Sabato 19 luglio, il mondo della cybersecurity è stato scosso da una serie di avvisi di emergenza che hanno riguardato Microsoft SharePoint Server. Si tratta di quattro vulnerabilità, note con il nome di “ToolShell”, 2 delle quali erano state già identificate e corrette con una patch rilasciata a inizio luglio. Le falle consentono l’esecuzione di codice remoto non autenticato (RCE) a livello SYSTEM di Windows.

Finora, gli attacchi di sfruttamento di massa hanno già colpito l’Amministrazione di sicurezza nucleale degli Stati Uniti e oltre 400 altre  organizzazioni, tra cui multinazionali, servizi sanitari, enti governativi, operatori finanziari e infrastrutture energetiche critiche. L’attività di sfruttamento è stata rilevata inizialmente da Eye Security e tre CVE sono stati inseriti nel catalogo delle vulnerabilità note sfruttate (KEV) della CISA, risultando collegati anche ad attacchi ransomware condotti da gruppi  sponsorizzati dallo stato cinese. Attualmente sono disponibili diversi kit di exploit proof of concept (PoC) pubblici[1][2][3]. Numerosi CERT nazionali, tra cui CERT-EU [4], Paesi Bassi[5], Nuova Zelanda[6], Canada[7] e Germania [8], hanno emanato specifici avvisi sulle vulnerabilità di SharePoint. Secondo la Shadowserver Foundation, sono stati rilevati oltre 9.000 indirizzi IP SharePoint pubblici potenzialmente esposti a livello globale.

OPENVAS SECURITY INTELLIGENCE di Greenbone integra test di rilevamento della versione[9][10][11][12], un controllo attivo diretto[13] per tutti i CVE ToolShell e il monitoraggio attivo degli indicatori di compromissione (IoC) [14] associati nel nostro ENTERPRISE FEED. I clienti di OPENVAS ENTERPRISE FEED dovrebbero verificare regolarmente che i propri feed siano sempre aggiornati, così da assicurare che i dispositivi includano gli ultimi controlli di vulnerabilità. Di seguito analizziamo nel dettaglio questi insidiosi bug ToolShell.

Una cronologia degli eventi ToolShell

Di seguito una breve panoramica dei principali eventi legati alla campagna ToolShell fino ad oggi:

I CVE ToolShell in Microsoft SharePoint

Quando le falle originali di “ToolShell” (CVE-2025-49706 e CVE-2025-49704)  sono state rese note per la prima volta a maggio 2025, i dettagli tecnici dell’attacco non sono stati resi pubblici. La divulgazione ha però portato al rilascio di patch ufficiali a metà luglio. Tuttavia, i ricercatori di sicurezza hanno rapidamente osservato attacchi in grado di compromettere anche server completamente aggiornati, spingendo così alla pubblicazione di due nuove vulnerabilità: (CVE-2025-53770 e CVE-2025-53771).

Di seguito una sintesi per ciascun CVE ToolShell:

  • CVE-2025-49704 (CVSS 8.8): generazione impropria di codice, nota anche come “code injection” [CWE-94], che consente a un attaccante con privilegi autenticati di eseguire codice da remoto. Secondo Cisco Talos, l’attacco può essere condotto da un utente autorizzato con privilegi di membro del sito, mentre Microsoft specifica che sono necessari i privilegi di proprietario del sito. L’exploit risulta semplice da eseguire e presenta un’elevata probabilità di successo.
  • CVE-2025-49706 (CVSS 6.3): autenticazione impropria [CWE-287], che permette a un utente non autorizzato di effettuare spoofing sulla rete.
  • CVE-2025-53770 (CVSS 9.8): deserializzazione di dati non attendibili [CWE-502] che consente a un utente non autenticato di eseguire codice da remoto [CWE-94]. Questa è una variante più pericolosa e senza requisiti di autenticazione di CVE-2025-49704.
  • CVE-2025-53771 (CVSS 6.3): impropria limitazione di percorso, nota anche come “path traversal” [CWE-22], che permette a un utente non autorizzato di eseguire spoofing di rete. È una variante di CVE-2025-49706.

I dettagli dell’attacco ToolShell

L’attacco ToolShell consente l’esecuzione di codice remoto (RCE) non autenticato su server Microsoft SharePoint vulnerabili. Il meccanismo dell’attacco si articola in più fasi:

  1. La vulnerabilità CVE-2025-49706 permette di accedere ai servizi interni di SharePoint manipolando l’intestazione Referer: /_layouts/SignOut.aspx per bypassare la logica di convalida. In questo modo, la richiesta risulta autenticata, anche in assenza di sessioni o credenziali valide.
  2. Contestualmente, un payload malevolo nel campo __VIEWSTATE viene inviato all’endpoint /_layouts/15/ToolPane.aspx. Questo payload contiene una catena di gadget .NET appositamente creata per sfruttare il difetto di deserializzazione identificato in CVE-2025-53770. I payload VIEWSTATE sono oggetti serializzati ASP.NET usati per mantenere sincronizzato lo stato dell’interfaccia utente tra browser e server SharePoint.
  3. La deserializzazione malevola consente così di eseguire comandi exe o PowerShell con i privilegi dell’utente SISTEMA di Windows, garantendo il pieno controllo del sistema compromesso.
  4. Sfruttando questo controllo, gli attaccanti hanno installato web shell ASPX dannose, come ad esempio aspx, utilizzate per estrarre la configurazione MachineKey, ovvero le chiavi crittografiche ValidationKey e DecryptionKey, consentendo agli aggressori di ottenere un accesso persistente e autenticato.
  5. Con queste chiavi rubate, gli attaccanti possono firmare payload __VIEWSTATE validi tramite lo strumento ysoserial.

Mitigazione degli attacchi ToolShell su Microsoft SharePoint

Le vulnerabilità ToolShell interessano le versioni locali (on-premise) di Microsoft Office SharePoint 2016, 2019, Subscription Edition, oltre alle edizioni ormai obsolete come SharePoint Server 2010 e 2013. Si raccomanda agli utenti di applicare quanto prima gli aggiornamenti di sicurezza più recenti. Va ricordato che, sebbene CVE-2025-49704 e CVE-2025-49706 siano stati corretti con l’aggiornamento di luglio 2025, la successiva scoperta di exploit capaci di bypassare queste patch ha reso necessarie ulteriori correzioni.

  • KB5002754 per Microsoft SharePoint Server 2019 Core
  • KB5002768 per Microsoft SharePoint Subscription Edition
  • KB5002760 per Microsoft SharePoint Enterprise Server 2016
  • SharePoint Server 2010 e 2013 sono interessati, ma non saranno patchati a causa del loro stato EOL
  • SharePoint Online per Microsoft 365 NON è vulnerabile

La guida di Microsoft consiglia di abilitare l’Antimalware Scan Interface (AMSI) in modalità completa e di utilizzare Microsoft Defender Antivirus per prevenire attacchi contro Microsoft SharePoint. I difensori dovrebbero anche presumere che i loro sistemi siano stati compromessi e cercare IoC identificati nelle campagne osservate. Oltre a identificare e rimuovere qualsiasi infezione da malware, gli utenti dovrebbero mitigare il rischio rappresentato dalle credenziali rubate. Per farlo è necessario aggiornare le chiavi macchina ASP.NET tramite PowerShell (cmdlet Update-SPMachineKey) o eseguire il Machine Key Rotation Job nella Central Administration, quindi riavviare IIS con iisreset.exe per applicare le modifiche.

Riepilogo

La catena di attacchi conosciuta come ToolShell espone gli utenti di Microsoft SharePoint a un rischio molto elevato di esecuzione remota di codice (RCE) senza necessità di autenticazione. L’attacco combina un bypass della logica di autenticazione con un difetto di deserializzazione. Sebbene Microsoft abbia rilasciato le prime patch per CVE-2025-49704 e CVE-2025-49706 a luglio 2025, sono emerse nuove varianti più insidiose, identificate come CVE-2025-53770 e CVE-2025-53771, già attivamente sfruttate a livello globale. Gli utenti devono applicare con tempestività tutti gli aggiornamenti di sicurezza disponibili, eliminare eventuali malware installati dagli aggressori, ruotare le chiavi macchina ASP.NET e verificare la resilienza dell’infrastruttura. Le soluzioni OPENVAS SECURITY INTELLIGENCE di Greenbone offrono una copertura completa e affidabile, in grado di rilevare rapidamente istanze vulnerabili di Microsoft SharePoint tra oltre 180.000 altre vulnerabilità

Da 15 anni, OPENVAS rappresenta un punto di riferimento per la sicurezza open source a livello mondiale, dalle piccole imprese alle istituzioni pubbliche, fino agli operatori di infrastrutture critiche. OPENVAS è stato sviluppato da Greenbone ed è alla base sia dei prodotti Enterprise che delle versioni Community. Il marchio OPENVAS è riconosciuto a livello globale ed è simbolo di affidabilità open source avanzata, che non ha nulla da invidiare alle soluzioni proprietarie della concorrenza.

Da ora in poi, il nome OPENVAS sarà al centro di tutte le nostre attività. Le nostre soluzioni consolidate e i nuovi prodotti saranno disponibili sotto un unico marchio forte e coerente: OPENVAS.

Perché abbiamo scelto OPENVAS

Il nome OPENVAS è conosciuto a livello internazionale, è sinonimo di affidabilità open source e descrive chiaramente il suo scopo: identificare e ridurre i rischi digitali.

Con il nuovo schema di denominazione, rendiamo le nostre soluzioni ancora più comprensibili, funzionali e uniformi a livello globale. Il nome OPENVAS di riferiva inizialmente solo a un componente tecnico, cioè il vero e proprio scanner di vulnerabilità, ma ora si è evoluto e comprende tutto il nostro consolidato portafoglio di prodotti. Abbiamo accolto con favore questa evoluzione, e utilizziamo il nostro affermato marchio open source OPENVAS in tutte le denominazioni dei nostri prodotti.

Per i nostri utenti, clienti e partner questo significa che tutti gli elementi più apprezzati delle nostre soluzioni rimangono invariati, ma con nomi nuovi e più significativi. Inoltre, quest’anno ci saranno altre novità: scansione dei container, scansione basata su agenti, una nuova API REST e molto altro ancora.

Cosa significa tutto questo per te?

  • Tutto ciò a cui sei abituato rimane invariato: le tue soluzioni continueranno a funzionare come sempre, con tutti i servizi e gli aggiornamenti di sicurezza garantiti.
  • I nuovi nomi sono studiati per creare chiarezza, in quanto ogni denominazione di prodotto descrive direttamente la sua funzione, permettendoti di risparmiare tempo ed evitare possibili fraintendimenti.
  • Marchio forte, comunicazione chiara: a livello nazionale e internazionale ci presentiamo con un nome unico: OPENVAS.

Il nostro obiettivo consolidato è offrirti la soluzione migliore per ridurre al minimo i rischi digitali in modo rapido, semplice e comprensibile.

Cosa significa tutto questo per i nostri prodotti appliance esistenti?

I prodotti esistenti continueranno a essere aggiornati come di consueto. Allo stesso tempo, riceveranno nuovi nomi, nei quali OPENVAS rimarrà sempre al centro.

Alcuni esempi: OPENVAS SCAN è il nuovo nome del prodotto per le Greenbone Enterprise Appliances, mentre il riferimento alle prestazioni rimane invariato.  Greenbone Enterprise EXA diventa OPENVAS SCAN EXA, Greenbone Enterprise 600 diventa OPENVAS SCAN 600.

Naturalmente, continueranno a esistere anche i nostri prodotti gratuiti per la community: utilizzeremo il nome OPENVAS COMMUNITY EDITION per la nostra appliance gratuita e OPENVAS COMMUNITY FEED per il relativo feed di dati contenente i test di vulnerabilità e le informazioni sulla sicurezza.

Greenbone  rimane – OPENVAS diventa il nuovo marchio

Greenbone rimane il nome della nostra azienda, con sede principale in Germania e succursali nel Regno Unito, in Italia e nei Paesi Bassi. Il nome Greenbone si è affermato nei paesi di lingua tedesca; perciò, non intendiamo rinominare Greenbone AG in OPENVAS AG. A livello internazionale, invece, siamo molto più conosciuti come OPENVAS e pertanto operiamo con questo marchio: OPENVAS UK, OPENVAS IT, OPENVAS NL.

Rafforzando il nostro marchio OPENVAS, rendiamo visibile la nostra missione in oltre 150 paesi in tutto il mondo: rendere la sicurezza informatica comprensibile, affidabile e accessibile.

Greenbone AG si impegna costantemente a fornire dati relativi alle vulnerabilità attraverso canali indipendenti e affidabili. Alla luce delle recenti discussioni sul finanziamento e sulla sostenibilità del programma CVE gestito dall’organizzazione statunitense MITRE, desideriamo informarti sulle misure da noi adottate per assicurare una continua erogazione delle informazioni sulle vulnerabilità.

Dal 1999, il sistema CVE rappresenta la base centrale per l’identificazione e la classificazione univoca delle vulnerabilità IT. Il finanziamento del database centrale CVE è attualmente garantito dal governo degli Stati Uniti fino ad aprile 2026. In questo contesto, Greenbone ha adottato tempestivamente misure strutturali per diventare più indipendente dalle singole fonti di dati.

Con il marchio OPENVAS, Greenbone è tra i principali fornitori open source a livello mondiale nell’ecosistema della sicurezza IT. Contribuiamo attivamente allo sviluppo di infrastrutture decentralizzate e sostenibili per la fornitura di informazioni sulle vulnerabilità e puntiamo su modelli innovativi e sostenibili che proteggono efficacemente i nostri clienti dai rischi per la sicurezza.

Il nostro approccio sovrano ai dati si basa su tre pilastri fondamentali:

  • Ampia diversificazione delle fonti: I nostri sistemi e il nostro team di ricerca sulla sicurezza monitorano numerose fonti di informazione internazionali per poter reagire tempestivamente a nuove minacce in modo indipendente dal processo CVE ufficiale.
  • Integrazione di database alternativi: per creare una base informativa stabile e geograficamente diversificata, integriamo nei nostri sistemi cataloghi di vulnerabilità indipendenti, come l’European Union Vulnerability Database (EUVD).
  • Promozione di standard aperti: sosteniamo attivamente la diffusione dello standard CSAF (Common Security Advisory Framework), che abilita una distribuzione decentralizzata e federata delle informazioni sulle vulnerabilità.

Grazie a queste misure garantiamo ai nostri clienti un accesso illimitato alle informazioni aggiornate sulle vulnerabilità, anche in caso di cambiamenti nell’ecosistema internazionale dei dati. In questo modo, i tuoi sistemi IT resteranno completamente protetti anche in futuro.

Greenbone è sinonimo di acquisizione indipendente, sovrana e a prova di futuro delle informazioni sulle vulnerabilità, anche in un contesto geopolitico in continua evoluzione.

OPENVAS REPORT nostro ultimo prodotto, è in grado di aggregare i dati provenienti da un numero pressoché illimitato di Greenbone Enterprise Appliance, presentandoli in modo chiaro su una dashboard ben strutturata. L’interfaccia user-friendly e completa semplifica notevolmente la protezione e la messa in sicurezza anche di reti di grandi dimensioni.

Dal 2008, Greenbone AG sviluppa tecnologie open source leader per la gestione automatizzata delle vulnerabilità. Oltre 100.000 organizzazioni in tutto il mondo si affidano alla Community di Greenbone e alle edizioni Enterprise per rafforzare la loro resilienza informatica.

“OPENVAS REPORT è sinonimo di innovazione da parte del leader del mercato open source.”

“Con il nostro nuovo prodotto riduciamo in modo decisivo la lacuna fra le attuali conoscenze di sicurezza e la capacità di agire in modo più rapido, chiaro e flessibile che mai”, dichiara il Dott. Jan-Oliver Wagner, CEO di Greenbone AG.

Riconoscere le situazioni di rischio in modo più rapido ed efficace

Per proteggere le proprie infrastrutture digitali è fondamentale essere sempre aggiornati sugli eventi relativi alla sicurezza e mantenere i tempi di risposta agli eventi critici il più brevi possibili.

OPENVAS REPORT fornisce una panoramica completa e aggiornata della situazione della sicurezza dell’infrastruttura IT, per tutti i livelli decisionali.

Grazie alle appliance aziendali Greenbone collegate, OPENVAS REPORT rileva automaticamente computer e software in azienda. Gli utenti possono contrassegnarli con parole chiave, raggrupparli e ordinarli a proprio piacimento, così da mantenere una visione d’insieme anche in reti molto grandi.

Dashboard moderna e intuitiva

La dashboard di OPENVAS REPORT è uno strumento moderno, intuitivo e altamente flessibile. Consente, ad esempio, di filtrare e ordinare i dati in base alla gravità generale o al rischio specifico delle vulnerabilità. Le aziende possono così creare autonomamente visualizzazioni personalizzate che mostrano un quadro sempre aggiornato della situazione di rischio nella rete aziendale.

 

Panoramica centralizzata

OPENVAS REPORT ti permette di acquisire e valutare con un colpo d’occhio la situazione della sicurezza della tua azienda. Grazie a una guida utente semplice e chiara, anche i dati più complessi diventano leggibili e comprensibili, accelerando così il processo decisionale in situazioni critiche.

Con opzioni di filtro flessibili e personalizzabili, OPENVAS REPORT semplifica notevolmente il lavoro quotidiano di amministratori e responsabili della sicurezza.

Interfaccia flessibile

Le ampie funzioni di esportazione consentono di integrare OPENVAS REPORT in modo ancora più approfondito nell’infrastruttura, ad esempio per elaborare dati esterni all’interno dello stesso OPENVAS REPORT.

I vantaggi in sintesi

Funzione Valore aggiunto per la vostra azienda
Visibilità completa degli asset Una panoramica completa di tutti gli asset IT e delle relative vulnerabilità in un’unica interfaccia, per una valutazione accurata e aggiornata della tua sicurezza.
Dashboard user-friendly Una dashboard interattiva e ben strutturata che rende immediatamente comprensibili anche le informazioni più complesse sulle vulnerabilità, facilitando decisioni rapide e informate.
Elaborazione flessibile dei dati Diverse opzioni di esportazione, API e automazione si integrano perfettamente nei flussi di lavoro esistenti, adattandosi alle specifiche esigenze operative.
Consolidamento efficiente dei dati Aggregazione centralizzata dei risultati provenienti da più scanner e sedi, che riduce il carico amministrativo e accelera i tempi di risposta.
Classificazione personalizzabile delle vulnerabilità Livelli di gravità e tag configurabili liberamente, per mappare con precisione i modelli interni di compliance e gestione del rischio.
Funzioni di reporting avanzate Creazione istantanea di report mirati per i dirigenti, gli audit o team: filtri e link drill-down forniscono dettagli approfonditi sui problemi di sicurezza critici.

Scopri di più

Sei interessato a una demo o desideri un’offerta personalizzata? Contatta il nostro team vendite per scoprire di più su OPENVAS REPORT. Scrivici a sales@greenbone.net oppure contattaci direttamente su. Saremo lieti di rispondere a tutte le tue domande!

Nonostante l’interruzione del NIST NVD, il sistema di rilevamento di Greenbone mantiene piena operatività, garantendo scansioni affidabili delle vulnerabilità senza dipendere dai dati di arricchimento CVE mancanti.

Dal 1999, il Common Vulnerabilities and Exposures (CVE), gestito dalla MITRE Corporation, fornisce gratuitamente informazioni pubbliche sulle vulnerabilità, pubblicando e aggiornando dati sulle falle del software. Dal 2005, il National Institute of Standards and Technology (NIST) ha arricchito questi rapporti CVE, dando maggiore contesto per migliorare la valutazione del rischio informatico. Tuttavia, all’inizio del 2024, la comunità della sicurezza informatica è stata sorpresa dall’interruzione delle attività del NIST National Vulnerability Database (NVD). A circa un anno di distanza, questa interruzione non è stata ancora completamente risolta [1][2]. Con il numero crescente di CVE segnalati ogni anno, le difficoltà del NIST hanno causato un ritardo significativo nell’assegnazione di contesti fondamentali come il punteggio di gravità (CVSS), gli elenchi di prodotti interessati (CPE) e le classificazioni delle debolezze (CWE).

I cambiamenti politici promossi di recente dall’amministrazione Trump hanno generato notevole incertezza riguardo al futuro della condivisione delle informazioni sulle vulnerabilità, influenzando anche numerosi fornitori di sicurezza che da tali dati dipendono. Parallelamente, il bilancio 2025  della Cybersecurity and Infrastructure Security Agency (CISA), riflette una significativa riduzione delle risorse in aree chiave. In particolare, si registra un taglio di circa 49,8 milioni di dollari destinati ad appalti, costruzioni e miglioramenti e una diminuzione di 4,7 milioni di dollari per attività di ricerca e sviluppo. Questi ridimensionamenti hanno spinto la CISA ad adottare misure di contenimento delle spese, tra cui la revisione dei contratti e l’ottimizzazione delle strategie di approvvigionamento.

Nonostante le recenti preoccupazioni, il programma CVE non ha subito alcuna interruzione: il 16 aprile 2025, la CISA ha esteso all’ultimo minuto il contratto con MITRE, garantendo la continuità dei servizi CVE per altri 11 mesi, proprio poche ore prima della scadenza prevista. Tuttavia, l’evoluzione degli eventi rimane imprevedibile. Il potenziale impatto negativo sulla condivisione dell’intelligence suscita allarme, configurando forse una nuova dimensione geopolitica, paragonabile a una forma di guerra fredda digitale.

Questo articolo fornisce una breve panoramica sul funzionamento del programma CVE e su come le capacità di rilevamento di Greenbone siano rimaste invariate durante l’interruzione del NIST NVD.

Funzionamento del programma CVE: una panoramica

La MITRE Corporation, organizzazione senza scopo di lucro, opera come pilastro strategico per la sicurezza interna statunitense abbracciando ricerca difensiva, protezione delle infrastrutture critiche e cybersecurity. Nella gestione del programma CVE, MITRE ricopre un ruolo centrale come Primary CNA (CVE Numbering Authority), coordinando l’infrastruttura chiave per l’assegnazione degli ID CVE, la pubblicazione dei record e i flussi di comunicazione tra tutti i CNA e gli Authorized Data Publishers (ADP). I dati CVE sono resi pubblici attraverso il sito web del MITRE CVE.org  e il repository cvelistV5 su GitHub, dove i record sono archiviati in formato JSON strutturato. Questo modello ha ottimizzato il reporting delle vulnerabilità, standardizzato i processi e assicurato una condivisione dei dati fluida nell’ecosistema della sicurezza informatica globale.

Quando in passato un CNA inviava una descrizione della vulnerabilità al MITRE, il NIST ha sempre aggiunto informazioni chiave quali:

  • CVSS (Common Vulnerability Scoring System): un punteggio di gravità (da 0 a 10) e una stringa vettoriale dettagliata che descrive il rischio associato alla vulnerabilità. Il CVSS valuta fattori come la complessità dell’attacco (Attack Complexity, AC), l’impatto su riservatezza (Confidentiality, C), integrità (Integrity, I) e disponibilità (Availability, A), oltre ad altri parametri.
  • CPE (Common Platform Enumeration): una stringa appositamente formattata che identifica in modo univoco i prodotti e le versioni interessate dalla vulnerabilità, includendo nome del prodotto, fornitore e dettagli architetturali.
  • CWE (Common Weakness Enumeration): classifica le cause profonde della vulnerabilità in base alla tipologia del difetto software.

ll CVSS consente alle organizzazioni di quantificare il rischio associato a una vulnerabilità attraverso un punteggio standardizzato (0-10), facilitando la prioritizzazione strategica degli interventi di bonifica. Poiché le segnalazioni CVE iniziali includono solo dichiarazioni non standardizzate sui prodotti coinvolti, l’integrazione dei CPE da parte del NIST consente alle piattaforme di sicurezza di utilizzare il matching CPE come metodo rapido, sebbene parzialmente inaffidabile, per identificare la presenza di vulnerabilità nell’infrastruttura di un’organizzazione.

Se desideri approfondire come funziona il procedimento di divulgazione delle vulnerabilità e il ruolo di CSAF 2.0 come alternativa decentralizzata al programma CVE del MITRE, leggi il nostro articolo: Cos’è il Common Security Advisory Framework 2.0 e come automatizza il vulnerability management. Di seguito procediamo ad esaminare le criticità del NIST NVD e identifichiamo gli elementi che garantiscono la capacità di Greenbone di rilevare le vulnerabilità nonostante il malfunzionamento del database federale.

Interruzione NVD del NIST: cos’è successo?

A partire dal 12 febbraio 2024, il NVD ha ridotto drasticamente l’arricchimento delle vulnerabilità CVE con metadati importanti come punteggi CVSS, identificatori CPE e classificazioni CWE. Il problema è emerso inizialmente grazie al vicepresidente della sicurezza di Anchore, che ne ha segnalato l’impatto operativo. A maggio 2024, circa il 93% delle CVE aggiunte dopo il 12 febbraio risultava privo di analisi contestuali. A settembre 2024, il NIST non ha rispettato la scadenza autoimposta per colmare il ritardo: il 72,4% delle CVE e il 46,7% delle KEV (Known Exploited Vulnerabilities) del CISA rimanevano non erano ancora state arricchite [3].

Il rallentamento del processo di arricchimento del National Vulnerability Database (NVD) ha avuto ripercussioni significative per la comunità della sicurezza informatica. Non solo perché i dati arricchiti sono fondamentali per i difensori nel definire con efficacia le priorità delle minacce, ma anche perché numerosi strumenti di scansione delle vulnerabilità si basano su questi metadati per rilevare e valutare le falle di sicurezza.

In qualità di difensore della cybersecurity, è lecito chiedersi se Greenbone sia stato colpito dall’interruzione del NIST NVD. La risposta è no. Continua a leggere per scoprire perché le capacità di rilevamento di Greenbone sono riuscite a far fronte all’interruzione del NIST NVD.

Il rilevamento di Greenbone risulta efficace nonostante l’interruzione NVD

Senza metadati CVE arricchiti, molte soluzioni di sicurezza risultano inefficaci a causa della dipendenza dalla corrispondenza CPE per identificare le vulnerabilità. Tuttavia, Greenbone è riuscito a far fronte all’interruzione del NIST NVD grazie a un approccio indipendente dal CPE: i test di vulnerabilità OpenVAS possono essere sviluppati direttamente dalle descrizioni CVE non arricchite, integrando anche il rilevamento di configurazioni errate e vulnerabilità senza CVE, come i benchmark CIS [4][5]. 

Per sviluppare i test di vulnerabilità (VT), Greenbone si avvale di un team dedicato di ingegneri software specializzati nell’analisi degli aspetti tecnici alla base delle vulnerabilità. Il sistema include uno scanner CVE in grado di eseguire una corrispondenza CPE tradizionale, ma si distingue dalle soluzioni dipendenti esclusivamente dai dati CPE del NIST NVD grazie a tecniche di rilevamento avanzate che superano i limiti del matching di base. Questa architettura ibrida – tra automazione standardizzata e analisi contestuale – garantisce capacità di rilevamento solide anche durante interruzioni critiche come quella recente del NIST NVD.

Per garantire un rilevamento delle vulnerabilità resiliente e all’avanguardia, lo scanner OpenVAS di Greenbone interagisce attivamente con i servizi di rete esposti, costruendo una mappa dettagliata della superficie di attacco di una rete target. Questo comprende l’identificazione dei servizi accessibili tramite connessioni di rete, l’analisi dei prodotti in esecuzione e l’esecuzione di test specifici (VT) per ogni vulnerabilità CVE o non-CVE, verificandone attivamente la presenza. L’Enterprise Vulnerability Feed di Greenbone include oltre 180.000 VT aggiornati quotidianamente, garantendo il rilevamento tempestivo delle ultime vulnerabilità segnalate e un’individuazione rapida delle minacce emergenti.

Oltre alle scansioni attive, Greenbone integra scansioni autenticate agentless che raccolgono dati dettagliati dagli endpoint, analizzando i pacchetti software installati e confrontandoli con i CVE noti. Questo approccio garantisce un rilevamento preciso delle vulnerabilità, bypassando la dipendenza dai dati CPE arricchiti del NVD.

Punti di forza:

  • Indipendenza dai dati CVE arricchiti: Greenbone garantisce il rilevamento continuo senza dipendere dai metadati arricchiti del NIST NVD, mantenendo prestazioni stabili anche durante interruzioni del database federale. Una descrizione di base di una vulnerabilità consente agli ingegneri di Greenbone di sviluppare un modulo di rilevamento.
  • Rilevamento avanzato oltre il CPE: sebbene Greenbone includa uno scanner CVE con corrispondenza CPE, le sue capacità si estendono ben oltre questo approccio tradizionale, integrando metodi attivi di interazione con i target per un rilevamento più accurato.
  • Mappatura della superficie di attacco: lo scanner OpenVAS di Greenbone interagisce attivamente con i servizi esposti per mappare la superficie di attacco della rete, identificando tutti i servizi raggiungibili. Le scansioni autenticate agentless raccolgono dati direttamente dagli endpoint per analizzare i pacchetti software installati, confrontandoli con i CVE noti senza dipendere dai dati CPE arricchiti.
  • Resilienza alle interruzioni dell’arricchimento NVD: il rilevamento di Greenbone risulta efficace anche senza dati NVD arricchiti, perché si serve delle descrizioni CVE dei CNA per sviluppare controlli attivi precisi e valutazioni basate sulle versioni software.

L’approccio di Greenbone è pratico, efficace e resistente

Greenbone rappresenta il punto di riferimento in termini di praticità, efficacia e resilienza nel campo della gestione delle vulnerabilità. Le sue soluzioni sono progettate per fornire una protezione proattiva e affidabile contro le minacce informatiche, adattandosi a una vasta gamma di ambienti IT. Utilizzando la mappatura attiva della rete e le scansioni autenticate, le soluzioni Greenbone interagiscono direttamente con l’infrastruttura di destinazione.

Questi standard elevati permettono alle aziende di identificare le vulnerabilità in modo preciso e tempestivo, anche in ambienti complessi e distribuiti. Anche in assenza dell’arricchimento del National Vulnerability Database (NVD), i metodi di rilevamento delle vulnerabilità di Greenbone rimangono efficaci e affidabili. Gli ingegneri di Greenbone possono sviluppare controlli attivi accurati e valutazioni delle vulnerabilità basate sulla versione del prodotto, utilizzando le informazioni disponibili nei rapporti iniziali dei CVE.

Grazie a un approccio intrinsecamente resiliente nel rilevamento delle vulnerabilità, Greenbone assicura una gestione affidabile delle minacce, emergendo come punto di riferimento nel panorama della cybersecurity.

Alternative a NVD / NIST / MITRE

La problematica del MITRE rappresenta un campanello d’allarme per la sovranità digitale europea, ma l’UE ha reagito con tempestività: l’EuVD di ENISA, l’Agenzia dell’Unione per la cybersecurity, è ora operativa. Ne parleremo nel nostro prossimo articolo.

Le falle di sicurezza informatica nell’ambito IT si presentano in diverse forme. Tra le più comuni figurano le vulnerabilità legate a software non aggiornati, password deboli, configurazioni errate e l’utilizzo di switch di rete obsoleti. Tuttavia, un tipo di esposizione che spesso genera confusione durante le scansioni riguarda le vulnerabilità hardware.

Abbiamo imparato a convivere con la continua scoperta di vulnerabilità software. Per garantire una sicurezza informatica affidabile, ormai è prassi consolidata per ogni azienda (o almeno si spera) eseguire regolarmente scansioni della rete per identificare tali vulnerabilità e applicare le relative patch. Tuttavia, non sono solo gli sviluppatori di software a commettere errori: anche i processori possono contenere difetti. Le vulnerabilità nei chip spesso derivano da errori di progettazione che permettono a malintenzionati di sfruttare effetti collaterali imprevisti per accedere a dati sensibili. A differenza delle vulnerabilità software, generalmente correggibili con patch o aggiornamenti, quelle hardware richiedono aggiornamenti del microcodice o, in alcuni casi, modifiche strutturali nei progetti futuri dei processori.

Aggiornamenti del microcodice

L’unico metodo per risolvere le vulnerabilità della CPU e continuare così a garantire la sicurezza informatica è l’applicazione di aggiornamenti del microcodice, normalmente distribuiti tramite il sistema operativo o, in alcuni casi, attraverso il firmware (UEFI/BIOS). Il microcodice rappresenta un livello software all’interno del processore che traduce i comandi di alto livello in operazioni interne specifiche.

Anche se gli utenti finali generalmente non aggiornano il microcodice autonomamente, produttori come Intel forniscono update mirati per correggere alcune vulnerabilità, evitando la necessità di sostituire completamente l’hardware. Tuttavia, tali aggiornamenti possono comportare una diminuzione delle prestazioni, poiché disattivano o modificano alcune ottimizzazioni della CPU per prevenire il rischio di sfruttamento. In alcuni casi, questo può anche causare fino a un 50% di riduzione delle prestazioni.

Vulnerabilità su più fronti

Poiché queste vulnerabilità si trovano a livello di CPU, vengono rilevate e segnalate da tool come Greenbone Enterprise Appliance. Tuttavia, questo può generare confusione, poiché gli utenti potrebbero erroneamente pensare che le vulnerabilità segnalate riguardino il sistema operativo. È fondamentale comprendere che non si tratta di falle di sicurezza informatica nel sistema operativo, ma di difetti architetturali all’interno del processore stesso.

Le vulnerabilità vengono rilevate verificando la presenza delle patch di microcodice appropriate per la CPU identificata. Ad esempio, se una scansione rileva un sistema privo dell’aggiornamento del microcodice Intel per Downfall, viene segnalato come vulnerabile. Tuttavia, questo non implica che il sistema operativo stesso sia insicuro o la sicurezza informatica in generale sia a rischio.

Performance o sicurezza?

Per gestire le vulnerabilità della CPU è sempre necessario scendere a compromessi, e gli utenti devono scegliere l’approccio più adatto alle loro esigenze per garantire una sicurezza informatica ottimale. In generale, le opzioni disponibili sono tre:

  • Applicare gli aggiornamenti del microcodice, accettando una possibile riduzione delle prestazioni, soprattutto per i carichi di lavoro ad alta intensità di calcolo.
  • Evitare alcuni aggiornamenti del microcodice, assumendosi il rischio qualora la probabilità di sfruttamento nell’ambiente in uso sia considerata bassa.
  • Sostituire l’hardware interessato con CPU non affette da queste vulnerabilità.

In ultima analisi, la scelta dipende dal caso d’uso specifico e dal livello di tolleranza al rischio dell’organizzazione o dei singoli responsabili.

Di recente, nel software MegaRAC BMC (Baseboard Management Controller) di American Megatrends International (AMI) è stata identificata la falla di sicurezza CVE-2024-54085, valutata con il punteggio di rischio CVSS 10, il più elevato possibile. Questa vulnerabilità consente agli aggressori di bypassare i meccanismi di autenticazione e accedere ai sistemi vulnerabili. Considerando il ruolo predominante di AMI nella supply chain delle schede madri, numerosi fornitori hardware di rilievo potrebbero essere coinvolti. Oltre a una dichiarazione tecnica, è disponibile un Proof-of-Concept (PoC) dettagliata, il che indica che la vulnerabilità non è più solo un rischio teorico.

Utilizzando il Proof of Concept (PoC) disponibile, gli aggressori possono creare un account di servizio sulla console di gestione Redfish, ottenendo così accesso non autenticato a tutte le funzionalità remote di BMC. L’exploit è stato verificato su dispositivi come HPE Cray XD670, Asus RS720A-E11-RS24U e ASRockRack. Sebbene questa CVE sia stata pubblicata nel 2025, l’ID (CVE-2024-54085) è stato probabilmente riservato già nel 2024.

La CVE-2024-54085 permette agli aggressori di:

  • compromettere il server, assumerne il controllo totale e gestirlo da remoto
  • installare software malevolo, inclusi ransomware​
  • modificare il firmware
  • rendere inutilizzabili componenti della scheda madre (BMC o anche BIOS/UEFI) ​
  • causare danni hardware, ad esempio sovratensioni
  • indurre il server in cicli di riavvio continui, causando interruzioni prolungate del servizio (DoS).

Greenbone è in grado di individuare un server colpito attraverso test di vulnerabilità remoti che rilevano attivamente BMC esposti.

Impatto potenziale

L’interfaccia Redfish, utilizzata nel MegaRAC BMC di AMI, è una delle numerose soluzioni BMC che supportano la gestione remota dei server. Lo standard Redfish si è affermato nel mercato dei server aziendali come sostituto moderno di interfacce di gestione obsolete come l’IPMI. La vulnerabilità ha un impatto significativo su tutti i prodotti che utilizzano AMI MegaRAC, inclusi dispositivi OT, IoT e IT.  In passato, vulnerabilità simili in MegaRAC hanno interessato prodotti di numerosi produttori, tra cui Asus, Dell, Gigabyte, Hewlett Packard Enterprise (HPE), Lanner, Lenovo, NVIDIA e Tyan. AMI ha rilasciato patch per questa vulnerabilità l’11 marzo 2025. HPE e Lenovo hanno già distribuito aggiornamenti per i loro prodotti interessati.

Aspetti tecnici di CVE-2024-54085

La vulnerabilità CVE-2024-54085 è un difetto critico individuato nello stack firmware SPx (Service Processor) di AMI, componente chiave della soluzione MegaRAC BMC. I BMC (Baseboard Management Controller) sono microcontroller integrati nelle schede madri dei server che permettono la gestione e il monitoraggio remoto, anche quando il sistema è spento o non risponde.

La CVE-2024-54085 è classificata come “bypass dell’autenticazione tramite spoofing” [CWE-290]. Questo tipo di vulnerabilità si verifica quando un sistema utilizza informazioni facilmente falsificabili, come l’indirizzo IP del client, per autenticare le richieste. Sebbene la raccomandazione di AMI fornisca pochi dettagli, i ricercatori di Eclypsium, ai quali è attribuita la scoperta, hanno pubblicato un articolo dettagliato che ne spiega le cause. La vulnerabilità CVE-2024-54085 deriva dall’utilizzo dell’indirizzo IP come metodo di autenticazione. Nello specifico, la logica di controllo degli accessi basata su Lua nell’interfaccia Redfish utilizza le intestazioni HTTP, come X-Server-Addr o Host, per determinare se una richiesta HTTP è interna o esterna; le richieste interne vengono automaticamente considerate autenticate.

Nei sistemi BMC come MegaRAC, “l’interfaccia host” rappresenta la connessione, sia fisica che logica, tra il BMC e il server principale (l’host). Questa connessione può essere paragonata all’interfaccia di loopback (spesso denominata lo), comunemente associata all’indirizzo IP 127.0.0.1 e al nome host localhost. Nel contesto di MegaRAC, all’interfaccia che collega il chip BMC all’host viene assegnato un indirizzo IP dalla gamma Link-Local, specificamente nell’intervallo 169.254.0.0 fino a 169.254.255.255). Inoltre, questo indirizzo IP è incluso in un elenco di indirizzi considerati attendibili durante il processo di autenticazione HTTP di MegaRAC; pertanto, un attaccante che riesca a falsificare questo indirizzo può eludere l’autenticazione. Attraverso reverse engineering del firmware MegaRAC, i ricercatori hanno identificato che l’indirizzo Link-Local 169.254.0.17 viene utilizzato su più chip BMC.

L’errore è dovuto all’implementazione di un’espressione regolare che estrae il testo dall’intestazione HTTP X-Server-Addr fino al primo due punti e verifica se corrisponde agli indirizzi IP attendibili memorizzati in un database Redis. I chip BMC utilizzano Lighttpd come server web incorporato, che aggiunge automaticamente un’intestazione X-Server-Addr con l’indirizzo IP dell’istanza Redfish. Se una richiesta include già l’intestazione fornita dal client, Lighttpd concatena il proprio valore a quello ricevuto. Questo permette a un attaccante di inviare un’intestazione appositamente modificata, manipolando così il valore estratto dall’espressione regolare. Fornendo un valore X-Server-Addr corrispondente all’indirizzo Link-Local del sistema host seguito da due punti (ad esempio, 169.254.0.17:), un malintenzionato può indurre il BMC a interpretare la richiesta come proveniente dall’interfaccia host interna, bypassando completamente l’autenticazione.

Una volta bypassata l’autenticazione, il resto della richiesta HTTP viene elaborato normalmente, consentendo all’attaccante di eseguire qualsiasi azione API disponibile. Ciò include la creazione di account con privilegi elevati, ottenendo il controllo remoto completo del BMC del server e l’accesso alla sua interfaccia web di amministrazione.

Strategie per mitigare la CVE-2024-54085

Le aziende devono monitorare attentamente le indicazioni dei propri fornitori di hardware e applicare tempestivamente gli aggiornamenti firmware non appena resi disponibili. Come misura temporanea, è consigliabile consultare i manuali dei dispositivi per verificare la possibilità di disattivare l’interfaccia Redfish quando non è in uso. Poiché i BMC rimangono operativi anche quando il server principale è spento, i sistemi interessati devono essere considerati permanentemente a rischio fino all’applicazione della patch firmware, a meno che Redfish non venga disabilitato o il sistema sia isolato dalla rete (air-gap). I responsabili di sicurezza possono sviluppare regole specifiche per firewall o sistemi di prevenzione delle intrusioni (IPS) al fine di bloccare tentativi di sfruttare questa vulnerabilità e di proteggere le interfacce di gestione BMC vulnerabili.

Poiché l’errore risiede in un firmware proprietario incorporato, l’applicazione delle patch risulta più complessa rispetto agli aggiornamenti di routine del sistema operativo o delle applicazioni. A differenza del software tradizionale, il firmware BMC risiede su un chip dedicato della scheda madre. Pertanto, l’aggiornamento del firmware BMC richiede l’uso di un’utilità software speciale fornita dal produttore del dispositivo per “flashare” il firmware aggiornato. Questo processo può causare periodi di inattività, poiché gli amministratori potrebbero dover avviare il sistema in un ambiente speciale e riavviarlo al termine dell’aggiornamento del firmware.

Per riassumere

La vulnerabilità CVE-2024-54085 rappresenta un rischio significativo per l’infrastruttura aziendale, poiché consente il controllo remoto non autenticato di server prodotti da importanti fornitori come HPE e Lenovo. Data la diffusione del software MegaRAC di AMI nei data center, lo sfruttamento di questa falla potrebbe causare guasti estesi, hardware inutilizzabile o periodi di inattività prolungati. È quindi essenziale riconoscere immediatamente questa minaccia e applicare le patch firmware fornite dai produttori per tutti i sistemi interessati.

Greenbone è in grado di individuare un server colpito attraverso test di vulnerabilità remoti che rilevano attivamente BMC che possono essere colpiti.

La vulnerabilità CVE-2024-4577 (CVSS 9.8 critica) ha recentemente conquistato una posizione di rilievo tra le falle di sicurezza più pericolose. Scoperta dai ricercatori di Devcore a inizio giugno 2024, è stata sfruttata in sole 48 ore dalla sua pubblicazione. CVE-2024-4577 è una vulnerabilità di Command Injection [CWE-78] nel “sistema operativo” PHP-CGI OS che interessa PHP per Windows. I criminali informatici non hanno perso tempo e hanno sfruttato questa falla per diffondere il ransomware “TellYouThePass”, portando la Cybersecurity and Infrastructure Security Agency (CISA) a includerla nella sua lista KEV (Known Exploited Vulnerabilities). E nei mesi successivi, lo sfruttamento di CVE-2024-4577 non accenna a diminuire.

Greenbone ha preparato test di vulnerabilità (VT) mirati per individuare i sistemi interessati da CVE-2024-4577. Questo consente ai responsabili IT di identificare i sistemi esposti all’interno delle infrastrutture di rete pubbliche o interne. Ma guardiamo più da vicino quale minaccia costituisce CVE-2024-4577.

Come viene sfruttato CVE-2024-4577

Il team di watchTowr Labs ha pubblicato un codice exploit Proof of Concept (PoC) e un’analisi tecnica dettagliata della vulnerabilità CVE-2024-4577. Inoltre, a metà del 2024, è stato rilasciato un modulo Metasploit. Organizzazioni come il CERT della Nuova Zelanda (CERT NZ), il CERT canadese, il CERT-EU (CERT dell’Unione europea) e il CERT-FR (CERT del governo francese) hanno emesso avvisi di sicurezza riguardanti CVE-2024-4577 già nel giugno 2024.

A causa di CVE-2024-4577, il PHP-CGI (Common Gateway Interface) può interpretare erroneamente alcuni caratteri come parametri PHP, permettendo a un attaccante di passarli al file binario php.exe. Questo espediente consente di esporre il codice sorgente degli script o di eseguire codice PHP arbitrario sul server. CVE-2024-4577 è considerata una variante di una precedente falla di sicurezza in PHP (per la quale è già disponibile una patch), nota come CVE-2012-1823.

Quando un aggressore ottiene l’accesso iniziale alla rete di una vittima tramite tecniche come il social engineering o lo sfruttamento di altre vulnerabilità software, la falla CVE-2024-4577 può consentirgli di muoversi lateralmente all’interno del sistema. Questo movimento laterale permette all’attaccante di stabilire una presenza furtiva, penetrare più a fondo nell’infrastruttura della vittima e ampliare l’impatto dell’attacco informatico.

Aspetti tecnici di CVE-2024-4577

In sintesi, lo sfruttamento della vulnerabilità CVE-2024-4577 avviene attraverso la conversione di caratteri Unicode, che consente l’inserimento di argomenti di linea di comando malevoli nel processo php.exe. Quando la modalità CGI è attivata, i server web analizzano le richieste HTTP e le inoltrano agli script PHP per l’elaborazione. Tuttavia, in questa modalità, gli attributi vengono estratti dall’URL e passati come argomenti all’eseguibile PHP (php.exe su Windows), introducendo potenziali rischi elevati per la sicurezza.

Sebbene PHP-CGI debba eliminare i metacaratteri della shell (come trattini, doppi trattini, il simbolo “&” e il segno “=”) prima dell’elaborazione, esiste comunque la possibilità che gli aggressori possano aggirare questo processo di pulizia, aprendo la strada a vulnerabilità di Command Injection. Un esempio significativo è rappresentato dallo sfruttamento di CVE-2012-1823. Inoltre, le continue sfide legate alla codifica dei caratteri offrono agli aggressori ulteriori opportunità per eseguire attacchi XSS e SQL.

In questa variante dell’attacco, i malintenzionati usano il trattino breve (0xAD) al posto del trattino standard (0x2D) per avviare direttive PHP, ottenendo così l’esecuzione di codice da remoto (RCE). Questo accade perché Windows utilizza il set di caratteri UCS-2, che converte tutti i caratteri nel corrispondente punto di codice UCS-2 e applica una conversione “best-fit”. Nel contesto della vulnerabilità CVE-2024-4577, questa conversione trasforma i trattini brevi in trattini standard. Di conseguenza, un aggressore può iniettare argomenti nel processo php.exe, anteponendo ed eseguendo il corpo della richiesta HTTP stessa. Questo avviene aggiungendo il comando “-d allow_url_include=1 -d auto_prepend_file=php://input” alla stringa HTTP-GET, utilizzando trattini brevi codificati in URL. I trattini brevi sono caratteri UTF-8 generalmente invisibili, utilizzati per indicare possibili interruzioni di parola; tuttavia, grazie alla conversione “best-fit” di Windows, vengono interpretati come flag della riga di comando.

Nel 2025, CVE-2024-4577 sarà sfruttato a livello globale

Secondo alcuni rapporti pubblicati a marzo 2025, gli attacchi che sfruttano la vulnerabilità CVE-2024-4577 sono in aumento e sempre più diffusi. È stato scoperto che a gennaio 2025, attori malevoli hanno preso di mira organizzazioni giapponesi nei settori della tecnologia, delle telecomunicazioni, dell’istruzione, dell’intrattenimento e dell’e-commerce. Sfruttando questa vulnerabilità, gli aggressori hanno ottenuto l’accesso iniziale ai sistemi delle vittime, installato plugin come “TaoWu” di Cobalt Strike e modificato le chiavi di registro di Windows per garantire un accesso permanente tramite attività pianificate.

Un ulteriore rapporto di Greynoise indica che lo sfruttamento di CVE-2024-4577 tramite attacchi di mass exploitation si è esteso a obiettivi negli Stati Uniti, Regno Unito, Singapore, Indonesia, Taiwan, Hong Kong, India, Spagna e Malesia. La Germania e la Cina sono state identificate come le principali fonti di attacchi, rappresentando il 43% del totale. La rete globale di honeypot di GreyNoise ha rilevato oltre 1.089 indirizzi IP unici che tentavano di sfruttare questa vulnerabilità solo nel gennaio 2025 e ha identificato 79 kit di exploit pubblicamente disponibili. La società di sicurezza informatica avverte che il volume degli attacchi è in veloce aumento, alimentato da scansioni automatizzate, e segnala una minaccia informatica in rapida escalation.

Mitigazione di CVE-2024-4577

CVE-2024-4577 interessa tutte le versioni di PHP di Windows precedenti a 8.1.29, 8.2.20 e 8.3.8, includendo anche le versioni obsolete come PHP 5 e PHP 7, ormai giunte al termine del loro ciclo di vita. La soluzione ottimale per affrontare questa vulnerabilità è l’aggiornamento immediato a una versione corretta di PHP. Qualora l’aggiornamento immediato non fosse possibile, si consiglia di disabilitare l’esecuzione in modalità PHP-CGI in favore di PHP-FPM (FastCGI Process Manager). In alternativa, l’implementazione di un Web Application Firewall (WAF) può aiutare a filtrare e bloccare i tentativi di exploit.

È inoltre importante che gli amministratori di sistema PHP siano consapevoli dei rischi aggiuntivi associati all’uso della modalità CGI e adottino le misure necessarie per garantire una sicurezza ottimale.

Greenbone ha implementato test di vulnerabilità (VT) per identificare i sistemi interessati da CVE-2024-4577 sin dalla sua pubblicazione a giugno 2024.

Questi strumenti di rilevamento precoce permettono ai professionisti della sicurezza di individuare sistemi vulnerabili sia nelle reti pubbliche che in quelle interne. I test di Greenbone includono sia il riconoscimento delle versioni remote [1][2] , sia controlli attivi[3].

Per riassumere

CVE-2024-4577 è una vulnerabilità critica che interessa le installazioni di PHP su Windows, consentendo l’esecuzione di codice remoto (RCE). Questa falla è stata sfruttata entro 48 ore dalla sua divulgazione, con attacchi che hanno distribuito il ransomware TellYouThePass. Rapporti di Cisco e Greynoise indicano un aumento globale dello sfruttamento di CVE-2024-4577, con diverse segnalazioni da parte di CERT nazionali. Per proteggere le infrastrutture, i responsabili della sicurezza devono individuare i prodotti vulnerabili e aggiornare immediatamente PHP alle versioni corrette (8.1.29, 8.2.20 o 8.3.8). In alternativa, possono disabilitare PHP-CGI o passare a PHP-FPM (FastCGI Process Manager).

Due nuove vulnerabilità in Apache Camel richiedono l’attenzione immediata degli utenti. Il 9 marzo 2025, Apache ha divulgato la vulnerabilità CVE-2025-27636 (CVSS 5.6) per l’esecuzione di codice remoto. Pochi giorni dopo, l’11 marzo, il Security Intelligence Group (SIG) di Akamai ha identificato una tecnica per aggirare la patch originale, portando alla pubblicazione della vulnerabilità CVE-2025-29891 (CVSS 4.2) il 12 marzo. ​

Grüne Grafik mit stilisiertem Kamel in einer Wüstenlandschaft. Rechts daneben ein Button mit der Aufschrift ‚RCE in Apache Camel‘.

Sebbene l’Authorized Data Publisher (ADP) della Cybersecurity and Infrastructure Security Agency (CISA) abbia assegnato punteggi CVSS moderati a queste due vulnerabilità, a seconda della configurazione dell’istanza Apache Camel interessata le loro conseguenze possono essere gravi. Entrambe le vulnerabilità derivano da un filtraggio inadeguato delle intestazioni o dei parametri HTTP durante la comunicazione con un’istanza di Apache Camel. In particolare, il problema risiede nella gestione delle maiuscole e minuscole: mentre il filtraggio dei parametri considera la distinzione tra maiuscole e minuscole, l’applicazione degli argomenti non lo fa. Inoltre, la disponibilità pubblica di codice Proof of Concept (PoC) e di descrizioni tecniche dettagliate aumenta il rischio associato a queste vulnerabilità.

Greenbone ha implementato test di vulnerabilità (VT) per individuare sistemi esposti alle CVE-2025-27636 e CVE-2025-29891. Questi test eseguono scansioni attive sugli endpoint HTTP per rilevare potenziali punti deboli. Ma vediamo il tutto nel dettaglio.

Cos’è Apache Camel?

Apache Camel è una libreria Java open source progettata per facilitare l’integrazione di diversi componenti all’interno di architetture di sistema aziendali distribuite, come API o microservizi. Fornisce una piattaforma versatile per il routing e la trasmissione dei dati, basata sul concetto di Enterprise Integration Patterns (EIP), che rappresentano modelli architetturali per l’integrazione dei sistemi aziendali. Camel implementa questi modelli attraverso vari domain-specific Languages (DSL), tra cui Java, XML, Groovy e YAML, consentendo ai programmatori di definire in modo flessibile le regole di routing e mediazione.

Nel 2021, Apache Camel deteneva una quota del 3,03% nel mercato dell’Enterprise Application Integration. Oltre 5.600 aziende (di cui circa la metà con sede negli Stati Uniti) hanno adottato il software. Camel è particolarmente diffuso nei settori della tecnologia e dei servizi IT (33%), del software (12%) e dei servizi finanziari (6%).

Due CVE in Apache Camel consentono l’header injection

Quando un componente HTTP di Apache Camel elabora una richiesta, un filtro predefinito dovrebbe impedire la divulgazione di dati sensibili o l’esecuzione di comandi interni. Tuttavia, a causa di una regola di filtro errata che distingue tra maiuscole e minuscole, vengono filtrate solo le intestazioni corrispondenti al 100%, mentre nella logica del programma queste si applicano senza tenere in considerazione la distinzione maiuscole-minuscole. Questo ha permesso di bypassare il filtro modificando la maiuscola o minuscola del primo carattere del nome dell’intestazione, consentendo a un attaccante di infiltrare qualsiasi intestazione.

La buona notizia è che i componenti camel-bean o camel-exec devono essere attivati in combinazione con un componente basato su HTTP, come camel-http, camel-http4, camel-rest o camel-servlet. Inoltre, lo sfruttamento è limitato ai metodi interni specificati nell’URI della richiesta HTTP. È rassicurante anche sapere che questa vulnerabilità richiede autenticazione per essere sfruttata. Pertanto, se gli sviluppatori hanno implementato meccanismi di autorizzazione per l’API HTTP di Camel, il rischio di sfruttamento da parte di utenti senza le giuste credenziali è significativamente ridotto.

Al vertice della scala di rischio, l’attivazione mirata del componente “Camel Exec” può consentire a un attaccante di eseguire comandi arbitrari sul sistema con i privilegi dell’utente che esegue il processo Camel. Questo è possibile inviando l’header “CamelExecCommandExecutable” per specificare un comando shell che sovrascrive quelli configurati nel back-end. Il rischio è particolarmente elevato quando le API HTTP vulnerabili di Camel risultano accessibili da Internet. Tuttavia, questa vulnerabilità potrebbe essere sfruttata anche da un insider per muoversi lateralmente all’interno della rete o da aggressori che hanno già ottenuto un accesso iniziale alla rete interna di un’organizzazione.

Akamai ha fornito una descrizione tecnica della catena di exploit e del Proof of Concept.

Qual è il punteggio CVSS appropriato?

Sebbene le vulnerabilità CVE-2025-27636 (CVSS 5.6) e CVE-2025-29891 (CVSS 4.2) siano state classificate come moderatamente gravi, il loro impatto può diventare critico se i componenti “camel-bean” o “camel-exec” sono attivati in combinazione con componenti basati su HTTP. Questa situazione mette in evidenza alcune limitazioni del Common Vulnerability Scoring System (CVSS), che fornisce una valutazione standardizzata della gravità delle vulnerabilità, ma non sempre considera il contesto specifico di utilizzo.

I ricercatori di Akamai hanno evidenziato che la CVE-2025-27636 è relativamente semplice da sfruttare e hanno pubblicato un codice Proof of Concept (PoC), contribuendo ad aumentare la consapevolezza del rischio associato. Questo implica che la metrica “Attack Complexity” (AC) del Common Vulnerability Scoring System (CVSS) dovrebbe essere impostata su “Bassa” (AC:L). Tuttavia, il Cybersecurity and Infrastructure Security Agency – Authorized Data Publisher (CISA-ADP) ha valutato la complessità dell’attacco come “Alta” (AC:H). In risposta a questi sviluppi, Red Hat ha rivalutato la vulnerabilità, aumentando il punteggio CVSS per la CVE-2025-27636 a 6,3.

Sebbene inizialmente il CISA-ADP non avesse identificato un impatto significativo sulla riservatezza (confidentiality) di CVE-2025-29891, ulteriori analisi hanno rivelato che questa vulnerabilità potrebbe consentire l’esecuzione remota di codice arbitrario (Remote Code Execution, RCE) su sistemi con una configurazione vulnerabile di Apache Camel. Di conseguenza, è stato ritenuto appropriato rivalutare l’impatto della vulnerabilità, classificandolo come elevato in termini di riservatezza (C), integrità (I) e disponibilità (A). Questo ha portato a un aumento del punteggio CVSS (Common Vulnerability Scoring System) della vulnerabilità a 9.8, indicando una criticità molto elevata.

La Cybersecurity and Infrastructure Security Agency – Authorized Data Publisher (CISA-ADP) ha assegnato alla vulnerabilità CVE-2025-29891 il valore “Nessuno” (N) per le autorizzazioni richieste (PR). Tuttavia, il Proof of Concept (PoC) pubblicato da Akamai dimostra come l’exploit possa avvenire senza l’uso di connessioni HTTPS né autenticazione. È importante ricordare che eseguire un’API non crittografata e non autenticata è altamente rischioso. Apache Camel offre meccanismi di sicurezza come l’API Java Secure Socket Extension (JSSE) per Transport Layer Security (TLS) e l’integrazione con server di autorizzazione Single Sign-On (SSO) come KeyCloak. Le istanze di Camel che implementano l’autenticazione client sono protette da potenziali exploit. Pertanto, nella maggior parte dei casi, il valore PR dovrebbe essere impostato su “Basso” (L) o “Alto” (H), il che ridurrebbe il punteggio CVSS rispettivamente a 7,3 o 8,8.

Inoltre, alle CVE è stato assegnato il valore “Scope Unchanged” (UC). Secondo la specifica CVSS v3.1, “questa metrica indica se una vulnerabilità in un componente ha un impatto su risorse al di fuori del suo ambito di sicurezza.” L’esecuzione di comandi shell arbitrari su un sistema compromesso è generalmente valutata con “Scope Changed” (C). Se il processo Camel è eseguito con privilegi di root su Linux/Unix o come amministratore su Windows, un attaccante potrebbe ottenere un controllo quasi totale sul sistema. Considerando la variabilità delle valutazioni CVSS, le vulnerabilità CVE-2025-27636 e CVE-2025-29891 dovrebbero essere trattate come critiche in configurazioni vulnerabili prive di autenticazione.

Trattamento delle CVE in Apache Camel

Le vulnerabilità CVE-2025-27636 e CVE-2025-29891 interessano Apache Camel nelle seguenti versioni:​ 4.10 fino alla 4.10.1,​ 4.8 fino alla 4.8.4​, 3 fino alla 3.22.3​. Si consiglia agli utenti di aggiornare alle versioni 4.10.2, 4.8.5 o 3.22.4, oppure di implementare un filtro di intestazione personalizzato utilizzando removeHeader o removeHeaders nelle rotte di Camel. È importante notare che le versioni 4.10.0, 4.10.1, dalla 4.8.0 alla 4.8.4 e dalla 3.10.0 alla 3.22.3 rimangono vulnerabili, nonostante siano considerate aggiornamenti di sicurezza che avrebbero dovuto correggere l’errore.

Nelle architetture distribuite, è fondamentale che tutti i terminali HTTP implementino un’autenticazione robusta. Per Apache Camel, sono disponibili diverse opzioni per garantire la sicurezza delle comunicazioni: utilizzo dell’API Java Secure Socket Extension (JSSE) per TLS con componenti Camel o utilizzo di un server di autorizzazione KeyCloak OAuth 2.0 SSO. Per i sistemi legacy deve essere configurata almeno l’autenticazione di base HTTP.

Per riassumere

Si consiglia agli utenti di Apache Camel di effettuare l’aggiornamento immediato alle versioni 4.10.2, 4.8.5 o 3.22.4. In alternativa, è possibile implementare il filtraggio personalizzato delle intestazioni utilizzando removeHeader o removeHeaders nelle rotte Camel. È inoltre fortemente raccomandato l’uso di un’autenticazione robusta su tutti gli endpoint HTTP. Apache Camel supporta l’API JSSE per soluzioni TLS e l’integrazione con Keycloak per OAuth 2.0 SSO. Greenbone è in grado di rilevare sia la CVE-2025-27636 che CVE-2025-29891 attraverso test di vulnerabilità che controllano attivamente gli endpoint HTTP potenzialmente sfruttabili.

La Germania ha affrontato da poco le elezioni politiche. Nel quadro di questi avvenimenti, l’implementazione del NIS2 nella Repubblica federale tedesca sembra essersi temporaneamente arenata. Mentre altri paesi europei sono già pronti, le aziende tedesche dovranno attendere ancora diversi mesi prima di poter contare su una certezza giuridica. E anche se il tema è già stato ampiamente discusso e preparato, il nuovo governo riparte da zero.

Abbiamo avuto il piacere di confrontarci con uno dei massimi esperti di NIS2: Dennis-Kenji Kipker, Scientific Director del cyberintelligence.institute di Francoforte sul Meno, professore presso la Riga Graduate School of Law e consulente abituale dell’Ufficio federale per la sicurezza nelle tecnologie dell’informazione (BSI), oltre che di numerose altre istituzioni pubbliche e scientifiche. 

Perché il governo federale ha scartato la bozza del NIS2?

Prof. Dr. Dennis-Kenji Kipker

Kipker: Quanto accaduto si deve al principio di discontinuità. Questo impone che, come avveniva con il precedente governo, tutti i progetti in sospeso debbano essere archiviati. “A causa delle elezioni anticipate, non è stato possibile completare la procedura parlamentare relativa al NIS2UmsuCG”. In conformità con tale principio, tutti i progetti di legge non approvati dal vecchio Bundestag devono essere ripresentati e negoziati una volta costituito il nuovo Parlamento. Di conseguenza, anche il lavoro già svolto sul NIS2 viene accantonato. Tuttavia, è possibile riprendere quanto già elaborato e proporre quasi lo stesso testo.

È probabile che accada?

Kipker: Il Ministero federale degli Interni ha elaborato un piano interno di 100 giorni per il periodo post-elettorale. Secondo fonti riservate, al suo interno la sicurezza informatica dovrebbe occupare una posizione di rilievo, con particolare enfasi sull’implementazione rapida della direttiva NIS2. Qualora si riuscisse ad attuarla prima dell’autunno/inverno 2025, anticipando le attuali previsioni, la Germania eviterebbe di trovarsi nella scomoda posizione di fanalino di coda europeo in questo ambito.

Si tratta di un obiettivo realistico?

Kipker: Nonostante il principio di discontinuità, sarebbe opportuno recuperare gran parte del lavoro svolto nella precedente legislatura. Attualmente, sembra che il Ministero dell’Interno ancora in carica miri proprio a questo obiettivo. Tuttavia, solo i politici e i funzionari direttamente coinvolti possono valutare la fattibilità di tale approccio. Considerando la complessità dell’attività politica tedesca, cento giorni appaiono un termine piuttosto ambizioso, anche con il pieno coinvolgimento di tutte le parti interessate. Sarebbe necessario effettuare un bilancio, identificare e affrontare le esigenze di revisione nell’attuale progetto NIS2UmsuCG, nonché definire e chiarire l’ambito di applicazione tedesco della legge, allineandola al diritto dell’Unione Europea. Inoltre, tra la fine del 2024 e l’inizio del 2025, anche in seguito all’audizione di esperti sul NIS2 al Bundestag, si è cercato di far approvare numerose proposte, alcune delle quali piuttosto controverse. In ogni caso, questi aspetti dovrebbero essere oggetto di una nuova negoziazione politica e di un’attenta valutazione tecnica.

Quando crede che accadrà?

Kipker: Difficile dirlo con certezza, ma se viene rispettata la scadenza dei 100 giorni, dovrebbe essere possibile completare l’implementazione nazionale della direttiva NIS2 prima dell’inverno 2025/2026. Tuttavia, si tratta solo di un’ipotesi preliminare che viene ripetutamente ventilata da “ambienti solitamente ben informati”. In ogni caso, indipendentemente dagli sforzi attuali, è probabile che la Germania finisca comunque tra i fanalini di coda nell’attuazione a livello europeo, poiché le ambizioni attuali non sembrano in grado di cambiare questa prospettiva.

E qual è la situazione in altri Paesi europei?

Kipker: Attualmente, ci sono numerosi sviluppi interessanti. È emerso, ad esempio, che le diverse implementazioni nazionali della direttiva NIS2 generano inefficienze e costi aggiuntivi per le aziende coinvolte, un fenomeno non del tutto inaspettato. Recentemente, l’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) ha pubblicato un rapporto informativo che analizza e valuta il livello di maturità e la criticità dei settori rilevanti per la NIS2 nel contesto europeo. L’ENISA afferma che il “NIS360 mira ad assistere gli Stati membri e le autorità nazionali nell’identificazione delle lacune e nella definizione delle priorità per l’allocazione delle risorse”. Parallelamente, il cyberintelligence.institute ha condotto uno studio approfondito per conto dell’azienda svizzera Asea Brown Boveri, che esamina in dettaglio l’implementazione della direttiva NIS2 in tutta l’Unione Europea.

Quali sono i punti salienti di questo studio?

Kipker: Il Comparison Report si rivolge principalmente alle aziende operanti a livello transnazionale che cercano un primo punto di riferimento per la compliance in materia di sicurezza informatica. In particolare, emerge la mancanza di responsabilità amministrative centralizzate, nel senso di uno “sportello unico”, e le divergenti scadenze di attuazione creano difficoltà alle imprese. A fine gennaio, solo nove Stati membri dell’UE avevano recepito la direttiva NIS2 nel diritto nazionale, mentre per altri 18 Stati il processo legislativo era ancora in corso. Un’altra osservazione cruciale: la conformità alla NIS2 in uno Stato membro dell’UE non garantisce necessariamente la conformità in un altro Stato membro.

Insomma, la Germania non può definirsi pioniere, ma nemmeno fanalino di coda?

Kipker: Non siamo di certo in prima linea, ma se riusciremo a completare l’implementazione nazionale entro la fine dell’anno, potremmo evitare l’ultima posizione, pur rimanendo molto indietro. Allo stato attuale, la mia ipotesi è che risultati veramente resilienti si vedranno solo nell’ultimo trimestre del 2025, e allora forse saremo veramente in coda al gruppo. Spetta ai politici valutare se questa situazione possa soddisfare le nostre esigenze di cybersicurezza e resilienza digitale.

Dov’è possibile informarsi sullo stato attuale del progetto?

Kipker: Gli eventi e le opportunità di partecipazione si susseguono con regolarità. Il 18 marzo, ad esempio, è previsto un evento informativo del BSI, dove sarà possibile ottenere chiarimenti sulla pianificazione. Successivamente, nel maggio 2025, si terrà il congresso NIS-2 proprio qui vicino a Francoforte, per il quale è stato recentemente nominato il “Community Leader NIS-2 più autorevole”. Sicuramente l’evento offrirà spunti informativi interessanti. In ogni caso, non esitate a contattarmi per qualsiasi domanda riguardante NIS2!