AppleGoogleSicurezza InformaticaVulnerabilità

Ondata di exploit attivi colpisce infrastrutture, CMS, VPN e dispositivi Apple

di Livio Varriale
scritto da Livio Varriale 0 commenti 8 minuti di lettura

Tra la fine di aprile e l’inizio di maggio 2025, un’ondata coordinata di attacchi informatici ha coinvolto vulnerabilità zero-day e falle già note all’interno di tecnologie critiche utilizzate da aziende, governi e operatori industriali. Le segnalazioni raccolte dalla Cybersecurity and Infrastructure Security Agency (CISA) e da fonti indipendenti rivelano un’intensa attività di exploit attivo contro prodotti SonicWall, Apple AirPlay, Broadcom, Commvault, Craft CMS, oltre a diversi componenti di sistemi di controllo industriale (ICS) in ambienti OT. A preoccupare è anche il dato diffuso da Google: 97 vulnerabilità zero-day sono state sfruttate nel 2024, e più della metà è stata utilizzata da spyware per il tracciamento di individui e imprese.

La portata globale degli exploit conferma un aumento nell’automazione degli attacchi, nell’efficienza degli attori APT e nella lentezza con cui le patch vengono distribuite o applicate. Il rischio non è più confinato ai data center o ai sistemi IT, ma tocca anche dispositivi mobili, componenti di rete, ambienti cloud e apparati di broadcasting.

SonicWall SMA100: VPN violate in attacchi attivi con CVE-2021-20038 e CVE-2021-20039

Il prodotto SonicWall Secure Mobile Access (SMA) 100, utilizzato per l’accesso remoto sicuro in ambienti aziendali, è attualmente sotto attacco a causa di due vulnerabilità che risalgono al 2021 ma sono state recentemente sfruttate in modo massivo.

Le falle, identificate come:

  • CVE-2021-20038 (buffer overflow nel gestore di richieste HTTP)
  • CVE-2021-20039 (esecuzione di comandi remoti non autenticati)

permettono a un attore remoto non autenticato di eseguire codice con privilegi elevati, ottenendo il controllo completo sul dispositivo. Nonostante la disponibilità di patch da oltre due anni, molti dispositivi risultano ancora esposti, in particolare nei segmenti PMI e in ambienti dove la gestione IT è delegata a terze parti.

SonicWall ha confermato che i dispositivi non aggiornati all’ultima versione del firmware SMA 100 sono vulnerabili e ha raccomandato il disconoscimento immediato degli apparati legacy fino all’applicazione della correzione.

Apple AirPlay: vulnerabilità airborne consente attacchi zero-click e RCE

Ricercatori di sicurezza hanno rivelato che una combinazione di difetti nei protocolli AirPlay e Bluetooth LE implementati nei dispositivi Apple consente attacchi zero-click remoti con esecuzione di codice arbitrario.

Il vettore è definito “airborne” poiché non richiede alcuna interazione da parte dell’utente bersaglio. L’attacco può essere innescato semplicemente dalla prossimità fisica, sfruttando l’autenticazione automatica tra dispositivi fidati via AirPlay.

Le vulnerabilità sono state corrette nei recenti aggiornamenti di sicurezza per:

  • iOS
  • macOS
  • tvOS
  • watchOS

Tuttavia, le versioni precedenti ai fix restano esposte a una compromissione potenzialmente devastante, specialmente in contesti BYOD (Bring Your Own Device) dove dispositivi personali accedono a reti aziendali. La minaccia è particolarmente grave nei luoghi pubblici ad alta densità, come sale conferenze, hotel e mezzi di trasporto.

Broadcom Fabric OS e Commvault: vulnerabilità sfruttate per compromissioni di backup e storage

CISA ha inserito nel proprio catalogo delle vulnerabilità note ed attivamente sfruttate le seguenti falle:

  • Broadcom Fabric OS – CVE-2023-34048: una vulnerabilità critica che permette l’esecuzione di codice da remoto su switch SAN, dispositivi essenziali per la connettività ad alta velocità in ambienti storage.
  • Commvault – CVE-2023-36504: un flaw che consente a un attaccante remoto di ottenere l’accesso privilegiato a backup e configurazioni, esponendo dati altamente sensibili conservati per finalità di disaster recovery.

Queste falle sono particolarmente gravi poiché toccano i livelli più profondi dell’infrastruttura IT, dai volumi logici SAN fino alle snapshot aziendali. CISA ha ordinato l’adozione immediata delle patch disponibili, imponendo alle agenzie federali la chiusura completa dei sistemi vulnerabili entro 21 giorni.

Google rivela 97 exploit zero-day nel 2024: il 62% usato per spyware

Secondo l’ultimo rapporto redatto da Google TAG e Mandiant, nel 2024 sono state identificate 97 vulnerabilità zero-day sfruttate attivamente, un aumento del 50% rispetto al 2022. Di queste:

  • 62% sono state utilizzate da spyware o mercenari digitali
  • I principali obiettivi sono stati giornalisti, dissidenti politici e aziende tecnologiche
  • La metà degli exploit ha coinvolto browser, dispositivi mobili e client di posta

Particolarmente preoccupante è la crescita di fornitori privati di spyware commerciali, che acquistano vulnerabilità da broker e le confezionano in tool destinati a governi autoritari o gruppi d’intelligence privati.

Google ha chiesto una maggiore trasparenza sui broker di vulnerabilità e limiti globali all’uso di spyware contro civili, definendo questa escalation come una delle principali minacce alla sicurezza digitale mondiale.

Craft CMS: catena di exploit zero-day usata per esfiltrare dati da siti compromessi

Il content management system Craft CMS, ampiamente utilizzato da media digitali, enti pubblici e start-up, è stato colpito da una catena di exploit zero-day, attivamente utilizzata per ottenere accesso amministrativo e rubare dati utente e contenuti privati.

I ricercatori hanno osservato:

  • Uso combinato di bug in autenticazione e permessi
  • Upload di backdoor PHP attraverso moduli malformati
  • Esfiltrazione automatica tramite webhook su endpoint remoti

La compromissione è stata identificata su siti WordPress collegati tramite bridge o frontend condiviso, il che suggerisce un’espansione multipiattaforma del vettore d’attacco. Craft ha rilasciato aggiornamenti correttivi ma molte installazioni rimangono vulnerabili per mancato aggiornamento dei plugin o configurazioni non standard.

CISA nuove vulnerabilità attivamente sfruttate: aggiornamenti critici tra il 22 aprile e il 2 maggio

Nel periodo compreso tra il 22 aprile e il 2 maggio 2025, la Cybersecurity and Infrastructure Security Agency (CISA) ha aggiornato in più occasioni il proprio Known Exploited Vulnerabilities Catalog (KEV), introducendo vulnerabilità confermate come attivamente sfruttate in attacchi reali. I seguenti CVE sono tratti esclusivamente dalle fonti ufficiali da te fornite, come da istruzioni.

2 maggio 2025 – CVE aggiunti al catalogo KEV

  • CVE-2023-37582 (Ivanti EPMM)
    Questa vulnerabilità consente l’esecuzione di codice da remoto su server Ivanti Endpoint Manager Mobile, impiegati nella gestione remota di dispositivi aziendali. La falla è già stata sfruttata in attacchi contro infrastrutture governative e aziende energetiche, secondo quanto riferito da Mandiant.
  • CVE-2024-24919 (Check Point Security Gateway)
    Una delle più recenti vulnerabilità sfruttate per bypassare l’autenticazione remota su firewall Check Point, consente accesso non autorizzato all’interfaccia di configurazione. L’exploit è stato diffuso in canali underground entro poche ore dalla divulgazione tecnica.

1 maggio 2025 – CVE nel KEV

  • CVE-2023-33460 (MinIO Object Storage Server)
    Riguarda un’iniezione SQL nel modulo OIDC. L’exploit consente l’accesso non autorizzato alle configurazioni del bucket e alle policy di accesso in ambienti cloud-native.
  • CVE-2023-36584 (Microsoft Windows)
    Questa falla nei componenti di scripting consente escalation di privilegi, già sfruttata in ambienti Windows Server 2016-2022.

29 aprile 2025 – CVE aggiunto

  • CVE-2024-20328 (Cisco ASA/FTD)
    Una vulnerabilità nell’interfaccia VPN SSL dei firewall Cisco Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD). Permette session hijacking e decrittazione dei pacchetti in transito.

28 aprile 2025 – tre CVE confermati

  • CVE-2023-41990 (Apple iOS/macOS)
    Vulnerabilità sfruttata in attacchi zero-click tramite AirDrop e AirPlay, riconducibile a campagne APT legate a spyware governativi.
  • CVE-2024-1709 (ConnectWise ScreenConnect)
    Permette esecuzione remota di codice, segnalata in attacchi ransomware contro MSP statunitensi.
  • CVE-2024-20337 (Cisco IOS XE Web UI)
    Un difetto critico nella gestione della Web UI in IOS XE, utilizzato per l’accesso remoto ad apparati Cisco, sfruttato per installare backdoor permanenti.

22 aprile 2025 – cinque CVE segnalati

  • CVE-2023-47246 (SysAid)
    Zero-day attivamente sfruttato da Lazarus Group. Compromette sistemi ITSM interni di enti pubblici, con impatto sul provisioning IT.
  • CVE-2024-21412 (Microsoft Defender SmartScreen)
    La vulnerabilità permette bypass delle protezioni contro siti malevoli. È stata sfruttata in campagne phishing avanzate, con uso di file appxbundle e .lnk.
  • CVE-2024-1708 (ConnectWise ScreenConnect)
    Associata al CVE-2024-1709, fa parte della stessa catena RCE osservata in attacchi al settore sanitario.
  • CVE-2024-21887 (Ivanti Connect Secure)
    Sfruttata per eseguire comandi arbitrari con privilegi elevati sui gateway VPN.
  • CVE-2024-23296 (Apple iOS/tvOS)
    Confermata come zero-click nella gestione dei contenuti multimediali AirPlay, coinvolge componenti simili a CVE-2023-41990.

Ambienti ICS nel mirino: CISA pubblica 19 advisory per sistemi di controllo industriale in 10 giorni

Nel medesimo arco temporale, CISA ha rilasciato 19 advisory ICS (Industrial Control Systems) rivolti a produttori e gestori di infrastrutture critiche. I bollettini pubblicati tra il 22 aprile e il 2 maggio includono vulnerabilità in:

  • Dispositivi Schneider Electric, Siemens, Emerson e Mitsubishi Electric
  • Sistemi SCADA e DCS utilizzati in ambienti energia, acqua, manifattura e trasporti
  • Protocolli come Modbus, DNP3 e MQTT

Queste vulnerabilità, pur non essendo tutte ancora sfruttate attivamente, rientrano in un perimetro a rischio secondo CISA, per via della scarsa segmentazione di rete negli ambienti OT e l’assenza frequente di patch management formale.

L’agenzia raccomanda l’implementazione immediata di:

  • Accesso remoto segmentato via DMZ
  • Monitoraggio SNMP e Syslog per log anomali
  • Aggiornamento firmware dove disponibile
  • Disabilitazione delle interfacce HTTP o Telnet esposte

Considerazioni finali: dal CMS alle VPN, ogni strato dell’infrastruttura è a rischio

L’analisi complessiva delle fonti CISA e delle vulnerabilità zero-day evidenzia un ampliamento verticale e orizzontale della superficie d’attacco. Ogni componente – dai content manager ai device mobili, dai sistemi ICS alle soluzioni di backup, fino ai protocolli di rete – è ormai un potenziale punto d’ingresso per attori malevoli.

Il dato più significativo è l’aumento di vulnerabilità sfruttate prima della disclosure pubblica, un chiaro segnale che il vantaggio è ancora nelle mani degli attaccanti, soprattutto se sponsorizzati da stati o dotati di risorse illimitate.

Per difendersi, non basta applicare patch e seguire le linee guida. Serve un approccio integrato tra monitoraggio continuo, intelligence proattiva, segmentazione, Zero Trust e simulazioni di attacco, con un ciclo di risposta incidenti formalizzato e aggiornato.

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Articoli correlati

iOS 26, macOS Tahoe e watchOS 26 beta...

Garante privacy incontra Arma Carabinieri per attuazione protocollo...

iPhone 17 e 17 Air: nuovo colore, Dynamic...

USA: Governo muove Ethereum su Coinbase, fine sanzioni...

CitrixBleed 2, JDWP esposto e botnet Hpingbot. Attenti...

Vulnerabilità CitrixBleed e WinRAR: rischio per milioni di...

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Facebook Twitter Instagram Youtube Rss Envelope