Sommario
La seconda settimana di maggio 2025 segna un momento di alta intensità per la sicurezza informatica globale, con aggiornamenti critici, exploit attivi e nuove falle nei sistemi fondamentali di aziende leader. Da Microsoft a Fortinet, da Ivanti a Intel, fino agli attacchi supply chain che colpiscono gli sviluppatori del mondo Solana, i rischi per imprese e infrastrutture si moltiplicano. Le risposte dei vendor, tra patch, mitigazioni e comunicazioni pubbliche, mostrano un ecosistema ancora fortemente reattivo, dove la proattività resta l’unico vero scudo.
Windows 10 KB5058379 corregge errori di sistema e rafforza la sicurezza del kernel
Con il rilascio dell’aggiornamento KB5058379, Microsoft interviene su una serie di problemi strutturali nella versione 22H2 e 21H2 di Windows 10, compreso il noto errore associato al System Guard Runtime Monitor Broker (SgrmBroker.exe). L’update, parte del Patch Tuesday di maggio 2025, porta il sistema rispettivamente alle build 19045.5854 e 19044.5854, correggendo anche vulnerabilità zero-day e aggiornando la Driver Blocklist per mitigare attacchi BYOVD (Bring Your Own Vulnerable Driver).
Tra le migliorie rilevanti figura la gestione ottimizzata della GPU paravirtualization in WSL2, che evitava l’attivazione corretta della funzionalità a causa di un check case-sensitive. È stato inoltre migliorato il supporto a SBAT (Secure Boot Advanced Targeting), utile per l’interazione con sistemi Linux EFI. Microsoft segnala un’unica problematica nota: incompatibilità con il Citrix Session Recording Agent 2411, che può causare l’interruzione dell’installazione degli aggiornamenti, per cui è raccomandata la disattivazione temporanea del servizio.
Fortinet patcha una vulnerabilità RCE attivamente sfruttata nei sistemi FortiVoice
L’allerta arriva da Fortinet, che ha corretto una vulnerabilità critica di tipo stack-based buffer overflow tracciata come CVE-2025-32756, già sfruttata in attacchi mirati contro i sistemi FortiVoice. Gli exploit, basati su richieste HTTP malevole, permettono a un attaccante remoto non autenticato di eseguire codice arbitrario, prendendo pieno controllo dei dispositivi compromessi.
La falla, segnalata grazie all’analisi dell’attività di rete e dei log cancellati dagli attaccanti, coinvolge anche prodotti correlati come FortiMail, FortiNDR, FortiRecorder e FortiCamera. Fortinet suggerisce, in attesa della patch, la disabilitazione dell’interfaccia amministrativa HTTP/HTTPS. Le evidenze raccolte includono anche l’uso del flag fcgi debugging, attivato per il furto di credenziali tramite SSH e accessi remoti.
Ivanti avverte: vulnerabilità critica consente bypass dell’autenticazione
Il panorama delle minacce non risparmia Ivanti, che ha rilasciato patch urgenti per Neurons for ITSM (solo versioni on-premises), colpito da una vulnerabilità critica di bypass dell’autenticazione (CVE-2025-22462). Il bug consente a un attaccante remoto di ottenere accesso amministrativo su sistemi non aggiornati, con attacchi a bassa complessità.
| Product Name | Affected Version(s) | Resolved Version(s) |
| Ivanti Neurons for ITSM (on-prem only) | 2023.4, 2024.2, and 2024.3 | 2023.4 May 2025 Security Patch 2024.2 May 2025 Security Patch 2024.3 May 2025 Security Patch |
Pur non risultando ancora attivamente sfruttata, la falla riguarda le versioni 2023.4, 2024.2 e 2024.3, e coinvolge solo ambienti che non hanno adottato le raccomandazioni precedenti di hardening della configurazione IIS e segregazione tramite DMZ. Parallelamente, Ivanti ha anche segnalato problemi nel rilascio di una patch relativa a un’altra falla (CVE-2025-22460), che in certi casi non viene applicata correttamente su installazioni aggiornate alla versione CSA 5.0.5. Il rischio per reti non conformi rimane significativo.
Intel sotto osservazione per una nuova falla nei suoi processori
Il team di ricerca di ETH Zurich ha divulgato dettagli su una nuova vulnerabilità delle CPU Intel, tracciata come CVE-2024-45332 e denominata Branch Privilege Injection. Questa falla, basata su una race condition nei branch predictor, consente la fuoriuscita di dati sensibili da aree privilegiate della memoria, compromettendo di fatto l’isolamento tra user mode e kernel.
L’attacco sfrutta l’esecuzione speculativa e consente a un processo con privilegi standard di accedere a informazioni riservate, come password o chiavi crittografiche. I ricercatori hanno dimostrato la fattibilità dell’exploit su Ubuntu 24.04, leggendo con precisione il contenuto del file /etc/shadow/ a velocità di 5.6 KB/s con accuratezza del 99,8%. Intel ha rilasciato patch firmware e microcode che riducono il rischio, seppur con impatti prestazionali variabili fino all’8,3%. La falla interessa tutte le CPU Intel dalla 9a generazione in avanti, ma non coinvolge direttamente i chip AMD Zen 4/5 o ARM Cortex-X1/A76.
Nuovo attacco supply chain prende di mira sviluppatori Solana tramite PyPI
Infine, un’indagine condotta da ReversingLabs segnala la pubblicazione su PyPI di un pacchetto malevolo camuffato con lo stesso nome di una libreria legittima usata nello sviluppo per la blockchain Solana. La tecnica, nota come typosquatting o name collision, è stata usata per distribuire codice malevolo in grado di compromettere ambienti di sviluppo e rubare credenziali.
Il pacchetto, apparentemente innocuo, nascondeva al suo interno componenti malevoli in grado di esfiltrare dati e interferire con le chiavi private usate nel deployment su rete Solana. L’episodio conferma l’intensificarsi degli attacchi nella catena di fornitura del software open source, colpendo non solo pacchetti npm o Docker, ma sempre più spesso anche quelli destinati a sviluppatori blockchain e IA.
