Sommario
Nel panorama della sicurezza informatica di aprile 2025 emergono tre vulnerabilità critiche che coinvolgono infrastrutture ampiamente diffuse in contesti domestici, aziendali e governativi: un bypass di autenticazione nei router ASUS, un exploit attivo nei dispositivi SonicWall SMA VPN, e un remote code execution client-side in Cisco Webex. Le tre falle, pur diverse per natura, condividono un impatto potenzialmente devastante in termini di compromissione della riservatezza, integrità e disponibilità delle infrastrutture informatiche colpite.
ASUS: vulnerabilità critica nei router con AiCloud consente bypass completo dell’autenticazione
ASUS ha recentemente pubblicato un security advisory urgente riguardante una falla di gravità critica, classificata con CVSS 9.8, che colpisce diversi modelli di router consumer e prosumer compatibili con AiCloud. L’origine della vulnerabilità risiede in un difetto nei meccanismi di autenticazione remota, che consente a un attaccante non autenticato di ottenere accesso completo alle funzionalità del router tramite interfacce web esposte a Internet.
L’interfaccia vulnerabile è legata al modulo AiCloud, una suite ASUS che consente agli utenti di accedere ai file archiviati localmente tramite cloud, sincronizzare dispositivi remoti e utilizzare funzioni VPN integrate. L’exploit sfrutta una chiamata HTTP appositamente manipolata che elude il processo di autenticazione attraverso una combinazione di parametri URL malevoli e intestazioni HTTP fuorvianti, consentendo l’accesso alle impostazioni di amministrazione senza fornire credenziali valide.
Tra i modelli confermati vulnerabili vi sono:
- RT-AC68U
- RT-AX88U
- RT-AX58U
- ZenWiFi XT8
- GT-AX11000
Il rischio principale associato a questa vulnerabilità riguarda la possibilità per un attaccante remoto di disabilitare firewall, reindirizzare il traffico di rete tramite DNS malevoli, installare malware persistente o utilizzare il dispositivo come nodo in botnet DDoS. In particolare, l’esposizione al servizio AiCloud, spesso attivato di default o con configurazioni errate, rende i dispositivi visibili su larga scala tramite motori come Shodan, facilitando lo scanning e l’identificazione degli host vulnerabili.
ASUS ha rilasciato firmware correttivi per tutti i dispositivi interessati e raccomanda l’aggiornamento immediato, oltre alla disattivazione del servizio AiCloud per gli utenti che non ne fanno uso attivo. Ulteriori mitigazioni includono la restrizione dell’accesso WAN alle interfacce di amministrazione e l’utilizzo di VPN dedicate per il controllo remoto.
SonicWall: attacchi attivi in corso contro dispositivi SMA VPN da gennaio 2025
Un secondo allarme riguarda i dispositivi SonicWall SMA (Secure Mobile Access), utilizzati da migliaia di aziende per l’accesso remoto sicuro alle risorse aziendali. Secondo quanto emerso in un report tecnico, da gennaio 2025 è in corso una campagna coordinata di attacchi contro versioni non aggiornate di SonicWall SMA 100 e 1000, sfruttando una o più vulnerabilità per ottenere accesso persistente e non autorizzato.
L’attacco è stato inizialmente osservato in ambiente enterprise e in infrastrutture governative, con compromissioni che hanno portato al furto di credenziali, al pivoting laterale nella rete e alla distribuzione di malware. I dettagli tecnici precisi della vulnerabilità sfruttata non sono stati divulgati pubblicamente da SonicWall, ma le firme delle attività malevole sono state identificate attraverso log anomali, connessioni SSH inattese e accessi imprevisti all’interfaccia di management via web.
L’elemento più critico di questa campagna risiede nel fatto che l’exploit è attivamente utilizzato in-the-wild da almeno tre mesi, con evidenza di persistence post-compromissione, anche dopo aggiornamenti parziali. Alcune delle istanze infette hanno mostrato modifiche ai file di configurazione, script cron installati per mantenere l’accesso remoto e creazione di utenti amministrativi fantasma.
SonicWall ha pubblicato un security notice con raccomandazioni operative precise, tra cui:
- Aggiornamento obbligatorio alla versione più recente del firmware SMA
- Controllo approfondito dei file di configurazione e delle tabelle utenti
- Verifica dei log di accesso remoto e SSH
- Analisi integrità del file system con strumenti forensi
L’impatto strategico di questa vulnerabilità è amplificato dalla natura centralizzata del ruolo dei dispositivi VPN, che controllano l’accesso alla totalità delle risorse interne. Un singolo punto di compromissione può quindi diventare una porta spalancata sulla rete aziendale, con implicazioni critiche in termini di riservatezza dei dati, continuità operativa e sicurezza del perimetro.
Cisco Webex: esecuzione di codice da remoto tramite link di meeting (CVE-2025-20236)
A completare il quadro delle vulnerabilità critiche del mese vi è un difetto rilevato nel client Cisco Webex per Windows, identificato con la sigla CVE-2025-20236, con un punteggio CVSS di 8.8. Questa vulnerabilità consente a un attaccante remoto di eseguire codice arbitrario sul sistema della vittima semplicemente inducendola ad interagire con un link Webex modificato, privo di componenti eseguibili visibili.
L’exploit sfrutta una falla nel componente GpcUrlSchemeHandler ActiveX, responsabile della gestione dei link URI personalizzati associati ai meeting Webex. In particolare, attraverso la manipolazione di parametri specifici nella struttura dell’URL, è possibile innescare una catena di chiamate che termina con l’invocazione di processi locali non adeguatamente sanitizzati, aprendo così la strada all’iniezione di codice malevolo.
Il comportamento della vulnerabilità evidenzia una grave mancanza di controllo nei layer di parsing degli argomenti, i quali vengono passati direttamente al sistema operativo tramite shell command. Il rischio si concretizza anche in ambienti protetti, poiché l’esecuzione avviene all’interno di un processo trusted (il client Webex stesso), eludendo molte soluzioni antivirus o di controllo applicativo.
Secondo Cisco, il bug colpisce versioni precedenti alla 43.6.0, le quali non implementano il fix che sanitizza correttamente gli input all’interno del protocol handler. Sebbene la falla sia di tipo client-side, e richieda una minima interazione da parte della vittima (click o apertura automatica tramite browser associato), l’impatto può essere devastante in scenari reali.
I casi d’uso in cui l’exploit è più efficace includono:
- Invio di inviti a meeting via email o chat, mascherati con link credibili
- Integrazione dei link in PDF o documenti Word con anteprima automatica
- Distribuzione su portali o forum interni, dove il link viene caricato automaticamente al caricamento della pagina
L’attaccante, in queste condizioni, può ottenere:
- Accesso al sistema con privilegi dell’utente in sessione
- Iniezione di trojan, keylogger, backdoor o dropper
- Download e esecuzione di script remoti tramite PowerShell o curl
- Movimento laterale nella rete, se l’ambiente non è segmentato
Cisco ha corretto la vulnerabilità e invita tutti gli utenti a verificare la versione del client Webex installato, aggiornando immediatamente alla release sicura. Inoltre, viene raccomandata la disabilitazione dei protocolli URI personalizzati per le applicazioni non strettamente necessarie, e l’adozione di filtri comportamentali che rilevino attività anomale nei processi associati a client di videoconferenza.
Infrastrutture quotidiane esposte a minacce sofisticate e mirate
Le tre vulnerabilità evidenziate – nei router ASUS con AiCloud, nei gateway VPN SonicWall SMA e nel client Cisco Webex – mostrano come la superficie d’attacco moderna non sia più confinata a server o dispositivi specializzati, ma coinvolga strumenti quotidiani, diffusi e apparentemente sicuri.
La comunanza tra queste minacce risiede nel fatto che l’accesso iniziale è spesso ottenuto tramite vettori semplici e sottovalutati, come un link, una configurazione cloud non monitorata, o un’interfaccia VPN non aggiornata. Tuttavia, una volta avvenuta la compromissione, l’impatto è strutturale: controllo del traffico di rete, accesso persistente alle risorse aziendali, escalation di privilegi e sabotaggio dei sistemi di sicurezza.
Il contesto odierno impone alle organizzazioni – piccole, medie o grandi – di adottare un approccio di difesa a più livelli, basato su:
- Patching tempestivo
- Isolamento delle interfacce WAN
- Verifica dei privilegi e controllo degli accessi
- Segmentazione delle reti e monitoraggio continuo del traffico
- Simulazione e testing regolari delle configurazioni critiche
In un ecosistema digitale sempre più interconnesso, la resilienza si costruisce a partire dai dettagli: il firmware di un router domestico, la configurazione di una VPN aziendale o il comportamento di un client installato su migliaia di postazioni.
