Sommario
Nel mese di aprile 2025, la superficie di attacco globale ha mostrato ancora una volta la propria fragilità strutturale. Le comunicazioni pubblicate da CISA (Cybersecurity and Infrastructure Security Agency), unitamente a nuove disclosure di vulnerabilità e backdoor, delineano uno scenario in cui la sicurezza digitale resta in costante emergenza operativa, con infrastrutture critiche, software open source e dispositivi personali esposti a rischi sistemici. A preoccupare in particolare sono le nuove minacce legate ai dispositivi Fortinet, il persistente sfruttamento di due zero-day su iPhone, un CVE critico in Apache Roller e un allarme su credenziali legacy nel cloud Oracle.
Symlink backdoor su oltre 16.000 dispositivi Fortinet: persistenza stealth su larga scala
Un report pubblicato da Fortinet ha rivelato la presenza di una backdoor installata tramite file symlink su oltre 16.500 dispositivi Fortinet FortiGate, confermando una delle più estese compromissioni di firewall enterprise degli ultimi anni e fornendo indicazioni su come fare. La backdoor consente agli attaccanti di mantenere accesso privilegiato anche dopo aggiornamenti del firmware, grazie a symlink che aggirano la persistenza del filesystem.
L’infezione si basa su un exploit precedentemente sfruttato legato alla vulnerabilità CVE-2022-42475, già oggetto di patch ma non sempre applicata in modo tempestivo. Il rischio è aumentato dalla difficoltà di rilevamento, poiché i symlink risultano legittimi in ambienti Unix-like e vengono spesso ignorati da scanner convenzionali. Fortinet ha rilasciato strumenti di verifica, ma invita le aziende a eseguire controlli forensi su larga scala.
Zero-day Apple: due vulnerabilità già sfruttate in attacchi mirati su iPhone
Apple ha rilasciato aggiornamenti di emergenza per iOS 17.4.1 e iPadOS 17.4.1, correggendo due vulnerabilità zero-day attivamente sfruttate per compromettere dispositivi iPhone in attacchi mirati. Le falle, identificate come CVE-2025-27841 e CVE-2025-27842, interessano rispettivamente il kernel del sistema operativo e WebKit, il motore di rendering utilizzato da Safari e da tutte le app iOS con browser integrato.
La vulnerabilità WebKit consente l’esecuzione arbitraria di codice remoto attraverso contenuti web appositamente costruiti, mentre la falla nel kernel potrebbe permettere l’elevazione dei privilegi fino a root, compromettendo l’intero sistema. Entrambe risultano già utilizzate in attacchi reali su dispositivi iOS 17.4 e precedenti, motivo per cui Apple ha classificato il rilascio come critico.
Apache Roller: CVE-2025-24859 consente session hijacking persistente dopo cambio password
Una grave vulnerabilità è stata individuata nella piattaforma Apache Roller, software open-source per la gestione di blog basato su Java. Il difetto, identificato come CVE-2025-24859 con CVSS 10.0, riguarda la gestione delle sessioni utente non invalidata dopo il cambio password, consentendo all’attaccante di mantenere l’accesso anche dopo che le credenziali sono state aggiornate.
La vulnerabilità è presente in tutte le versioni fino alla 6.1.4 e risolta con l’introduzione della versione 6.1.5, che implementa un sistema centralizzato di invalidazione delle sessioni. La criticità del bug risiede nel fatto che non è necessario un attacco attivo per compromettere nuovamente il sistema, poiché basta aver ottenuto una sessione persistente prima del cambio di credenziali.
Allerta CISA su cloud Oracle: credenziali legacy e rischi di compromissione non tracciata
CISA ha pubblicato un bollettino relativo a rischi legati alle credenziali conservate in ambienti Oracle Cloud Infrastructure (OCI). In particolare, l’agenzia avverte che sistemi legacy, account inattivi e chiavi API non ruotate rappresentano un vettore di attacco spesso invisibile.
Il bollettino raccomanda alle organizzazioni che utilizzano Oracle Cloud di analizzare sistematicamente la propria superficie di autenticazione, rimuovere account inattivi, disabilitare chiavi obsolete e applicare meccanismi di audit per ogni modifica alle politiche IAM. Sebbene non siano stati rilevati incidenti pubblici confermati, CISA ritiene “probabile” l’uso malevolo di queste debolezze da parte di attori APT.
CISA espande il catalogo KEV e garantisce i fondi per il sistema CVE
Sempre in aprile, CISA ha aggiunto al proprio Known Exploited Vulnerabilities Catalog (KEV) una nuova vulnerabilità attivamente sfruttata, invitando le amministrazioni federali e gli enti pubblici a correggere i sistemi entro il 7 maggio 2025. La vulnerabilità, non specificata nei dettagli tecnici pubblici, riguarda una libreria software presente in applicazioni web legacy e può essere sfruttata per accesso remoto non autenticato.
In parallelo, è stato confermato il prolungamento del finanziamento federale al MITRE CVE Program, per garantire la continuità della piattaforma di classificazione delle vulnerabilità, che rischiava un’interruzione operativa a partire dal 17 aprile. La mancanza di fondi avrebbe avuto conseguenze dirette sulla pubblicazione dei CVE, con impatti negativi per tutta la comunità di cybersecurity.
CISA e Matrice Digitale: alert su exploitation attiva e minacce emergenti
Matrice Digitale, in continuità con CISA, ha riportato che numerose vulnerabilità già presenti nei cataloghi KEV vengono sfruttate in modo attivo da attori statali e cybercriminali. Tra queste, i CVE più critici segnalati includono falle in Fortinet, Apache Tomcat, e componenti Spring Boot, tutti framework usati in ambienti mission-critical, tanto in ambito enterprise quanto governativo.
Il messaggio di fondo è chiaro: l’applicazione tempestiva delle patch non è più facoltativa, ma costituisce l’unico meccanismo efficace per contrastare attacchi zero-click, escalation silenziose e persistenze occulte.
Vulnerabilità sempre più strutturali, risposta pubblica ancora disomogenea
Il panorama delineato dai report di CISA, Apple, Fortinet e della comunità open-source evidenzia una convergenza inquietante tra vulnerabilità critiche e ritardi strutturali nella risposta difensiva, sia nel settore privato sia in quello pubblico. Se da un lato emergono strumenti di difesa e iniziative di classificazione sempre più evolute (come il programma CVE esteso e il catalogo KEV), dall’altro la lentezza nel patching e la sottovalutazione dei segnali iniziali permettono esfiltrazioni silenziose, accessi non autorizzati e persistenze difficili da eradicare.
Le organizzazioni sono chiamate a investire in gestione proattiva delle credenziali, analisi comportamentale avanzata e controllo continuo delle sessioni attive, specialmente in ambienti cloud e ibridi. In assenza di queste misure, anche un semplice symlink può trasformarsi nella porta d’ingresso per un attacco su scala industriale.
