Un’escalation di vulnerabilità informatiche ha colpito software open source, soluzioni di accesso remoto e sistemi industriali, costringendo la CISA (Cybersecurity and Infrastructure Security Agency) a rafforzare il proprio catalogo di minacce attivamente sfruttate. Tra i casi più critici: un RCE post-autenticazione in Roundcube, il bug CVE-2025-3935 in ConnectWise ScreenConnect, falle nei router ASUS e nei sistemi Craft CMS. A ciò si aggiungono tre nuovi avvisi ICS riguardanti infrastrutture industriali.
Roundcube ≤ 1.6.10: deserializzazione PHP con esecuzione remota
Secondo il gruppo di ricerca FearsOff, la popolare webmail Roundcube presenta una vulnerabilità di deserializzazione PHP nelle versioni fino alla 1.6.10. Dopo l’autenticazione, un utente malintenzionato può sfruttare un oggetto manipolato per eseguire codice arbitrario lato server.
Nonostante l’exploit richieda credenziali valide, è estremamente pericoloso in ambienti dove gli account possono essere compromessi tramite phishing o credenziali deboli. Non è stato ancora assegnato un CVE ufficiale, ma la community open source è stata allertata.
Fonte: FearsOff – Roundcube RCE
ScreenConnect: vulnerabilità critica CVE-2025-3935 in fase di sfruttamento attivo
CISA ha confermato che CVE-2025-3935 è stato incluso nel Catalogo KEV, con indicazioni chiare per la mitigazione entro il 23 giugno 2025. Il bug, presente in ConnectWise ScreenConnect, sfrutta un difetto nella gestione ViewState di ASP.NET, rendendo possibile l’iniezione di codice lato server tramite payload malevoli.
Secondo BleepingComputer, è già stato osservato un utilizzo della vulnerabilità in contesti reali, con presunto coinvolgimento di attori statali, segno dell’alta criticità.
Altre vulnerabilità KEV aggiunte da CISA (2 giugno 2025)
CISA ha incluso cinque nuove CVE nel proprio catalogo KEV (Known Exploited Vulnerabilities):
- CVE-2021-32030: autenticazione bypass nei router ASUS GT-AC2900 e Lyra Mini.
- CVE-2023-39780: iniezione OS nei router ASUS RT-AX55.
- CVE-2024-56145: code injection in Craft CMS.
- CVE-2025-35939: scrittura arbitraria di file PHP in Craft CMS.
- CVE-2025-3935: descritto in precedenza per ScreenConnect.
Tre nuovi avvisi ICS: vulnerabilità nei sistemi industriali
In data 3 giugno 2025, CISA ha pubblicato tre nuovi bollettini ICS, fornendo dettagli tecnici su vulnerabilità rilevate in sistemi di controllo industriali critici. Anche se i dettagli specifici non sono stati resi pubblici integralmente, si conferma l’interesse crescente da parte degli attori malevoli verso l’ecosistema OT (Operational Technology), in particolare:
- Automazione SCADA
- PLC integrati
- Supervisory systems connessi a internet
Gli avvisi rappresentano un invito alle aziende industriali a migliorare la visibilità delle loro infrastrutture OT e ad adottare misure di mitigazione immediate.
- ICSA-25-153-01 Schneider Electric Wiser Home Automation
- ICSA-25-153-02 Schneider Electric EcoStruxure Power Build Rapsody
- ICSA-25-153-03 Mitsubishi Electric MELSEC iQ-F Series
Il panorama delle minacce informatiche continua a espandersi, toccando tanto i software open source (come Roundcube), quanto le soluzioni commerciali (ScreenConnect), i dispositivi domestici (router ASUS) e i CMS (Craft). L’integrazione continua di nuove vulnerabilità nel Catalogo KEV da parte di CISA sottolinea l’importanza di un approccio proattivo e tempestivo alla patch management. Le aziende devono inoltre rafforzare i controlli post-autenticazione, poiché un accesso valido non è più garanzia di sicurezza.
