Sommario
Nel primo semestre del 2025, il settore della cybersicurezza enterprise ha assistito a una crescita esponenziale nella quantità, nella gravità e nella varietà delle vulnerabilità scoperte su sistemi critici. Le patch di routine non bastano più: iniezioni di comandi, escalation di privilegi, XSS persistenti, exploit su API e policy IAM mal configurate stanno aprendo nuove superfici di attacco in ambienti cloud, hybrid e on-premise.
Dalle piattaforme Cisco Webex, Secure Network Analytics e Duo, fino a WordPress, AWS e le Progressive Web App, le falle rivelano un filo conduttore comune: la scarsa validazione degli input e dei ruoli.
Cisco Duo: iniezione comandi via email non autenticata
Una vulnerabilità scoperta nel Cisco Duo Self-Service Portal ha consentito ad attori remoti non autenticati di iniettare comandi arbitrari nei contenuti email generati automaticamente dal sistema. La causa risiede in una validazione insufficiente dei campi input che compongono l’output testuale delle comunicazioni.
Il rischio principale riguarda la distribuzione di email contenenti codice malevolo, potenzialmente in grado di indurre utenti finali a cliccare link o aprire allegati dannosi. Cisco ha corretto il problema lato server senza necessità di intervento da parte dei clienti.
Privilege Escalation nei sistemi Cisco UC e Intelligence Center
Sono state rese note gravi vulnerabilità nei moduli Cisco Unified Intelligence Center, Unified Communications Manager e Secure Network Analytics Manager che permettono escalation locale dei privilegi in determinate versioni legacy.
Le release impattate sono:
- CUIC 12.5 e 12.6: patchate rispettivamente in 12.5(1)SU ES04 e 12.6(2)ES04
- Unified CM: patch disponibile dalla versione 15SU2
- Secure Network Analytics: versione corretta 7.5.2 SMC ROLLUP20250416-01
Gli exploit permettono a utenti interni compromessi di assumere controllo amministrativo locale, eseguendo codice con privilegi superiori all’account previsto.
XSS persistente e DoS in Cisco ISE
Il modulo Cisco Identity Services Engine (ISE) è risultato vulnerabile a due minacce distinte:
- Stored XSS: un utente autenticato può inserire script malevoli persistenti nel sistema, sfruttabili per furto di credenziali o esecuzione di azioni non autorizzate lato browser.
- Denial of Service via RADIUS: un attore può mandare in crash componenti critiche del servizio attraverso pacchetti RADIUS maleformati.
Le versioni interessate sono state corrette nei pacchetti 3.2P8, 3.3P5 e 3.4P1, rendendo urgente l’aggiornamento per evitare exploit automatici in ambienti federati.
Cisco Webex: tra XSS e cache poisoning
Due diverse vulnerabilità hanno colpito il popolare ecosistema Cisco Webex:
- Un XSS non autenticato consente a un attore remoto di costruire URL malevoli e di eseguire JavaScript nel browser della vittima.
- Una falla di cache poisoning HTTP permette di manipolare le risposte cache del join service delle riunioni, potenzialmente falsificando contenuti o sessioni.
Entrambe sono state corrette lato server, ma il caso solleva l’allarme su vettori client-side poco monitorati.
Access control debole in UCCE Cloud Connect
La piattaforma Unified Contact Center Enterprise Cloud Connect ha evidenziato problemi di controllo degli accessi insufficiente nella release 12.6.2, che poteva permettere a utenti autenticati con privilegi minimi di eseguire azioni riservate agli amministratori. Anche in questo caso, l’unica mitigazione è l’aggiornamento alla versione 15.0.1 o superiore.
Patch management e automazione: il caso ThreatLocker
In un contesto dove molte vulnerabilità restano note e non patchate per mesi, l’approccio tradizionale al patching mostra i suoi limiti. Secondo ThreatLocker, la soluzione risiede in una gestione “zero trust” degli aggiornamenti, dove anche le patch vendor vengono trattate come codice potenzialmente ostile.
La piattaforma ThreatLocker consente:
- Auditing pre-deployment delle patch
- Rollout controllati e rollback sicuri
- Verifica post-patch via allowlisting
- Distribuzione accelerata in caso di CVE attivi
Un caso pratico? Con l’exploit di CVE-2023-23397 (Outlook zero-click), i clienti ThreatLocker hanno quarantinato gli endpoint vulnerabili, validato le patch in ambienti sandbox e limitato l’impatto operativo a poche ore, contro i giorni richiesti dai processi tradizionali.
WordPress Motors: escalation da non autenticato
La falla CVE-2025-4322, scoperta nel tema Motors per WordPress, permette a un utente non autenticato di resettare la password di un qualsiasi utente, incluso l’amministratore, sfruttando una carenza nella verifica dell’identità al momento dell’update.
Motors è un tema a pagamento con oltre 22.000 installazioni attive, spesso utilizzato da concessionarie auto, autonoleggi e marketplace. La versione vulnerabile è la 5.6.67, corretta il 14 maggio 2025 con l’update 5.6.68.
Con accesso admin, un attaccante può:
- Installare malware
- Esfiltrare dati utente e ordini
- Dirottare il traffico su siti malevoli
Dall’uso malevolo delle PWA alle configurazioni pericolose in AWS
Se le vulnerabilità Cisco e WordPress delineano il quadro classico delle minacce su infrastrutture enterprise e CMS diffusi, i casi più recenti rivelano nuove modalità di attacco in ambienti cloud e mobile, sempre più pervasive e difficili da rilevare. Due esempi emblematici sono l’utilizzo malevolo delle Progressive Web App (PWA) per phishing persistente e l’eccessiva permissività dei ruoli IAM predefiniti in AWS, che hanno esposto intere architetture a rischi di compromissione laterale.
PWA come cavallo di Troia: l’adult scam che colpisce solo su mobile
Un gruppo non ancora identificato ha avviato una campagna di JavaScript injection mirata agli utenti mobile, sfruttando siti web legittimi compromessi per reindirizzare il traffico verso una falsa PWA contenente contenuti per adulti.
A differenza delle classiche truffe via URL, in questo caso il redirect avviene solo se l’utente visita la pagina da dispositivi Android o iOS. Il codice malevolo, iniettato da terze parti, verifica il device dell’utente prima di attivare il reindirizzamento, eludendo così gran parte dei filtri anti-phishing basati su analisi desktop o crawler automatizzati.
L’obiettivo? Spingere l’utente a installare una PWA fasulla che agisce come finto App Store, trattenendo i dati o veicolando adware, exploit kit e installatori traccianti. Questo metodo consente al malware di bypassare i controlli di sicurezza nativi dei sistemi mobili e massimizzare la persistenza.
IAM su AWS: la minaccia invisibile dei ruoli predefiniti
Un’analisi condotta da Aqua Security ha rivelato un serio problema di configurazione eccessiva dei ruoli IAM generati automaticamente da servizi AWS come SageMaker, Glue, EMR e Lightsail.
Molti di questi ruoli includono policy troppo permissive, in particolare:
- AmazonS3FullAccess, che consente accesso completo in lettura e scrittura a tutti i bucket S3 dell’account
- Permessi trasversali che permettono movimento laterale tra servizi, come la modifica di template CloudFormation o l’accesso a risorse EMR e SageMaker da un unico punto di compromissione
Esempio di attacco possibile:
- Un utente malintenzionato carica un modello ML infetto su Hugging Face
- Il modello viene importato in SageMaker usando un ruolo con AmazonS3FullAccess
- Il codice esegue una escalation di privilegi, recupera credenziali da Glue
- Infine, accede ad altri servizi compromettendo l’intero account
AWS ha corretto il comportamento predefinito, ma solo dopo la divulgazione pubblica della vulnerabilità. Alcuni framework open source come Ray continuano a generare ruoli IAM con permessi espansivi, richiedendo audit manuali da parte degli amministratori.
Architettura Zero Trust e controllo degli accessi
Tutti i casi analizzati convergono su un punto centrale: le configurazioni di default rappresentano il nemico numero uno della cybersicurezza moderna. Che si tratti di:
- input non sanitizzati (Cisco Duo, Webex, WordPress)
- policy IAM troppo ampie (AWS)
- servizi web poco segmentati (ISE, SNAM)
- o vettori client-side nascosti (PWA su mobile)
le minacce emergenti non derivano sempre da exploit sofisticati, ma da presunzioni errate di affidabilità implicita.
Per mitigare efficacemente questi rischi, le aziende devono adottare:
- Modelli di sicurezza Zero Trust by design
- IAM hardening con minimizzazione dei privilegi e audit periodici
- Allowlisting e ringfencing applicativo post-patch
- Controllo granulare di input/output tra servizi e moduli
- Filtraggio avanzato delle risposte cache e sanitizzazione delle API
Nel contesto cloud-first e mobile-centric che domina il 2025, ogni singolo elemento dell’architettura – dal tema WordPress alla policy IAM – può trasformarsi in un punto di ingresso critico per attori malevoli. Solo un approccio olistico, basato su visibilità, segmentazione e validazione continua, può garantire la resilienza a lungo termine delle infrastrutture digitali.
