Sommario
Nel panorama della sicurezza informatica di maggio 2025, emergono tre casi distinti ma emblematici della varietà e complessità delle minacce attuali. Dall’exploit zero-day di Output Messenger, utilizzato per operazioni di spionaggio, passando per il fallimento della patch Samsung MagicINFO che trasforma i dispositivi digitali in zombie da botnet, fino alle vulnerabilità di Asus DriverHub capaci di abilitare l’esecuzione remota di codice tramite file manipolati, il quadro risulta chiaro: nessun sistema, dal software gestionale al firmware industriale, può più considerarsi immune alla compromissione avanzata.
Output Messenger colpito da Marbled Dust: uno zero-day per lo spionaggio statale
Microsoft ha confermato che il gruppo Marbled Dust – noto anche come Sea Turtle e associato a interessi governativi turchi – ha sfruttato la vulnerabilità CVE-2025-27920 in Output Messenger per infiltrarsi in reti legate a obiettivi curdi in Iraq. Il bug, di tipo directory traversal, consente agli attaccanti autenticati di accedere a file esterni alla directory assegnata e, in combinazione con script malevoli, di ottenere esecuzione di codice remoto tramite la cartella di avvio del server.
Questa vulnerabilità è stata risolta da Srimax nel dicembre 2024 con la versione Output Messenger V2.0.63, ma molte installazioni non sono state aggiornate. L’attacco, tecnicamente sofisticato, ha incluso anche DNS hijacking, impersonificazione utente e data exfiltration tramite backdoor installate su sistemi non aggiornati.
Secondo Microsoft, questo attacco segna un’escalation nelle capacità offensive di Marbled Dust, ora in grado di combinare vulnerabilità zero-day a tecniche classiche di ingegneria sociale e controllo DNS, con obiettivi estesi a telecomunicazioni, enti governativi e organizzazioni ostili ad Ankara.
MagicINFO 9 di Samsung: la patch fallita trasforma i display in zombie da botnet
Una vulnerabilità nel MagicINFO 9 Server, il software centrale di gestione della segnaletica digitale Samsung, continua a essere attivamente sfruttata nonostante la patch ufficialmente annunciata mesi fa. La falla, identificata come CVE-2024-7399, consente l’upload remoto di file malevoli con privilegi di sistema, trasformando i server in strumenti per la diffusione di malware o in nodi per attacchi DDoS via Mirai botnet.
Rapid Response: Samsung MagicINFO 9 Server Flaw | Huntress
L’assenza di una mitigazione efficace, segnalata da ricercatori di Huntress, ha messo a rischio migliaia di installazioni in aeroporti, ospedali, uffici e negozi, spesso lasciate esposte online per agevolare la manutenzione remota. La gestione superficiale del problema – il report sarebbe stato archiviato come duplicato da Samsung – espone il brand a una crisi reputazionale e i clienti a rischi tangibili di compromissione dell’infrastruttura.
I ricercatori raccomandano la disconnessione immediata dei server MagicINFO da internet fino al rilascio di una correzione efficace, poiché il rischio di infezione resta alto e l’attività botnet è già in corso.
Asus DriverHub: due falle critiche con possibilità di esecuzione remota via HTTP
Chiude il quadro l’intervento tempestivo di Asus, che ha corretto due vulnerabilità nella propria utility DriverHub, responsabile della gestione automatica dei driver per schede madri. Le falle, CVE-2025-3462 (errore di validazione d’origine) e CVE-2025-3463 (validazione certificati), permettono attacchi RCE tramite l’uso di domini artefatti e file .ini manipolati, agganciati alla routine AsusSetup.exe.
Un attaccante, secondo la ricerca pubblicata da MrBruh, può ospitare un payload malevolo su un dominio fasullo, imitare l’ambiente di aggiornamento Asus e far eseguire comandi remoti silenziosamente tramite flag -s. Questo tipo di attacco, estremamente silenzioso, sfrutta le routine legittime di installazione automatica e può essere attivato con una semplice visita a un sottodominio appositamente preparato.
Asus ha risolto i problemi con un aggiornamento pubblicato il 9 maggio 2025. Non risultano, al momento, segnalazioni di exploit attivi in the wild, ma gli utenti sono fortemente invitati ad aggiornare DriverHub tramite l’app ufficiale.
