Sommario
Negli ultimi giorni, il panorama della sicurezza informatica è stato scosso da una serie di vulnerabilità critiche che mettono a rischio sia le infrastrutture aziendali che i sistemi industriali. Tra i problemi più urgenti, si segnala una falla di autenticazione nei firewall SonicWall, già sfruttata da attaccanti, mentre la CISA ha rilasciato venti nuovi avvisi riguardanti le vulnerabilità nei sistemi di controllo industriale e ha aggiunto un’altra vulnerabilità al Known Exploited Vulnerabilities Catalog.
Firewall SonicWall sotto attacco: exploit pubblicato e rischi concreti
Una grave vulnerabilità di autenticazione è stata scoperta nei firewall SonicWall, consentendo agli attaccanti di bypassare l’autenticazione SSL VPN ed entrare nei sistemi aziendali senza bisogno di credenziali. Il problema riguarda le versioni 7.1.x, 7.1.2-7019 e 8.0.0-8035 di SonicOS, impiegate nei firewall di generazione 6 e 7 e nei dispositivi della serie SOHO.
Dopo la pubblicazione del codice Proof-of-Concept (PoC) dell’exploit, il rischio di attacco è aumentato esponenzialmente. Il gruppo di sicurezza Arctic Wolf ha confermato di aver rilevato attacchi attivi basati su questo exploit, con attori malevoli che prendono di mira i firewall non aggiornati per rubare informazioni sensibili e interrompere le sessioni VPN.
Il problema è particolarmente serio perché il bug permette di superare l’autenticazione a più fattori (MFA), aumentando il rischio di accessi non autorizzati. Gli esperti di sicurezza Bishop Fox hanno segnalato che oltre 4.500 firewall SonicWall esposti su internet risultano ancora vulnerabili.
SonicWall ha rilasciato una patch a gennaio 2025 e ha esortato i clienti a aggiornare immediatamente i propri firewall. In alternativa, per chi non può aggiornare subito, è consigliato disabilitare SSL VPN o limitarne l’accesso solo a fonti fidate.
CISA rilascia venti avvisi per sistemi industriali
La Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato venti nuovi avvisi di sicurezza riguardanti vulnerabilità nei sistemi di controllo industriale. Questi sistemi sono fondamentali per infrastrutture critiche, come reti energetiche, impianti di produzione e servizi pubblici, e una loro compromissione potrebbe avere conseguenze disastrose.
CISA ha segnalato che molte di queste vulnerabilità sono attivamente sfruttate da hacker per ottenere accesso non autorizzato ai sistemi SCADA e per manipolare i dispositivi industriali. Tra i problemi identificati, si segnalano bug di esecuzione remota di codice (RCE), escalation di privilegi e vulnerabilità che permettono attacchi di tipo denial-of-service (DoS).
- ICSA-25-044-01 Siemens SIMATIC S7-1200 CPU Family
- ICSA-25-044-02 Siemens SIMATIC
- ICSA-25-044-03 Siemens SIPROTEC 5
- ICSA-25-044-04 Siemens SIPROTEC 5
- ICSA-25-044-05 Siemens SIPROTEC 5 Devices
- ICSA-25-044-06 Siemens RUGGEDCOM APE1808 Devices
- ICSA-25-044-07 Siemens Teamcenter
- ICSA-25-044-08 Siemens OpenV2G
- ICSA-25-044-09 Siemens SCALANCE W700
- ICSA-25-044-10 Siemens Questa and ModelSim
- ICSA-25-044-11 Siemens APOGEE PXC and TALON TC Series
- ICSA-25-044-12 Siemens SIMATIC IPC DiagBase and SIMATIC IPC DiagMonitor
- ICSA-25-044-13 Siemens SIMATIC PCS neo and TIA Administrator
- ICSA-25-044-14 Siemens Opcenter Intelligence
- ICSA-25-044-15 ORing IAP-420
- ICSA-25-044-16 mySCADA myPRO Manager
- ICSA-25-044-17 Outback Power Mojave Inverter
- ICSA-25-044-18 Dingtian DT-R0 Series
- ICSA-24-030-02 Mitsubishi Electric FA Engineering Software Products (Update C)
- ICSMA-25-044-01 Qardio Heart Health IOS and Android Application and QardioARM A100
L’agenzia ha raccomandato a tutte le aziende del settore di aggiornare immediatamente i software interessati, applicare segmentazioni di rete più rigide e rafforzare le difese contro possibili attacchi.
CISA aggiunge una nuova vulnerabilità al catalogo degli exploit conosciuti
CISA ha inoltre inserito un’altra vulnerabilità nel Known Exploited Vulnerabilities Catalog, un elenco di falle di sicurezza che sono attivamente sfruttate dagli hacker per attaccare le reti federali e aziendali.
CVE-2024-57727 – SimpleHelp Path Traversal Vulnerability
Queste vulnerabilità vengono sfruttate frequentemente per ottenere accessi non autorizzati, rubare dati e interrompere servizi essenziali. Per questo motivo, CISA ha chiesto a tutte le agenzie federali e organizzazioni private di dare priorità alla risoluzione di questi problemi per ridurre il rischio di attacchi informatici su larga scala.
Sebbene il catalogo delle vulnerabilità sia principalmente rivolto agli enti governativi, CISA ha invitato anche le aziende private ad adottare misure di mitigazione, evidenziando che molte delle vulnerabilità catalogate sono utilizzate anche contro infrastrutture aziendali e settori strategici.
Allerta massima: l’importanza di aggiornamenti e mitigazioni immediate
Gli ultimi sviluppi nel settore della sicurezza informatica mostrano come le minacce stiano evolvendo rapidamente e colpiscano sia reti aziendali che infrastrutture critiche. Le vulnerabilità nei firewall SonicWall, le falle nei sistemi industriali e le nuove minacce catalogate da CISA rappresentano rischi concreti che devono essere affrontati con aggiornamenti tempestivi e strategie di difesa proattive.
Le aziende e le organizzazioni devono verificare immediatamente la sicurezza delle proprie reti, aggiornare i sistemi vulnerabili e, dove non sia possibile applicare le patch, adottare misure di mitigazione come la segmentazione della rete, la disabilitazione di servizi non necessari e il monitoraggio continuo delle minacce.
