Il panorama della sicurezza informatica a metà aprile 2025 si presenta denso di aggiornamenti critici che interessano ambienti server, applicazioni per la collaborazione e framework infrastrutturali. Tra le segnalazioni più rilevanti figura una grave vulnerabilità nel componente SSH di Erlang/OTP, un’infrastruttura chiave per numerosi ambienti di backend e applicazioni IoT. In parallelo, Microsoft rilascia patch fuori band per correggere problemi sui container Hyper-V in Windows Server, mentre Cisco affronta tre diverse vulnerabilità distribuite tra Webex App, Nexus Dashboard e Secure Network Analytics.
Erlang/OTP e la CVE-2025-32433: esecuzione di codice remoto tramite fallback SSH malformato
Una delle vulnerabilità più allarmanti riguarda Erlang/OTP, piattaforma fondamentale per applicazioni distribuite ad alta disponibilità, utilizzata da sistemi come WhatsApp, RabbitMQ e CouchDB. La falla identificata come CVE-2025-32433 colpisce il modulo ssh_transport.erl, responsabile della gestione delle connessioni SSH.
L’origine del bug risiede nella gestione non sicura dei pacchetti SSH2 malformati durante la negoziazione iniziale, quando il server si trova in modalità fallback dopo il rifiuto di un algoritmo di compressione. L’attaccante può inviare un pacchetto specificamente costruito che innesca una condizione di parsing errata, portando a un overflow heap e successiva esecuzione arbitraria di codice con i privilegi del demone SSH remoto.
Sono affette tutte le versioni di Erlang/OTP da 25.3.2.7 fino alla 26.2.3, con il rilascio delle patch corrette nella versione 26.2.4. Il rischio è elevato in ambienti dove Erlang viene esposto direttamente tramite SSH, scenario comune in appliance, server telecom e nodi IoT.
Il CVE è stato confermato anche dal gruppo OpenWall sulla mailing list oss-security, che ha classificato il difetto come exploitable in ambienti reali non sandboxed, e ha raccomandato un aggiornamento immediato.
Patch d’emergenza Microsoft KB5059087: risolto il blocco dei container su Hyper-V
Microsoft ha pubblicato un aggiornamento fuori band (out-of-band) identificato come KB5059087, che corregge un grave problema emerso dopo i precedenti update cumulativi di aprile. Il bug impediva l’avvio dei container Hyper-V, compromettendo ambienti che utilizzano Windows Server 2022 Datacenter e Azure Stack HCI.
Il problema affliggeva i nodi che impiegano container basati su Windows con attivazione manuale della funzione Isolated User Mode (IUM). Dopo l’installazione dei precedenti aggiornamenti, tentativi di deploy o restart dei container fallivano con errori kernel (Stop code: PNP_DETECTED_FATAL_ERROR).
La nuova build 26100.3781 corregge l’incompatibilità tra IUM e il nuovo gestore di dispositivi virtuali introdotto con le patch di aprile. Microsoft consiglia l’applicazione immediata dell’update a tutte le organizzazioni che eseguono workload containerizzati su host Hyper-V, soprattutto in contesti dove l’availability è legata a processi CI/CD o orchestrazione Kubernetes via Windows Server.
Cisco Webex App: vulnerabilità RCE client-side su Windows (CVE-2024-20398)
Cisco ha pubblicato un avviso relativo a una grave vulnerabilità di esecuzione di codice remoto lato client, CVE-2024-20398, che affligge Cisco Webex App per Windows. Il problema risiede nel modo in cui l’applicazione gestisce contenuti in formato HTML ricevuti durante una sessione attiva, in particolare se manipolati tramite una specifica struttura di eventi che può essere iniettata via file o stream di comunicazione.
Un attaccante può indurre la vittima a interagire con un link Webex manipolato o aprire un file contenente codice incorporato, sfruttando le API dell’app per ottenere esecuzione arbitraria di codice con i privilegi utente. Il difetto colpisce solo le versioni di Webex installate localmente su Windows, e non riguarda l’interfaccia browser.
Cisco ha rilasciato una versione aggiornata dell’applicazione e raccomanda la distribuzione immediata tramite strumenti centralizzati (MSI/Intune). L’azienda afferma che nessun exploit attivo è stato osservato finora, ma la semplicità del vettore d’attacco rende la falla particolarmente pericolosa in ambienti enterprise con Webex preinstallato.
Cisco Nexus Dashboard: enumerazione utenti LDAP via errore di risposta (CVE-2024-20399)
La seconda vulnerabilità interessa Cisco Nexus Dashboard, il pannello di controllo per reti software-defined (SDN), e riguarda un difetto nel meccanismo di autenticazione LDAP. Identificato come CVE-2024-20399, consente a un attaccante remoto non autenticato di determinare se uno username è presente nel sistema, sfruttando le differenze nei messaggi di errore generati in fase di login.
Questo comportamento permette attacchi di enumerazione, utili per costruire successivamente attacchi di brute force o spear-phishing altamente mirati. Il bug colpisce diverse release della piattaforma, incluse le versioni distribuite con ACI Multi-Site Orchestrator e Cisco NDFC.
Cisco ha mitigato la vulnerabilità modificando il messaggio di errore in modo da non distinguere tra username esistente e inesistente, e suggerisce l’abilitazione di autenticazione multifattoriale e logging avanzato delle richieste fallite.
Cisco Secure Network Analytics: escalation di privilegi da utente a root (CVE-2024-20400)
Un ulteriore advisory Cisco rivela una falla critica nel sistema Secure Network Analytics (ex Stealthwatch). La vulnerabilità, CVE-2024-20400, consente a un utente autenticato di ottenere privilegi root mediante una configurazione impropria dei permessi su determinati script interni e moduli di logging.
L’exploit sfrutta symlink e race condition durante l’esecuzione dei cron job di aggiornamento interni, consentendo la sostituzione di file critici e l’esecuzione di comandi arbitrari all’interno del container. Cisco afferma che l’attacco richiede accesso locale all’interfaccia amministrativa, ma in ambienti dove la gestione è delegata a utenti multipli, il rischio di abuso interno è elevato.
L’azienda ha distribuito un fix e raccomanda la revisione delle policy di accesso ai moduli CLI, con particolare attenzione ai nodi configurati in ambienti ibridi con forwarding su portali di controllo remoti.
La complessità delle architetture ibride amplifica l’interdipendenza dei rischi
Le vulnerabilità segnalate in questi ultimi giorni – da Erlang/OTP a Webex, da Windows Server a Nexus Dashboard – evidenziano un pattern comune: i sistemi moderni sono costruiti su stack tecnologici multi-livello e interdipendenti, dove una falla in una libreria, un modulo di parsing o un’interfaccia client può avere ripercussioni trasversali su infrastrutture intere.
Le patch rilasciate rappresentano una risposta importante, ma non risolvono il problema di fondo: l’aumento della superficie d’attacco legata alla complessità e alla coesistenza tra software legacy, containerizzazione e ambienti cloud gestiti. Le organizzazioni sono chiamate a un monitoraggio continuo, segmentazione intelligente e revisione costante delle policy di aggiornamento, anche in contesti dove gli update out-of-band richiedono pianificazione urgente.
