Sommario
L’agenzia statunitense CISA ha segnalato un grave rischio legato ai dispositivi Ivanti Connect Secure, Policy Secure e ZTA Gateways, vulnerabili alla CVE-2025-22457, una falla di tipo stack-based buffer overflow. La criticità consente a un attore malevolo di prendere il controllo completo del sistema, aprendo la strada a compromissioni gravi su reti aziendali.
I dispositivi non aggiornati entro il 28 febbraio 2025 risultano particolarmente a rischio. La CISA raccomanda azioni immediate di threat hunting, tra cui l’uso del tool di integrità esterno fornito da Ivanti, analisi forense sui dispositivi collegati, factory reset e patching. Anche in assenza di compromissione, è suggerito il ripristino completo da immagini pulite per garantire il massimo livello di sicurezza. I dispositivi compromessi vanno isolati dalla rete, analizzati tramite dump di memoria e immagini forensi, e devono essere completamente riconfigurati, inclusa la revoca e reimpostazione di certificati, API key e credenziali locali.
- Security Update: Pulse Connect Secure, Ivanti Connect Secure, Policy Secure and Neurons for ZTA Gateway
- CISA Mitigation Instructions for CVE-2025-22457
CISA ha inserito ufficialmente la CVE nel Known Exploited Vulnerabilities Catalog, segnalando la sua attiva sfruttabilità da parte di attori minacciosi. Questo tipo di vulnerabilità rappresenta un vettore d’attacco comune, in grado di mettere a repentaglio l’integrità delle infrastrutture federali e private, richiedendo una risposta tempestiva anche da parte di enti non governativi.
Coinbase e l’effetto domino del messaggio “2-step verification failed”
Parallelamente, un’anomalia di interfaccia nella piattaforma Coinbase ha generato panico tra migliaia di utenti, inducendo molti a credere che i propri account fossero stati compromessi. Il messaggio visualizzato nei log di attività, “second_factor_failure” o “2-step verification failed”, ha portato gli utenti a pensare che qualcuno avesse indovinato la loro password e fosse stato bloccato solo dal 2FA.
Numerosi clienti, dopo aver ricevuto email e SMS di phishing, hanno verificato nei log questi messaggi associati a tentativi di login da località sospette. Questo ha provocato cambiamenti di password, installazioni di antivirus e un senso diffuso di allarme, soprattutto tra coloro che utilizzano password complesse e uniche, senza riscontri di malware locali.
Tuttavia, un’analisi più approfondita ha rivelato che l’errore compare anche quando viene inserita una password errata, e non solo a seguito di un errore nel codice di autenticazione a due fattori. In pratica, l’utente malintenzionato potrebbe non conoscere affatto la password, ma l’interfaccia suggerisce erroneamente il contrario.
Coinbase ha ammesso il problema e sta valutando una modifica del messaggio per renderlo più coerente, ma non ha fornito alcuna tempistica per l’intervento. Nel frattempo, i truffatori sembrano sfruttare questa confusione come elemento di ingegneria sociale per indurre l’utente a cliccare su link fraudolenti. Nonostante non vi siano prove concrete che la funzione sia già stata sfruttata in attacchi reali, il rischio rimane elevato, soprattutto per le vittime più vulnerabili.
CVE-2025-22457: rischio attivo e priorità massima nella mitigazione
L’inserimento della CVE-2025-22457 nel KEV Catalog di CISA non rappresenta una formalità, ma un richiamo diretto all’urgenza della situazione. Secondo la direttiva operativa vincolante 22-01 (BOD 22-01), tutte le agenzie federali civili devono remediare le vulnerabilità catalogate entro la scadenza fissata, ma la raccomandazione è estesa anche al settore privato. La vulnerabilità è stata rilevata in uso attivo da parte di cyber attori, e la finestra di esposizione, anche per le organizzazioni aggiornate, resta critica fino all’implementazione delle misure suggerite.
La fiducia nei dispositivi e nei messaggi deve essere riconquistata
La sicurezza informatica continua a essere messa alla prova da fattori tecnici, umani e comunicativi. Da un lato, l’attacco a Ivanti dimostra come le vulnerabilità software possano diventare porte d’ingresso per compromissioni sistemiche; dall’altro, il caso Coinbase rivela che anche errori d’interfaccia o design possono scatenare dinamiche di allarme collettivo con ripercussioni sulla percezione della sicurezza.
Ti è piaciuto questo contenuto? Iscriviti alla nostra newsletter settimanale
Seguici su Google News iscrivendoti al canale
Il messaggio è chiaro: la protezione dei sistemi non passa solo dagli aggiornamenti, ma anche da chiarezza comunicativa, controllo dei flussi e trasparenza nella gestione degli incidenti.
