenti alla 20.19.4, 22.x precedenti alla 22.17.1 e 24.x precedenti alla 24.4.1.

CVE-2025-37099: compromissione remota completa in HPE Insight Remote Support

Le nuove vulnerabilità in HPE Insight Remote Support rappresentano un rischio estremo di compromissione completa del sistema all’interno dell’infrastruttura aziendale. IRS viene utilizzato nelle reti aziendali locali per automatizzare i controlli sullo stato dell’hardware, il monitoraggio dell’infrastruttura e la generazione automatica di ticket di supporto.

CVE-2025-37099 (CVSS 9.8)  permette l’esecuzione remota di codice non autenticato (RCE) con privilegi di SISTEMA, a causa di una convalida errata dell’input [CWE-20] nella funzione processAttachmentDataStream. Ciò consente l’esecuzione di payload dannosi come codice arbitrario [CWE‑94][1]. Ciò consente agli aggressori di eseguire malware su tutti i sistemi gestiti. Sebbene non sia esplicitamente documentato, l’accesso a livello di sistema potrebbe anche consentire agli aggressori di manipolare o eliminare i registri di monitoraggio per nascondere l’attività. Poiché il servizio interessato comunica spesso con dispositivi come server e controller iLO, compromettere il mio pivoting laterale all’interno di una rete [2].

Gli utenti devono aggiornare immediatamente alla versione 7.15.0.646 o successive. La divulgazione coordinata ha incluso anche due vulnerabilità aggiuntive: CVE-2025-37098 e CVE-2025-37097, entrambe con un punteggio CVSS 7.5. L’OPENVAS ENTERPRISE FEED include un test specifico di rilevamento della versione che permette di identificare rapidamente le istanze vulnerabili e verificare che il livello di patch sia adeguato ai requisiti di conformità.

Patch essenziali per i CVE Dell con punteggi EPSS elevati

Sono state rilasciate patch cumulative per un’ampia gamma di prodotti Dell Technologies, al fine di correggere diverse vulnerabilità dei componenti. Il Canadian Cyber CSE ha pubblicato tre avvisi nel mese di luglio per segnalare questi aggiornamenti[1][2][3]. Tra i CVE più rilevanti di questa ondata di aggiornamenti, diversi possono essere rilevati tramite l’OPENVAS ENTERPRISE FEED [1][2][3][4][5]:

• CVE-2024-53677 (CVSS 9.8, EPSS ≥ 99° percentile): Dell Avamar Data Store e Avamar Virtual Edition hanno ricevuto aggiornamenti per coreggere una vulnerabilità in Apache Struts. Non sono disponibili mitigazioni o soluzioni alternative. Consultare l’advisory del fornitore per l’elenco completo dei prodotti coinvolti.
• CVE-2025-24813 (CVSS 9.8, EPSS ≥ 99° percentile): le versioni di Dell Secure Connect Gateway precedenti alla 5.30.0.14 sono esposti a una vulnerabilità critica di Apache Tomcat e altri CVE critici. Dell ha segnalato questo aggiornamento come essenziale.
• CVE-2004-0597 (CVSS 10, EPSS ≥ 99° percentile): Dell Networker è interessato da vulnerabilità critiche di overflow del buffer nella libreria libpng, che permettono a un aggressore remoto di eseguire codice arbitrario tramite immagini PNG malformate, oltre ad altre vulnerabilità. Per ulteriori dettagli si rimanda agli avvisi del fornitore [1][2][3][4].
• CVE-2016-2842 (CVSS 9.8, EPSS ≥ 98° percentile): Dell Data Protection Advisor presenta vulnerabilità in diversi componenti, tra cui CVE-2016-2842 in OpenSSL, che non verifica correttamente l’allocazione della memoria, consentendo potenziali attacchi DoS o RCE. Per maggiori dettagli, consultare l’advisory del fornitore.
• CVE-2025-30477 (CVSS 4.4): Dell PowerScale utilizza un algoritmo crittografico rischioso, che potrebbe portare alla divulgazione di informazioni. Nel giugno 2025, PowerScale ha corretto i difetti di gravità elevata. Consultare le avvertenze del fornitore per ulteriori informazioni [1][2].

Rassegna delle vulnerabilità D-Link per il 2025

L’OPENVAS ENTERPRISE FEED e il COMMUNITY FEED includono attualmente 27 test di vulnerabilità che coprono la maggior parte dei CVE che interessano i prodotti D-Link pubblicati finora nel 2025. Data l’importanza della sicurezza periferica della rete, gli utenti dovrebbero prestare particolare attenzione alle vulnerabilità nei router e in altri dispositivi gateway. Dopo l’accordo di un’azione normativa statunitense che coinvolge D‑Link e la Federal Trade Commission, nel 2019 D‑Link ha accettato di attuare un programma di sicurezza completo. Tuttavia, è lecito chiedersi se misure simili dovrebbero essere applicate più ampiamente. Ad esempio, i prodotti Ivanti hanno registrato negli ultimi anni numerosi difetti di alta gravità [1][2][3][4][5], molti dei quali sono stati sfruttati in attacchi ransomware.

Adobe rilascia patch per difetti critici in ColdFusion

Gli aggiornamenti di sicurezza per ColdFusion 2025, 2023 e 2021 risolvono 13 nuove vulnerabilità (CVE), tra cui figurano (XXE) (CVE-2025-49535, CVSS 9.3), credenziali hard-coded (CVE-2025-49551, CVSS 8.8) e vulnerabilità di command injection del sistema operativo, XML injection e Server-Side Request Forgery (SSRF). Nel 2023, la vulnerabilità CVE‑2023‑26360 (CVSS 9.8) è stata sfruttata da gruppi di minaccia per ottenere accesso iniziale alle agenzie civili federali degli Stati Uniti.

L’OPENVAS ENTERPRISE FEED include un controllo remoto di versione che consente di identificare le istanze di ColdFusion prive di patch. Si raccomanda di applicare immediatamente le patch disponibili: Update 3 (ColdFusion 2025), Update 15 (versione 2023) e Update 21 (versione 2021).

Splunk Enterprise aggiorna componenti con vulnerabilità di gravità elevata

Aggiornamenti cumulativi per Splunk Enterprise includono patch per diversi componenti di terze parti come golang, postgres, aws-sdk-java, idna e altri. Alcuni di questi difetti sono classificati come critici, tra cui CVE-2024-45337 (con un punteggio CVSS 9.1) e un percentile EPSS ≥ 97%, indicativo di un’alta probabilità di exploit attivo. Sia il CERT-FR che il Canadian Cyber CSE hanno pubblicato avvisi relativi agli aggiornamenti di luglio di Splunk. Gli utenti possono verificare lo stato delle patch tramite un controllo di versione disponibile in OPENVAS ENTERPRISE FEED, che include anche test di vulnerabilità per precedenti avvisi e CVE legati a Splunk.

Oracle rilascia patch per vulnerabilità ad alta gravità in VirtualBox

Diversi CVE pubblicati a metà luglio 2025 riguardano Oracle VM VirtualBox 7.1.10 e permettono a un utente locale con privilegi elevati, che abbia accesso all’infrastruttura host o all’ambiente di esecuzione della VM guest, di compromettere VirtualBox. Queste vulnerabilità possono consentire un aumento dei privilegi o il pieno controllo del componente principale dell’hypervisor. Il CVE‑2025‑53024 (CVSS 8.2) è un bug di overflow di numeri interi nel dispositivo virtuale VMSVGA causato da una convalida insufficiente dei dati forniti dall’utente. Questa falla può portare al danneggiamento della memoria e alla compromissione completa dell’hypervisor[1]. L’OPENVAS ENTERPRISE FEED e il COMMUNITY FEED includono test di rilevamento delle versioni Windows, Linux e macOS.

SonicWall SMA100: RCE post-autenticazione

Il CVE-2025-40599 (CVSS 9.1) nelle appliance SonicWall serie SMA 100 consente a un utente remoto autenticato con privilegi amministrativi di eseguire codice arbitrario e ottenere accesso persistente tramite caricamento di file arbitrario. Il rischio associato a questa vulnerabilità aumenta in presenza di credenziali deboli o rubate. Il difetto interessa i modelli SMA 210, 410, 500v con versioni 10.2.1.15-81sv e precedenti. Secondo l’advisory del fornitore, non esistono soluzioni alternative efficaci. L’OPENVAS ENTERPRISE FEED include un controllo remoto di versione per identificare i dispositivi colpiti.

Nuovi CVE MySQL consentono attacchi DoS autenticati

Tra le numerose vulnerabilità che permettono l’esecuzione remota di codice non autorizzata (RCE) è facile trascurare quelle che causano semplicemente Denial of Service (DoS). A luglio, Oracle ha rilasciato una serie di patch per vulnerabilità DoS che interessano MySQL 8 e MySQL 9 [1]. Sebbene queste falle richiedano accesso privilegiato per essere sfruttate, i Managed Service Provider (MSP) offrono hosting MySQL condiviso a piccole e medie imprese (PMI), enti governativi o organizzazioni non profit, che preferiscono evitare il sovraccarico della gestione diretta della propria infrastruttura di database. In questo contesto, i tenant accedono a database separati all’interno della medesima istanza del server MySQL. Un’istanza non aggiornata potrebbe permettere a un utente malintenzionato di compromettere altre organizzazioni presenti sulla stessa piattaforma. Questi difetti evidenziano anche l’importanza di utilizzare password complesse e di adottare misure per mitigare il rischio di attacchi di brute-force e di password spraying.

I test di rilevamento remoto delle versioni sono disponibili per tutti i CVE indicati di seguito. Questi test sono inclusi sia nell’OPENVAS ENTERPRISE FEED e COMMUNITY FEED e coprono le installazioni di MySQL su Linux e su Windows.

ID CVE	Versione interessate	Impatto	Vettore d’accesso	Status della patch
CVE-2025-50078 (CVSS 6.5)	8.0.0–8.0.42, 8.4.0–8.4.5, 9.0.0–9.3.0	DoS (hang/crash)	Remote authenticated access	Patch disponibile (luglio 2025)
CVE-2025-50082 (CVSS 6.5)	8.0.0–8.0.42, 8.4.0–8.4.5, 9.0.0–9.3.0	DoS (crash)	Remote authenticated access	Patch disponibile (luglio 2025)
CVE-2025-50083 (CVSS 6.5)	8.0.0–8.0.42, 8.4.0–8.4.5, 9.0.0–9.3.0	DoS (crash)	Remote authenticated access	Patch disponibile (luglio 2025)