Tag Archivio per: gestione delle patch

Le minacce informatiche si stanno evolvendo rapidamente, ma le vulnerabilità sfruttate dagli attaccanti rimangono pressoché invariate. Per il 2025, molti analisti hanno fornito una retrospettiva sul 2024 e una previsione per l’anno a venire. Gli attacchi informatici diventano sempre più costosi per le aziende, ma le cause restano invariate. Il phishing [T1566] e lo sfruttamento di vulnerabilità software note [T1190] continuano a essere le principali minacce. È interessante notare che gli attaccanti stanno diventando sempre più veloci nel trasformare le informazioni pubbliche in armi, convertendo le rivelazioni di CVE (Common Vulnerabilities and Exposures) in codice exploit utilizzabile nel giro di pochi giorni o addirittura ore. Una volta penetrati nella rete di una vittima, gli aggressori eseguono i loro obiettivi con maggiore rapidità nella seconda fase, implementando il ransomware in tempi molto brevi.

In questo Threat Report, analizziamo le recenti rivelazioni sul gruppo ransomware Black Basta e le misure di protezione offerte da Greenbone. Esamineremo inoltre un rapporto di GreyNoise sullo sfruttamento di massa delle vulnerabilità, una nuova falla critica nella Zimbra Collaboration Suite e le minacce emergenti per i dispositivi di edge networking.

L’era delle tecnologie sismiche

Se le crisi di sicurezza informatica sono paragonabili a terremoti, l’ecosistema tecnologico globale rappresenta le placche tettoniche sottostanti. Questo sistema può essere efficacemente descritto come il corrispettivo informatico del periodo Paleozoico nella storia geologica terrestre. Le dinamiche competitive e le spinte innovative del mercato esercitano pressioni contrastanti sull’infrastruttura della cybersecurity, simili alle forze che portarono alla collisione dei supercontinenti di Pangea. Queste sollecitazioni continue generano “scosse” ricorrenti che provocano riassestamenti strutturali permanenti, modificando radicalmente il panorama della sicurezza digitale.

I nuovi paradigmi informatici come l’IA generativa e l’informatica quantistica offrono vantaggi significativi ma comportano anche rischi considerevoli. La corsa all’accesso ai dati personali sensibili da parte di governi e giganti tecnologici amplifica i rischi per la privacy e la sicurezza dei cittadini. L’impatto di queste lotte tecnologiche sulla sfera privata, la sicurezza e non da ultimo la società, è profondo e multiforme. Ecco alcune delle forze principali che destabilizzano attualmente la sicurezza informatica:

  • L’evoluzione rapida delle tecnologie guida l’innovazione e impone cambiamenti tecnologici continui.
  • Le aziende si trovano costrette ad adattarsi sia per la svalutazione di tecnologie e standard obsoleti, sia per mantenere la propria competitività sul mercato.
  • La concorrenza serrata accelera lo sviluppo dei prodotti e accorcia i cicli di rilascio.
  • L’obsolescenza programmata si è affermata come strategia aziendale per generare maggiori profitti.
  • La diffusa mancanza di responsabilità da parte dei fornitori di software ha portato a privilegiare le prestazioni rispetto al principio “Security First”.
  • Inoltre, gli stati nazionali impiegano tecnologie avanzate per condurre operazioni di guerra cibernetica, guerra dell’informazione e guerra elettronica.

Grazie a queste forze, i criminali informatici ben equipaggiati e organizzati trovano un numero praticamente illimitato di falle di sicurezza da sfruttare. Il Paleozoico è durato 300 milioni di anni; speriamo di non dover attendere altrettanto affinché i produttori di prodotti dimostrino responsabilità e adottino principi di progettazione sicura [1][2][3] per prevenire i cosiddetti punti deboli “imperdonabili” causati dalla negligenza [4][5]. Le aziende devono quindi sviluppare una flessibilità tecnica e implementare programmi efficienti per la gestione delle patch. Una gestione continua e prioritaria delle vulnerabilità è imprescindibile.

Greenbone contro Black Basta

I log di chat interni trapelati del gruppo ransomware Black Basta offrono uno sguardo senza precedenti sulle tattiche e i processi operativi del gruppo. La pubblicazione di questi verbali, attribuita a un individuo noto come “ExploitWhispers”, sarebbe una ritorsione contro gli attacchi controversi di Black Basta alle banche russe, che avrebbero scatenato conflitti interni al gruppo. Dall’inizio delle sue attività nell’aprile 2022, Black Basta ha dimostrato di essere un attore di spicco nel panorama del cybercrime, accumulando oltre 100 milioni di dollari in pagamenti di riscatto da più di 300 vittime a livello globale. Un’analisi approfondita dei documenti trapelati ha rivelato riferimenti a 62 CVE che illustrano le strategie del gruppo per sfruttare vulnerabilità note. Greenbone dispone di test di rilevamento per 61 di questi CVE, coprendo così il 98% delle vulnerabilità menzionate.

Il report di GreyNoise sullo sfruttamento massivo delle vulnerabilità

Gli attacchi di mass-exploitation sono operazioni automatizzate che prendono di mira i servizi di rete accessibili via Internet. Questo mese, GreyNoise ha pubblicato un rapporto dettagliato che analizza il panorama delle mass-exploitation, evidenziando i 20 principali CVE attaccati dalle botnet più estese (in termini di IP univoci) e i fornitori dei prodotti più frequentemente presi di mira. Inoltre, elenca i principali CVE inseriti nel catalogo KEV (Known Exploited Vulnerabilities) della CISA sfruttati dalle botnet Il Greenbone Enterprise Feed offre test di riconoscimento per l’86% di tutti i CVE (86 in tutto) menzionati nel report. Se si considerano solo CVE pubblicati nel 2020 o successivamente (66 in totale), il nostro Enterprise Feed ne copre il 90%.

Inoltre:

  • Il 60% dei CVE sfruttati negli attacchi di massa sono stati pubblicati nel 2020 o successivamente.
  • Gli attaccanti sono sempre più veloci nello sfruttare le nuove vulnerabilità, iniziando ad utilizzarle entro poche ore dalla loro pubblicazione.
  • Il 28% delle vulnerabilità presenti nel catalogo KEV della CISA viene attivamente sfruttato dai gruppi ransomware.

La Zimbra Collaboration Suite

Il CVE-2023-34192 (CVSS 9.0) è una vulnerabilità di cross-site scripting (XSS) critica nella Zimbra Collaboration Suite (ZCS) versione 8.8.15. Questa falla permette a un attaccante autenticato remoto di eseguire codice arbitrario attraverso uno script manipolato indirizzato alla funzione “/h/autoSaveDraft”. La CISA ha incluso il CVE-2023-34192 nel suo catalogo KEV, indicando che la vulnerabilità è stata attivamente sfruttata in attacchi reali. Il codice exploit PoC (Proof of Concept) è disponibile pubblicamente, rendendo possibile anche agli aggressori meno esperti di sfruttare la vulnerabilità. Fin dalla sua scoperta nel 2023, il CVE-2023-34192 ha mantenuto un punteggio EPSS molto elevato. Per i difensori che utilizzano l’EPSS (Exploit Prediction Scoring System) per prioritizzare le azioni correttive, questo implica la necessità di applicare patch con la massima urgenza.

Zimbra Collaboration Suite (ZCS) è una piattaforma open source per applicazioni da ufficio che combina e-mail, calendari, contatti, gestione delle attività e strumenti di collaborazione. Ciononostante, ZCS detiene una quota di mercato di nicchia, rappresentando meno dell’1% di tutte le piattaforme di posta elettronica e messaggistica.

Vivere sul filo del rasoio: vulnerabilità critiche nei dispositivi di rete

Nel nostro threat report mensile, abbiamo evidenziato la persistente vulnerabilità dei dispositivi di rete edge. All’inizio del mese, abbiamo documentato le gravi conseguenze derivanti dai modelli di router e firewall Zyxel giunti a fine ciclo di vita. In questa sezione, esaminiamo i nuovi rischi per la sicurezza che rientrano nella categoria “Edge Networking”. È importante sottolineare che Greenbone offre capacità di rilevamento per tutti i CVE discussi di seguito.

Hacker cinesi sfruttano PAN-OS di Palo Alto per attacchi ransomware

Il CVE-2024-0012 (CVSS 9.8), una vulnerabilità scoperta in Palo Alto PAN-OS nel novembre 2023, si è affermata come una delle più sfruttate del 2024. Fonti attendibili riportano che attori di minacce cinesi, presumibilmente supportati dal governo, stanno sfruttando questa falla per orchestrare attacchi ransomware. Recentemente, è emersa un’altra grave vulnerabilità che affligge PAN-OS: CVE-2025-0108 (CVSS 9.1). Annunciata questo mese, la CISA l’ha immediatamente classificata come attivamente sfruttata. Questa falla permette di aggirare l’autenticazione nell’interfaccia di gestione web. Particolarmente preoccupante è la possibilità di combinarla con CVE-2024-9474 (CVSS 7.2), una vulnerabilità distinta che consente l’escalation dei privilegi, consentendo a un attaccante non autenticato di ottenere il controllo completo sui file root di un dispositivo PAN-OS non aggiornato.

SonicWall corregge una vulnerabilità critica attivamente sfruttata in SonicOS

CVE-2024-53704, una vulnerabilità critica negli apparecchi SonicWall è stata recentemente inclusa nel catalogo KEV della CISA. Sorprendentemente, la CISA ha segnalato che questa è solo una delle otto vulnerabilità legate a SonicWall attivamente sfruttate negli attacchi ransomware. La nuova minaccia CVE-2024-53704 (CVSS 9.8) è una vulnerabilità creata da un meccanismo di autenticazione non pulito [CWE-287] in SSLVPN delle versioni SonicOS 7.1.1-7058 e precedenti, 7.1.2-7019 e 8.0.0-8035 di SonicWall. Consente agli aggressori di bypassare l’autenticazione e dirottare le sessioni VPN SSL attive, ottenendo potenzialmente l’accesso non autorizzato alla rete. Un’analisi tecnica completa è disponibile su BishopFox. Un Security Advisory di SonicWall menziona anche altri CVE ad alta gravità in SonicOS che sono stati patchati insieme a CVE-2024-53704.

CyberoamOS e firewall XG di Sophos a fine vita attivamente sfruttati

Il fornitore di sicurezza Sophos, che ha acquisito Cyberoam nel 2014, ha emesso un avviso e una patch per CVE-2020-29574. CyberoamOS fa parte dell’ecosistema dei prodotti Sophos. Oltre a questo CVE, anche il Sophos XG Firewall, che sta per scadere, è oggetto di un avviso di possibile sfruttamento attivo.

  • CVE-2020-29574 (CVSS 9.8 ): una vulnerabilità critica di SQL Injection [CWE-89] rilevata nell’interfaccia WebAdmin delle versioni CyberoamOS fino al 4 dicembre 2020. Questa falla consente agli aggressori non autenticati di eseguire da remoto istruzioni SQL arbitrarie, con la possibilità di ottenere l’accesso amministrativo completo al dispositivo. È stata rilasciata una patch hotfix che si applica anche a determinati prodotti End-of-Life (EOL) interessati.
  • CVE-2020-15069 (CVSS 9.8) è una vulnerabilità critica di overflow del buffer che colpisce le versioni di Sophos XG Firewall da 17.x a v17.5 MR12. Questa falla consente l’esecuzione di codice remoto (RCE) non autenticata attraverso la funzione di segnalibro HTTP/S per l’accesso clientless. Sebbene pubblicata nel 2020, la vulnerabilità è ora oggetto di sfruttamento attivo ed è stata inclusa nel catalogo KEV della CISA, indicando un incremento del rischio associato. In risposta alla scoperta della vulnerabilità nel 2020, Sophos ha prontamente emesso un avviso e rilasciato un hotfix per i firewall interessati. È importante notare che le appliance hardware della serie XG raggiungeranno la fine del loro ciclo di vita (EOL) il 31 marzo 2025.

Escalation di privilegi e bypass dell’autenticazione in Fortinet FortiOS e FortiProxy

Fortinet ha reso nota l’esistenza di due vulnerabilità critiche che interessano FortiOS e FortiProxy. In risposta il Canadian Center for Cybersecurity e il Belgian Center for Cybersecurity hanno emesso degli avvisi. Fortinet ha confermato che CVE-2024-55591 è oggetto di sfruttamento attivo e ha rilasciato una guida ufficiale contenente informazioni dettagliate sulle versioni colpite e sugli aggiornamenti raccomandati.

  • CVE-2024-55591 (CVSS 9.8 ): una vulnerabilità di bypass dell’autenticazione che sfrutta un percorso o canale alternativo [CWE-288] in FortiOS. Questa falla permette a un attaccante remoto di ottenere privilegi di super amministratore attraverso richieste appositamente create al modulo Node.js Websocket. La disponibilità di molteplici exploit (PoC) [1][2] incrementa significativamente il rischio di sfruttamento, rendendo la vulnerabilità accessibile anche ad aggressori con minori competenze tecniche.
  • CVE-2024-40591 (CVSS 8.8 ): permette a un amministratore autenticato con autorizzazioni Security Fabric di elevare i propri privilegi a super amministratore. Questo avviene collegando il dispositivo FortiGate bersaglio a un FortiGate upstream compromesso sotto il controllo dell’attaccante.

Vulnerabilità Cisco come vettori di accesso iniziale negli attacchi a Telekom

Negli ultimi mesi, il gruppo di spionaggio cinese Salt Typhoon ha regolarmente sfruttato almeno due vulnerabilità critiche nei dispositivi Cisco IOS XE per ottenere un accesso permanente alle reti di telecomunicazione. Le vittime includono ISP italiani, una società di telecomunicazioni sudafricana e una grande azienda thailandese, oltre a dodici università in tutto il mondo, tra cui l’UCLA, l’Universitas Negeri Malang indonesiana e l’UNAM messicana. In passato, Salt Typhoon aveva già preso di mira almeno nove società di telecomunicazioni statunitensi, tra cui Verizon, AT&T e Lumen Technologies. Secondo le autorità statunitensi, l’obiettivo principale del gruppo è la sorveglianza di persone di alto rango, personalità politiche e funzionari legati agli interessi politici cinesi.

I CVE sfruttati da Salt Typhoon includono:

  • CVE-2023-20198 (CVSS 10 ): una vulnerabilità di estensione dei privilegi nell’interfaccia web di Cisco IOS XE. Questa falla viene utilizzata per ottenere l’accesso iniziale, consentendo agli aggressori di creare un account amministratore.
  • CVE-2023-20273 (CVSS 7.2 ): un altro punto debole che facilita l’estensione dei privilegi. Dopo aver ottenuto l’accesso come amministratore, questa vulnerabilità viene sfruttata per ampliare l’accesso privilegiato ai file root e configurare un tunnel GRE (Generic Routing Encapsulation) per garantire una permanenza duratura nella rete.

Inoltre, nel febbraio 2025 sono stati resi noti altri due CVE nei prodotti Cisco:

  • CVE-2023-20118 (CVSS 7.2 ): una vulnerabilità di Command Injection nell’interfaccia di gestione basata sul web dei router Cisco Small Business consente agli aggressori autenticati e remoti di eseguire qualsiasi comando con privilegi di root inviando richieste http manipolate.
  • La CISA ha incluso CVE-2023-20118 nel suo catalogo RIC, suggerendo che la vulnerabilità è attivamente sfruttata.
  • CVE-2023-20026 (CVSS 7.2 ): una vulnerabilità di Command Injection nell’interfaccia di gestione basata sul web dei router Cisco Small Business serie RV042 consente agli aggressori remoti autenticati con credenziali amministrative valide di eseguire qualsiasi comando sul dispositivo.
  • La vulnerabilità è dovuta a una convalida impropria degli input dell’utente nei pacchetti http in entrata. Sebbene non sia noto che CVE-2023-20026 venga sfruttato nelle campagne attive, il Product Security Incident Response Team (PSIRT) di Cisco è a conoscenza che esiste un codice di exploit PoC per questa vulnerabilità.

Ivanti corregge quattro vulnerabilità critiche

Sono state identificate quattro vulnerabilità critiche che colpiscono Ivanti Connect Secure (ICS), Policy Secure (IPS) e Cloud Services Application (CSA). Al momento, non sono state riportate evidenze di attacchi attivi in natura o di exploit Proof of Concept. Ivanti raccomanda vivamente agli utenti di procedere immediatamente all’aggiornamento alle versioni più recenti per mitigare queste gravi falle di sicurezza.

Ecco un breve riassunto tecnico:

  • CVE-2025-22467 (CVSS 8.8): un overflow del buffer basato su stack [CWE-121] nelle versioni ICS antecedenti alla 22.7R2.6 permette agli aggressori autenticati di ottenere l’esecuzione di codice remoto (RCE).
  • CVE-2024-38657 (CVSS 9.1): un controllo esterno del nome del file nelle versioni ICS precedenti alla 22.7R2.4 e IPS precedenti alla 22.7R1.3 consente agli aggressori autenticati di scrivere file arbitrari.
  • CVE-2024-10644 (CVSS 9.1): una vulnerabilità di code injection in ICS (pre-22.7R2.4) e IPS (pre-22.7R1.3) permette agli amministratori autenticati di eseguire qualsiasi RCE.
  • CVE-2024-47908 (CVSS 7.2): una falla di Command Injection del sistema operativo [CWE-78] nella console web di amministrazione di CSA (versioni precedenti alla 5.0.5) consente agli amministratori autenticati di eseguire qualsiasi RCE.

Per riassumere

Il Threat Report di febbraio 2025 evidenzia sviluppi significativi nel panorama della cybersecurity, focalizzandosi sulle tattiche in rapida evoluzione di gruppi ransomware come Black Basta e sulla persistente minaccia critica ai dispositivi di rete edge. Potenziati da strumenti di intelligenza artificiale, gli aggressori sfruttano le vulnerabilità con crescente rapidità, talvolta entro poche ore dalla loro scoperta. Per contrastare queste minacce emergenti, le aziende devono mantenere un alto livello di vigilanza, implementando misure di sicurezza proattive, aggiornando costantemente le proprie difese e utilizzando efficacemente i dati sulle minacce per anticipare i nuovi vettori di attacco.

Quest’anno, numerose grandi aziende di tutto il mondo si troveranno a dover affrontare le conseguenze di attacchi informatici. Molte vulnerabilità conosciute costituiscono canali privilegiati per accedere a risorse di rete sensibili. Nel nostro primo Threat Report del 2025 analizziamo le principali violazioni del 2024, oltre ai data breach più importanti di gennaio 2025.

Un dato interessante: le vulnerabilità qui riportate rappresentano solo la punta dell’iceberg. A gennaio 2025 sono state pubblicate oltre 4.000 nuove CVE (Common Vulnerabilities and Exposures), di cui 22 hanno ottenuto un punteggio CVSS massimo di 10 e 375 e sono quindi considerate ad alto rischio. La crescente ondata di vulnerabilità critiche in dispositivi di edge networking persiste, con nuove falle scoperte nei prodotti di aziende leader del settore tecnologico come Microsoft, Apple, Cisco, Fortinet, Palo Alto Networks, Ivanti e Oracle. Queste esposizioni sono state aggiunte al catalogo KEV (Known Exploited Vulnerabilities) della CISA (Cybersecurity and Infrastructure Security Agency).

Mitigazione dei rischi nella supply chain: responsabilità condivise

Nell’era digitale, la dipendenza quotidiana da software di terze parti rende imprescindibile un rapporto di fiducia con questi strumenti. Tuttavia, quando questa fiducia viene compromessa, sia per negligenza, intenti malevoli o errori umani, la responsabilità della sicurezza informatica grava inevitabilmente sull’utente finale. La capacità di mitigare i rischi è strettamente legata alle competenze tecniche e alla collaborazione tra le parti coinvolte. Nel 2025, i professionisti della cybersecurity devono essere pienamente consapevoli di questa complessa realtà.

In caso di compromissione della sicurezza nella catena di approvvigionamento, condurre un’indagine approfondita sulle cause scatenanti diventa un imperativo. Valuta se il fornitore del software ha messo a disposizione gli strumenti necessari per gestire autonomamente i risultati delle tue misure di sicurezza. È necessario valutare se il fornitore del software ha reso disponibili gli strumenti essenziali per gestire in autonomia i risultati delle misure di sicurezza adottate. Inoltre, occorre verificare che i responsabili della sicurezza informatica sanno identificare ed eliminare le vulnerabilità. Oppure se i dipendenti sono stati adeguatamente formati per riconoscere gli attacchi di phishing e se sono state implementate altre misure di cybersecurity appropriate. Le aziende devono rafforzare le proprie difese contro i ransomware, valutando regolarmente il rischio e dando priorità alla gestione delle patch. Infine, devono verificare l’esistenza di strategie di backup affidabili che soddisfino gli obiettivi di recupero e implementare ulteriori controlli di sicurezza di base per salvaguardare i dati sensibili e prevenire interruzioni operative.

La soluzione? L’approccio proattivo

Il report annuale 2024 del National Cyber Security Center britannico offre un quadro preoccupante: il numero di attacchi informatici significativi è triplicato rispetto al 2023. Parallelamente, il CSIS (Center for Strategic and International Studies) ha pubblicato un elenco dettagliato dei principali incidenti informatici del 2024, fornendo una visione d’insieme del panorama globale delle minacce. Il conflitto Russia-Ucraina ha contribuito a influenzare questo scenario. Inoltre, la rapida transizione globale da cooperazione internazionale a una crescente ostilità ha ulteriormente aggravato i rischi, delineando un contesto sempre più complesso e instabile.

Secondo il rapporto di sicurezza 2024 di Check Point Research, il 96% delle vulnerabilità sfruttate nel 2024 aveva più di un anno. Questo dato risulta incoraggiante per i difensori proattivi, perché dimostra che le aziende che adottano un approccio di gestione delle vulnerabilità sono meglio preparate contro attacchi ransomware mirati e attacchi di massa. Una cosa è chiara: la sicurezza informatica proattiva si rivela fondamentale nel ridurre i costi associati alle violazioni della sicurezza.

Analizziamo due delle violazioni della sicurezza più significative del 2024:

  • La violazione dei dati di Change Healthcare: nonostante una generale diminuzione delle violazioni nel settore sanitario rispetto al picco del 2023, l’attacco ransomware contro Change Healthcare ha stabilito un nuovo primato, coinvolgendo 190 milioni di persone. I costi associati hanno raggiunto la cifra astronomica di 2,457 miliardi di dollari. In seguito all’incidente, lo stato del Nebraska ha intrapreso un’azione legale contro l’azienda, accusandola di gestire sistemi IT obsoleti non conformi agli standard di sicurezza aziendali. Secondo le stime di IBM, le violazioni nel settore sanitario sono le più onerose, con un costo medio di 9,77 milioni di dollari nel 2024.
  • I Typhoon fanno irruzione nelle aziende americane: il suffisso “Typhoon” è utilizzato nella nomenclatura di Microsoft per indicare gruppi di minacce di origine cinese. Il gruppo cinese Salt Typhoon, sostenuto dallo stato, si è infiltrato nelle reti di almeno nove grandi società di telecomunicazioni statunitensi, ottenendo accesso ai metadati delle chiamate e dei messaggi degli utenti, nonché alle registrazioni audio di alti funzionari governativi. Volt Typhoon ha compromesso le reti di Singapore Telecommunications (SingTel) e di altri operatori di telecomunicazioni a livello globale. Questi gruppi hanno sfruttato vulnerabilità in dispositivi di rete obsoleti, inclusi server Microsoft Exchange non aggiornati, router Cisco, firewall Fortinet e Sophos, e applicazioni VPN Ivanti. Greenbone è in grado di rilevare tutte le vulnerabilità software note associate agli attacchi di Salt Typhoon e Volt Typhoon.
    [1][2].

Il Regno Unito e il divieto alle organizzazioni pubbliche di pagare riscatti ransomware

Nell’ambito della lotta al ransomware, il governo britannico ha proposto di vietare alle organizzazioni pubbliche e alle infrastrutture critiche il pagamento di riscatti con l’obiettivo di disincentivare i criminali informatici dal prenderle di mira. Tuttavia, un recente rapporto  del National Audit Office (NAO) sottolinea che “la minaccia informatica per il governo del Regno Unito è grave e in rapida evoluzione”.

L’FBI, la CISA e l’NSA sconsigliano il pagamento dei riscatti in caso di attacchi ransomware. Pagare non garantisce il recupero dei dati crittografati né impedisce la diffusione di informazioni sottratte; al contrario, potrebbe incentivare ulteriori attività criminali. D’altro canto, secondo alcune analisi, molte piccole e medie imprese potrebbero non essere in grado di sostenere finanziariamente i tempi di inattività causati da un attacco ransomware. Questo solleva un dilemma: è accettabile che i criminali informatici traggano profitto, mentre le risorse che potrebbero essere destinate allo sviluppo di talenti locali vengono invece utilizzate per pagare riscatti?

Vulnerabilità in SonicWall SMA 1000 sfruttata in modo attivo

Microsoft Threat Intelligence ha scoperto che la vulnerabilità CVE-2025-23006 con un punteggio di 9.8 (Critico)  secondo il Common Vulnerability Scoring System (CVSS), è attivamente sfruttata nei gateway SonicWall SMA 1000. Questa falla deriva dalla deserializzazione  [CWE-502] di dati non affidabili. Un aggressore remoto non autenticato con accesso alle console di gestione Appliance Management Console (AMC) e Central Management Console (CMC) potrebbe eseguire comandi arbitrari sul sistema operativo del dispositivo. SonicWall ha rilasciato l’hotfix versione 12.4.3-02854 per risolvere questa vulnerabilità.

Sebbene non sia stato identificato alcun codice exploit pubblicamente disponibile, numerose agenzie governative hanno emesso avvisi riguardanti la vulnerabilità CVE-2025-23006, tra cui la Confederazione tedesca BSI CERT, il Centro canadese per la sicurezza informatica, il CISA e il NHS (National Health Service) del Regno Unito. Greenbone è in grado di rilevare sistemi SonicWall interessati da questa vulnerabilità verificando da remoto la versione indicata nel banner di servizio.

CVE-2024-44243 per rootkit persistenti in macOS

Gennaio 2025 è stato un mese pieno di sfide per la sicurezza Apple. Microsoft Threat Intelligence ha condotto un test di sicurezza su macOS, individuando una vulnerabilità che potrebbe consentire alle applicazioni installate di alterare il System Integrity Protection (SIP) del sistema operativo. Questa falla potrebbe permettere agli aggressori di installare rootkit e malware persistenti, nonché di eludere Transparency, Consent and Control (TCC), il meccanismo che gestisce i permessi di accesso delle applicazioni alle cartelle. Nonostante l’assenza di segnalazioni di attacchi attivi, Microsoft ha reso disponibili dettagli tecnici sulla vulnerabilità.

Alla fine di gennaio 2025, sono stati identificati 88 nuovi CVE, di cui 17 con livello di gravità critica (CVSS), che interessano l’intera gamma di prodotti Apple. Una di queste, CVE-2025-24085, è stata rilevata in attacchi attivi ed è stata aggiunta al catalogo KEV della CISA. Inoltre, sono state scoperte due vulnerabilità potenzialmente sfruttabili nei chip delle serie M di Apple, denominate SLAP e FLOP, per le quali non sono ancora stati assegnati CVE. Con SLAP i ricercatori hanno sfruttato le vulnerabilità del chip per manipolare le tecniche di allocazione dell’heap nel Safari WebKit e alterare i metadati delle stringhe JavaScript. Questo ha permesso loro di eseguire letture speculative fuori dai limiti, estraendo contenuti sensibili del DOM da altre schede del browser. Per quanto riguarda FLOP, gli esperti hanno dimostrato che è possibile rubare dati sensibili da Safari e Google Chrome bypassando la verifica del tipo JavaScript nel Safari WebKit e l’isolamento del sito in Chrome tramite WebAssembly.

Inoltre, sono state identificate cinque vulnerabilità critiche che interessano Microsoft Office per macOS, tutte con potenziali exploit che potrebbero portare all’esecuzione remota di codice (RCE). I prodotti coinvolti includono Microsoft Word (CVE-2025-21363), Excel (CVE-2025-21354 e CVE-2025-21362) e OneNote (CVE-2025-21402) per macOS. Sebbene al momento manchino dettagli tecnici specifici su queste vulnerabilità, è altamente consigliato aggiornare i software interessati il prima possibile per mitigare i rischi associati.

Il Greenbone Enterprise Feed rileva gli aggiornamenti di sicurezza mancanti per macOS e identifica numerose vulnerabilità (CVE) che interessano le applicazioni macOS, inclusi i cinque CVE recentemente scoperti in Microsoft Office per Mac.

6 vulnerabilità in Rsync consentono la compromissione di server e client

La combinazione die due vulnerabilità recentemente identificate può consentire l’esecuzione remota di codice su server Rsyncd vulnerabili, mantenendo un accesso anonimo in sola lettura. CVE-2024-12084, è un overflow del buffer heap e CVE-2024-12085 riguarda una perdita di informazioni. I mirror pubblici che utilizzano Rsyncd sono particolarmente a rischio, poiché non dispongono di propri controlli di accesso.

Inoltre, i ricercatori hanno rilevato che un server Rsyncd compromesso può leggere e scrivere qualsiasi file sui client collegati, consentendo il furto di informazioni sensibili e, potenzialmente, l’esecuzione di codice dannoso attraverso la modifica di file eseguibili.

Ecco un riepilogo delle nuove vulnerabilità, ordinate per gravità CVSS:

  • CVE-2024-12084 (CVSS 9.8 Critical): una gestione impropria della lunghezza del checksum può causare un overflow del buffer heap, portando potenzialmente all’esecuzione remota di codice.
  • CVE-2024-12085 (CVSS 7.5 High): la presenza di contenuti non inizializzati nello stack può esporre informazioni sensibili.
  • CVE-2024-12087 (CVSS 6.5 Medium): la vulnerabilità Path Traversal in Rsync consente di accedere a file non autorizzati sul client.
  • CVE-2024-12088 (CVSS 6.5 High): la vulnerabilità di Path Traversal attraverso l’opzione –safe-links può consentire la scrittura arbitraria di file al di fuori della directory prevista.
  • CVE-2024-12086 (CVSS 6.1 High): i server Rsync possono esporre file sensibili dei client durante le operazioni di copia, potenzialmente rivelando dati riservati.
  • CVE-2024-12747 (CVSS 5.6 High): una gestione inadeguata dei collegamenti simbolici in Rsync può causare una condizione di gara che, se sfruttata, consente l’escalation dei privilegi quando un utente malintenzionato controlla il processo Rsyncd.

Nel complesso, queste vulnerabilità rappresentano un serio rischio di esecuzione di codice remoto (RCE), esfiltrazione di dati e installazione di malware persistenti sia sui server Rsyncd che su client ignari.Gli utenti devono installare la patch di Rsync, eseguire una scansione approfondita degli Indicators of Compromise (IoC) su tutti i sistemi che hanno utilizzato Rsync e, se necessario, rivedere l’infrastruttura per la condivisione dei file. Greenbone è in grado di rilevare tutte le vulnerabilità note in Rsync e di identificare l’assenza di aggiornamenti di sicurezza critici.

CVE-2025-0411: 7-Zip consente l’aggiramento di MotW

Il 25 gennaio 2025 è stata resa nota la vulnerabilità CVE-2025-0411 (punteggio CVSS 7.5 – High), che interessa il software di archiviazione 7-Zip. Questa falla permette di aggirare il meccanismo di sicurezza “Mark of the Web” (MotW) di Windows tramite archivi appositamente predisposti. MotW contrassegna i file scaricati da Internet con un identificatore di zona (ADS), avvisando l’utente quando alcuni contenuti sono potenzialmente non sicuri. Tuttavia, nelle versioni di 7-Zip precedenti alla 24.09, il meccanismo MotW veniva eliminato nei file estratti da tali archivi, esponendo il sistema a rischi. Per sfruttare questa vulnerabilità, un attaccante necessita dell’interazione dell’utente, che dovrebbe aprire un archivio infetto e successivamente eseguire un file dannoso in esso contenuto.

Una ricerca di Cofense  ha rilevato che i siti web governativi di tutto il mondo vengono utilizzati in modo improprio tramite CVE-2024-25608, una vulnerabilità nella piattaforma digitale Liferay che viene sfruttata per il credential phishing, malware e operazioni di comando e controllo (C2). Questa falla consente agli aggressori di reindirizzare gli utenti da URL .gov affidabili verso siti di phishing malevoli. La combinazione dei reindirizzamenti da domini .gov con la vulnerabilità di 7-Zip presenta il rischio elevato per la diffusione nascosta di malware.

Per mitigare questa vulnerabilità, è essenziale aggiornare manualmente 7-Zip alla versione 24.09, disponibile dalla fine del 2024. Come accennato nell’introduzione, la sicurezza della supply chain del software spesso si colloca in una zona grigia, poiché tutti dipendiamo da software al di fuori del nostro controllo. È interessante notare che, prima della divulgazione della vulnerabilità CVE-2025-0411, 7-Zip non aveva avvisato gli utenti riguardo a tale problema. Sebbene 7-Zip sia un software open source, il repository Github del prodotto non fornisce dettagli o informazioni di contatto per una divulgazione responsabile.

Inoltre, la vulnerabilità CVE-2025-0411 ha attivato notifiche da parte di DFN-CERT e BSI CERT-Bund[1][2]. Greenbone è in grado di individuare le versioni vulnerabili di 7-Zip.

Per riassumere

Questa edizione del nostro report mensile sulle minacce informatiche si concentra su significative violazioni della sicurezza avvenute nel 2024 e sulle nuove vulnerabilità critiche scoperte a gennaio 2025. La supply chain del software rappresenta un rischio crescente per aziende di ogni dimensione e interessa sia prodotti open source che proprietari. Tuttavia, il software open source offre trasparenza e la possibilità per le parti interessate di impegnarsi proattivamente per migliorare la sicurezza tramite un approccio collaborativo o indipendente. Sebbene i costi della sicurezza informatica siano elevati, il progresso delle competenze tecniche diventerà sempre più un fattore decisivo per la protezione di aziende e stati. La fortuna sta dalla parte di chi si fa trovare preparato.

Quando un’organizzazione ha un volume d’affari e quindi un valore elevato, si può stare sicuri che criminali cercheranno di sfruttare le sue debolezze informatiche per ricavarne un guadagno economico. Fra le minacce più gravi troviamo gli , che bloccano i dati della vittima e richiedono il pagamento di un riscatto per fornire una chiave di decrittazione. Le organizzazioni devono identificare con precisione dove si nascondo i rischi e proteggere al meglio le risorse critiche. Tuttavia, anche le realtà più piccole dotate di infrastruttura IT possono beneficiare di un assessment della loro superficie di attacco che gli consenta di mitigare le vulnerabilità.

Gli attacchi di mass exploitation sono campagne automatizzate che scansionano continuamente l’Internet pubblico per individuare bersagli facili. Gli attacchi sono eseguiti dai bot in modo automatizzato e su ampia scala. Una volta compromesse, le risorse violate vengono sfruttate per attività illecite. Secondo CloudFlare, il è generato da bot dannosi, mentre altri report stimano che questo ammonti addirittura al . Una volta compromesse, le risorse violate vengono sfruttate per attività illecite.

Cosa accade alle risorse compromesse da campagne di mass exploitation?

Quando un aggressore ottiene il controllo di un sistema, stima il valore delle risorse compromesse e decide come ricavarne un ritorno economico. Il è un ecosistema sotterraneo che alimenta il mercato della criminalità informatica. Qui, i cosiddetti Initial Access Brokers (IAB) vendono accessi non autorizzati a gruppi di Ransomware as a Service (RaaS) specializzati in questo tipo di crimine informatico. Gli IAB usano gli accessi per criptare i dati delle vittime e chiedere riscatti.

Gli attacchi di mass exploitation sono solo uno dei tanti metodi usati dagli IAB. Se le risorse compromesse presentano un valore estorsivo limitato, spesso entrano a fare parte di reti “botnet zombie”, usati per scansionare Internet alla ricerca di altre vulnerabilità. In alternativa, i sistemi infetti possono inviare , ospitare o servire come infrastruttura di comando e controllo per favorire attacchi più complessi.

Come funzionano gli attacchi di mass exploitation

Analizzando le campagne di mass exploitation attraverso le tattiche, tecniche e procedure usate nel framework MITRE ATT&CK, possiamo comprendere meglio il comportamento degli hacker. Se ancora non conosci MITRE ATT&CK, questo è un buon momento per familiarizzare con la MITRE ATT&CK Enterprise Matrix, poiché è uno strumento utile per capire come operano gli aggressori.

Gli attacchi di mass exploitation prendono di mira un gran numero di sistemi utilizzando strumenti avanzati. Questi strumenti scansionano automaticamente numerosi indirizzi IP e lanciano attacchi informatici non appena rilevano una vulnerabilità. Gli aggressori si concentrano soprattutto su software esposti a Internet, come quelli che gestiscono siti web o consentono l’accesso remoto ai server.

Di seguito spieghiamo come funzionano gli attacchi di mass exploitation:

  • Ricognizione [TA0043]: gli aggressori raccolgono informazioni su vulnerabilità note da fonti pubbliche come il database NIST NVD dove sono elencate le CVE con dettagli tecnici e punteggi di gravità. Inoltre, possono reperire codice exploit da fonti come exploit-db o GitHub, oppure acquistare strumenti dannosi sui mercati del dark web. In alcuni casi, sviluppano exploit personalizzati.
  • Preparazione [TA0042]: gli aggressori creano strumenti in grado di identificare e sfruttare automaticamente le vulnerabilità [T1190] nei sistemi bersaglio senza necessità di intervento umano.
  • Scansione attiva [T1595]: gli aggressori eseguono scansioni su larga scala per individuare servizi vulnerabili e le loro versioni [002]. Questo processo somiglia a quello utilizzato dai difensori informatici per scansionare la propria infrastruttura alla ricerca di vulnerabilità. Tuttavia, invece di correggere le debolezze individuate, gli aggressori le analizzano per pianificare come sfruttarle al meglio.
  • Attacco: una volta trovata una vulnerabilità, gli strumenti tentano di sfruttarla per ottenere il controllo remoto del sistema [TA0011] o causare un Denial of Service (DoS) [T1499]. Gli attacchi possono sfruttare diverse debolezze del software, tra cui credenziali di account predefinite [CWE-1392], SQL injection [CWE-89], buffer overflow [CWE-119], caricamento di file non autorizzati [CWE-434] o controlli di accesso inadeguati [CWE-284].
  • Valutazione e azione [TA0040]: dopo la compromissione, gli aggressori decidono come utilizzare il sistema compromesso a loro vantaggio. Possono eseguire ulteriori ricognizioni, spostarsi lateralmente nella rete [TA0008], rubare dati [TA0010], distribuire ransomware [T1486] o vendere l’accesso ad altri criminali informatici [T1650].

Come difendersi dagli attacchi di mass exploitation

Per proteggersi dagli attacchi di mass exploitation è fondamentale adottare un approccio proattivo. Le potenziali vulnerabilità devono essere identificate e risolte prima che gli aggressori possano sfruttarle. Questo richiede l’implementazione di solide pratiche di sicurezza informatica, tra cui valutazioni regolari, monitoraggio continuo e una rapida risposta alle esposizioni rilevate.

Ecco alcune misure chiave per proteggersi:

  • Creare un inventario delle risorse IT: stila un elenco completo di tutti i dispositivi hardware, software e di rete utilizzati nell’organizzazione. Un inventario accurato consente di non trascurare alcun sistema durante le valutazioni di rischio e la gestione delle patch.
  • Eseguire valutazioni del rischio: dai priorità agli asset in base alla loro importanza per le operazioni aziendali. Conducendo regolarmente valutazioni del rischio fari in modo che le minacce più critiche vengano affrontate, riducendo le probabilità di violazioni significative.
  • Scansionare regolarmente le risorse e correggere le vulnerabilità: esegui scansioni di vulnerabilità su tutte le risorse IT, concentrandoti su quelle esposte a Internet o che presentano un rischio elevato. Applica rapidamente le patch o altre misure di mitigazione per evitare attacchi. Monitora e misura i progressi fatti nella gestione delle vulnerabilità.
  • Eliminare servizi e applicazioni non in uso: riduci la superficie di attacco rimuovendo software e servizi non utilizzati. Meno elementi attivi ci sono, meno opportunità avranno gli aggressori di sfruttare le vulnerabilità.
  • Formazione del personale: promuovi una cultura della sicurezza con corsi di formazione regolari. La consapevolezza aiuta a prevenire attacchi di phishing e malspam, riducendo il rischio per l’organizzazione.
  • Utilizzare soluzione anti-malware: spesso i malware sono distribuiti mediante campagne di malspam e phishing su larga scala. Assicurati che tutti i sistemi dispongano di software antivirus aggiornati e filtri antispam attivi per individuare e mettere in quarantena file infetti.
  • Implementare robuste politiche di autenticazione: gli attacchi di credential stuffing sono spesso componenti automatizzati delle campagne di mass exploitation. Proteggi gli account con password forti generate in modo casuale e non riutilizzarle su più piattaforme. Rafforza la sicurezza con autenticazione a più fattori (MFA), password manager e politiche di rotazione regolari.
  • Configurare firewall e sistemi IPS: utilizza firewall e sistemi di prevenzione delle intrusioni (IPS) per bloccare il traffico dannoso. Imposta regole rigorose per proteggere i servizi sensibili ed effettua verifiche periodiche per aggiornare le configurazioni in base alle nuove minacce. 

Conclusione

Il mass exploitation si riferisce a campagne di attacco informatico automatizzate che sfruttano bot per scansionare la rete pubblica in cerca di sistemi vulnerabili. Questi attacchi colpiscono un’ampia gamma di vittime, approfittando di vulnerabilità note nei software esposti a Internet. Una volta compromessi, i sistemi vengono utilizzati per scopi malevoli come: lanciare attacchi ransomware, vendere accessi non autorizzati ad altri gruppi criminali, ampliare botnet per attacchi futuri.

Questa tecnica rappresenta una minaccia significativa poiché consente agli aggressori di operare su larga scala con uno sforzo minimo.

Per proteggersi dal mass exploitation le organizzazioni devono adottare un approccio proattivo, implementando misure di sicurezza fondamentali come: scansioni regolari delle vulnerabilità, gestione tempestiva delle patch, controllo rigoroso degli accessi, monitoraggio continuo della rete. Infine, investire nella formazione del personale in materia di sicurezza informatica può ridurre significativamente il rischio di cadere vittima di queste campagne.