Sommario
Negli ultimi giorni, il panorama della sicurezza informatica è stato scosso da un’ondata di vulnerabilità e attacchi con ripercussioni significative in diversi settori. Le notizie raccolte spaziano da gravi interruzioni produttive in ambito industriale, come nel caso di Arla Foods, a bug critici nei sistemi operativi Microsoft, fino alla compromissione di applicazioni apparentemente legittime, come una versione contraffatta di KeePass utilizzata per infiltrare ransomware nei server ESXi. Non mancano nemmeno aggiornamenti di emergenza da Mozilla e il bilancio finale dell’edizione berlinese del Pwn2Own 2025, che ha rivelato 28 vulnerabilità zero-day in soli tre giorni.
Attacco informatico colpisce Arla Foods e interrompe la produzione in Germania
Arla Foods, uno dei principali gruppi lattiero-caseari europei, ha confermato di essere stato vittima di un attacco informatico che ha colpito lo stabilimento produttivo di Upahl, in Germania. La società danese, che opera in 39 paesi con oltre 23.000 dipendenti, ha dichiarato che l’incidente ha interessato il network IT locale della sede tedesca, compromettendo temporaneamente le attività produttive.
Le misure di sicurezza attivate in risposta all’attacco hanno comportato ritardi nelle consegne e possibili cancellazioni di ordini. Al momento non è stato confermato se si tratti di un attacco ransomware o se ci sia stato furto di dati, ma la produzione nelle altre sedi Arla non risulta compromessa. L’azienda ha comunicato che le operazioni nello stabilimento colpito dovrebbero tornare alla normalità nei prossimi giorni.
Questo attacco evidenzia quanto sia vulnerabile anche il settore agroalimentare a campagne cybercriminali mirate, con possibili ricadute sull’intera catena distributiva, inclusi ritardi nella logistica e danni alla reputazione.
Microsoft rilascia aggiornamento d’emergenza per Windows 10 dopo bug che attiva BitLocker
Un bug introdotto con l’aggiornamento cumulativo KB5058379 di maggio ha causato una grave anomalia su Windows 10, in particolare sui sistemi dotati di Intel vPro e tecnologia TXT abilitata. In seguito all’installazione della patch, numerosi dispositivi si sono ritrovati bloccati nella schermata di recupero BitLocker, chiedendo la chiave di sblocco anche in assenza di modifiche hardware.
Microsoft ha reagito rilasciando l’aggiornamento KB5061768 tramite il Microsoft Update Catalog. L’aggiornamento è cumulativo e può essere installato anche senza le patch precedenti. La compagnia ha inoltre fornito una soluzione temporanea per i sistemi bloccati: disattivare la funzione TXT nel BIOS.
Questo problema, già osservato in passato con altri aggiornamenti, sottolinea la criticità delle patch distribuite senza test estesi su hardware professionale. Le versioni coinvolte includono Windows 10 22H2, LTSC 2021 ed edizioni IoT. I sistemi domestici con processori non vPro risultano generalmente non affetti.
O2 UK risolve vulnerabilità che permetteva di tracciare utenti da metadati delle chiamate
Una grave falla individuata nei servizi VoLTE e WiFi Calling di O2 UK ha esposto per oltre un anno informazioni critiche degli utenti, come coordinate delle celle telefoniche, identificatori IMSI e IMEI. Il ricercatore Daniel Williams ha dimostrato come, attraverso app specializzate e strumenti di decodifica, fosse possibile localizzare un utente mobile con precisione di circa 100 m², semplicemente avviando una chiamata.
La vulnerabilità, attiva dal febbraio 2023, è stata corretta solo nel maggio 2025, dopo ripetuti tentativi di contatto da parte del ricercatore. La falla riguardava l’eccessiva verbosità dei messaggi SIP che includevano dettagli riservati non mascherati, accessibili anche in roaming. L’operatore Virgin Media O2 ha confermato l’applicazione del fix e garantito che non sono necessarie azioni da parte dei clienti. Resta però aperta la questione della mancata comunicazione preventiva da parte dell’azienda.
KeePass contraffatto installa malware e porta a un attacco ransomware su server ESXi
Il gestore di password open source KeePass è stato utilizzato come cavallo di Troia in una sofisticata campagna malevola di distribuzione ransomware scoperta da WithSecure. I criminali hanno compilato versioni modificate del software, denominate KeeLoader, che mantengono la funzionalità originale ma iniettano Cobalt Strike Beacons e estraggono in chiaro l’intero database di credenziali salvate.
Queste versioni trojanizzate venivano distribuite tramite pubblicità su Bing e domini creati ad hoc, tra cui keeppaswrd[.]com e keegass[.]com. Una volta installate, i dati venivano esportati in file CSV e caricati su server remoti. L’infrastruttura malevola includeva siti fasulli che imitavano servizi legittimi come WinSCP, PumpFun e banche reali. L’attacco culminava con la crittografia dei server VMware ESXi tramite ransomware.
WithSecure attribuisce l’operazione con moderata certezza al gruppo UNC4696, già noto per l’uso di Nitrogen Loader e collegamenti con la gang Black Basta. L’incidente mette in luce l’elevato rischio di download da fonti non ufficiali, anche quando l’URL pubblicizzato sembra autentico.
Pwn2Own Berlin 2025: scoperti 28 zero-day e premi per oltre un milione di dollari
L’evento Pwn2Own Berlin 2025 ha confermato l’alto livello di rischio che affligge le piattaforme software moderne. In soli tre giorni di competizione, sono stati scoperti 28 exploit zero-day, per un totale di 1.078.750 dollari in premi distribuiti. Gli attacchi hanno coinvolto prodotti come Firefox, Microsoft Teams, Ubuntu Desktop, Oracle VirtualBox e numerosi software di virtualizzazione e videoconferenza.
Il team Devcore si è distinto come vincitore assoluto, ottenendo 170.000 dollari grazie a exploit su Ubuntu e Microsoft Teams. Al secondo posto si è piazzato il team Interrupt Labs, con attacchi riusciti su macOS e software di virtualizzazione. Particolarmente impressionante è stato l’exploit dimostrato contro Oracle VirtualBox, che ha permesso la fuoriuscita dalla macchina virtuale in meno di 20 secondi.
La competizione ha anche messo in luce il ruolo centrale della responsible disclosure nel miglioramento della sicurezza: tutti gli exploit vengono trasmessi ai produttori per la correzione entro 90 giorni. Il valore in denaro dei premi rispecchia l’importanza strategica delle vulnerabilità scoperte, alcune delle quali potrebbero avere implicazioni critiche in contesti enterprise e governativi.
Mozilla corregge due zero-day critici in Firefox sfruttati al Pwn2Own
Il browser Mozilla Firefox è stato oggetto di due vulnerabilità zero-day sfruttate durante l’edizione 2025 del concorso Pwn2Own Berlin, la principale vetrina mondiale di exploit. I bug, identificati come CVE-2024-29943 e CVE-2024-29944, sono stati utilizzati rispettivamente per eseguire codice arbitrario tramite race condition nel protocollo IPC e per aggirare la sandbox del browser, consentendo escalation di privilegi.
Mozilla ha reagito prontamente rilasciando le versioni Firefox 126.0.1 e Firefox ESR 115.11.1, disponibili su tutte le piattaforme desktop. I due exploit sono considerati particolarmente gravi, poiché potrebbero essere combinati in un attacco a più stadi con impatto su sistemi privi di ulteriori livelli di protezione.
Secondo i ricercatori di Zero Day Initiative, che gestiscono il contest, le vulnerabilità sono state segnalate immediatamente dopo la dimostrazione pubblica, in conformità con le regole del programma. Non ci sono prove di sfruttamento attivo in the wild, ma Mozilla raccomanda l’aggiornamento immediato, in particolare su sistemi dove Firefox è il browser predefinito.
Settimana di minacce trasversali mette alla prova l’intero ecosistema digitale
Dai bug nei sistemi operativi agli attacchi mirati su infrastrutture industriali, passando per l’abuso di software fidati e la scoperta di vulnerabilità in tempo reale, la settimana appena trascorsa evidenzia quanto complesso e interconnesso sia diventato il panorama della cybersecurity. Le aziende come Arla Foods dimostrano quanto i danni possano essere tangibili, mentre Mozilla, Microsoft e gli organizzatori di Pwn2Own mostrano il valore di una reazione rapida e coordinata.
In questo contesto, la responsabilità ricade sia sui vendor, chiamati a garantire aggiornamenti puntuali e testati, sia sugli utenti, che devono adottare pratiche di download sicuro, aggiornamento regolare e verifica delle fonti. L’incremento di exploit zero-day e ransomware conferma la necessità di un approccio proattivo alla sicurezza, che includa anche strumenti di threat intelligence, sandboxing, controllo degli endpoint e consapevolezza degli utenti finali.
