Sommario
La prima settimana di giugno 2025 segna un momento critico per la sicurezza informatica globale, con nuovi alert emessi dalla Cybersecurity and Infrastructure Security Agency (CISA), aggiornamenti sulle minacce ransomware e rivelazioni su estensioni del browser Chrome che mettono a rischio la privacy degli utenti. Il quadro delineato mostra come le minacce informatiche si evolvano in sofisticazione e capillarità, colpendo sia infrastrutture critiche sia utenti finali. Questo articolo analizza in dettaglio le segnalazioni più recenti, i vettori d’attacco emergenti e le misure tecniche di mitigazione.
Sette nuovi avvisi per sistemi di controllo industriale
Il 5 giugno 2025, CISA ha pubblicato sette avvisi riguardanti vulnerabilità riscontrate in sistemi ICS (Industrial Control Systems), impiegati in settori critici come energia, trasporti, manifatturiero e trattamento delle acque. Sebbene i dettagli tecnici non siano ancora stati resi pubblici integralmente, si tratta di problematiche che permetterebbero a un attaccante remoto di eseguire codice arbitrario, manipolare dati di processo o compromettere l’integrità dei comandi operativi.
Gli attacchi ai sistemi ICS non sono più un’ipotesi remota, ma una realtà consolidata. I recenti advisory riflettono la necessità di adottare misure di sicurezza proattive come l’isolamento di rete, il monitoraggio continuo del traffico OT e l’aggiornamento tempestivo dei firmware. La vulnerabilità di ambienti ICS rimane uno dei principali fattori di rischio per la resilienza operativa di infrastrutture nazionali e private.
Nuova vulnerabilità aggiunta al catalogo KEV
Sempre il 5 giugno, CISA ha incluso un’ulteriore vulnerabilità nel proprio Known Exploited Vulnerabilities Catalog (KEV), confermando che è attivamente sfruttata in ambienti reali. L’inserimento nel KEV impone alle agenzie federali statunitensi un obbligo formale di mitigazione, ma rappresenta un allarme anche per le organizzazioni private a livello globale.
- Vulnerabilità di lettura e scrittura fuori dai limiti di Google Chromium V8 CVE-2025-5419
Questo tipo di vulnerabilità rappresenta un frequente vettore di attacco per i malintenzionati e pone rischi significativi per l’impresa federale.
L’inserimento nella KEV significa che esistono exploit attivi noti in circolazione, usati da gruppi criminali o attori statali per compromettere sistemi vulnerabili. La CISA raccomanda a tutte le organizzazioni di applicare le patch indicate e seguire le configurazioni di hardening specificate per evitare compromissioni.
Play ransomware: evoluzione del gruppo Playcrypt
Il 4 giugno, CISA in collaborazione con FBI e Australian Cyber Security Centre (ACSC) ha diffuso un aggiornamento importante sul gruppo Play Ransomware, anche noto come Playcrypt. Questo gruppo ha colpito circa 900 enti nel mondo dal 2022, e resta uno dei più attivi nel 2024 e 2025, con attacchi rivolti a imprese, enti pubblici e infrastrutture critiche in America, Europa e Sudamerica.
La novità di rilievo è l’uso di tattiche avanzate per aggirare i sistemi di difesa, insieme alla pubblicazione di nuovi indicatori di compromissione (IOC). I criminali sfruttano tecniche di accesso iniziale tramite vulnerabilità note o phishing mirato, per poi distribuire ransomware ed esfiltrare dati sensibili.
Le raccomandazioni tecniche per la mitigazione includono:
- Abilitazione dell’autenticazione a più fattori su tutti gli account critici
- Conservazione di backup offline aggiornati
- Simulazioni e test di recovery plan
- Aggiornamenti costanti del software e dei sistemi operativi
I gruppi ransomware continuano a utilizzare una combinazione di crittografia e ricatto basato sull’esfiltrazione dati, spesso accompagnato da minacce di pubblicazione online. La protezione richiede un approccio multilivello, capace di unire prevenzione, rilevamento e risposta tempestiva.
CISA emette 9 avvisi critici: ICS vulnerabili, nuovo exploit attivo e allerta ransomware Play
- ICSA-25-155-01 CyberData 011209 SIP Emergency Intercom
- ICSA-25-155-02 Hitachi Energy Relion 670, 650 series and SAM600-IO Product
- ICSA-21-049-02 Mitsubishi Electric FA Engineering Software Products (Update H)
- ICSA-25-133-02 Hitachi Energy Relion 670/650/SAM600-IO Series (Update A)
- ICSA-23-068-05 Hitachi Energy Relion 670, 650 and SAM600-IO Series (Update A)
- ICSA-21-336-05 Hitachi Energy Relion 670/650/SAM600-IO (Update A)
- ICSA-23-089-01 Hitachi Energy IEC 61850 MMS-Server (Update A)
La Cybersecurity and Infrastructure Security Agency (CISA) ha emesso 9 segnalazioni in 48 ore tra il 4 e il 5 giugno 2025, riguardanti: vulnerabilità critiche nei sistemi di controllo industriale, una nuova minaccia confermata nel catalogo KEV e tecniche avanzate del ransomware Play. A queste si aggiungono allarmi separati sulla sicurezza di estensioni Chrome che trasmettono dati non cifrati. Tutti gli alert provengono da fonti governative o di threat intelligence, e sono considerati rilevanti per infrastrutture critiche, aziende e utenti finali.
Dati e privacy esposti da estensioni Chrome
Un report tecnico pubblicato da security.com ha individuato diverse estensioni per Chrome che trasmettono dati via HTTP, rendendoli intercettabili da attori malevoli tramite attacchi Man-in-the-Middle. Le estensioni, tra cui una versione del password manager DualSafe, inviano metadati come ID macchina, domini visitati, sistema operativo e dettagli di disinstallazione, senza cifratura.
Il problema non riguarda solo la confidenzialità del traffico: i dati in chiaro possono essere manipolati durante il transito, aprendo la strada a scenari di phishing mirato, profiling degli utenti e compromissione indiretta del dispositivo. Dopo la segnalazione, DualSafe ha aggiornato il proprio software per cifrare i dati e passare al protocollo HTTPS, ma molte altre estensioni restano vulnerabili.
Secondo il rapporto, nessuna password è stata rilevata nei pacchetti HTTP, ma la quantità di informazioni accessibili può essere sfruttata per ottenere accesso indiretto o facilitare attacchi di ingegneria sociale. L’invito ai singoli utenti è di disinstallare le estensioni affette fino a quando non sarà garantita la completa cifratura del traffico.
Debolezze strutturali nel browser e mancanza di audit
La scoperta evidenzia come anche estensioni con milioni di installazioni e posizionamento ufficiale nello store di Chrome possano violare prassi basilari di sicurezza, come l’uso obbligatorio di HTTPS. Questo implica una mancanza di auditing preventivo da parte di Google, che accentua la responsabilità individuale degli utenti e la necessità di verificare i permessi richiesti da ogni plugin installato.
Inoltre, la possibilità di invio di dati di telemetria non dichiarata da parte di estensioni “di sicurezza” mette in discussione la fiducia verso intere categorie di software, incluse quelle destinate alla protezione della privacy. La trasparenza nell’uso dei protocolli e dei server di backend dovrebbe diventare standard nei processi di approvazione degli store digitali.
Indicazioni tecniche per operatori di sicurezza
L’insieme delle segnalazioni richiede risposte rapide da parte dei team SOC e IT delle organizzazioni pubbliche e private. In sintesi, le azioni consigliate includono:
- Aggiornamento e verifica degli endpoint vulnerabili segnalati da CISA nei sistemi ICS
- Patch immediata per le vulnerabilità inserite nel catalogo KEV, se presenti nella propria infrastruttura
- Monitoraggio di indicatori di compromissione legati al ransomware Play (diffusi da FBI e ACSC)
- Controllo del traffico in uscita da browser Chrome, alla ricerca di chiamate HTTP non cifrate
- Verifica e limitazione dei permessi assegnati alle estensioni browser aziendali
- Simulazioni interne di attacchi ransomware per valutare il grado di resilienza dei sistemi
In un contesto in cui le minacce informatiche si distribuiscono su più livelli — dall’OT alla postazione client — il consolidamento delle best practice, la condivisione delle informazioni e l’automazione dei processi di risposta rappresentano gli unici strumenti in grado di offrire protezione concreta in tempo reale.
