Sommario
L’Agenzia per la sicurezza informatica statunitense CISA ha inserito tre nuove vulnerabilità nella sua Known Exploited Vulnerabilities Catalog (KEV), sulla base di prove concrete di sfruttamento attivo da parte di attori malevoli. Si tratta di falle gravi che interessano software ampiamente utilizzati in ambienti governativi e aziendali, tra cui Erlang/OTP SSH, Roundcube Webmail e una recente falla RCE critica (CVE-2025-49113).
CVE-2025-32433: SSH server di Erlang vulnerabile a RCE senza autenticazione
La falla CVE-2025-32433 (punteggio CVSS: 10.0) riguarda il server SSH incluso in Erlang/OTP, che presenta un’assenza di controllo di autenticazione per funzioni critiche. Un attaccante remoto non autenticato può sfruttare la vulnerabilità per eseguire codice arbitrario, compromettendo completamente l’ambiente ospite.
CVE-2025-32433 Erlang Erlang/OTP SSH Server Missing Authentication for Critical Function Vulnerability
Il bug è stato corretto nelle versioni OTP-27.3.3, OTP-26.2.5.11 e OTP-25.3.2.20, ma secondo Censys, risultano ancora 340 server esposti online, anche se non è chiaro quanti siano effettivamente vulnerabili. Proof-of-concept pubblici sono già disponibili, amplificando il rischio di sfruttamento su larga scala.
CVE-2024-42009: XSS critico in Roundcube Webmail attivo da mesi
La seconda vulnerabilità, CVE-2024-42009, colpisce Roundcube Webmail, un client web open source molto diffuso in contesti di hosting condiviso e infrastrutture email interne. Il bug è un XSS persistente legato a un problema di deserializzazione e sanitizzazione insufficiente nel file show.php. L’exploit permette di rubare email tramite messaggi HTML appositamente manipolati.
CVE-2024-42009 RoundCube Webmail Cross-Site Scripting Vulnerability
Anche se la patch è stata distribuita ad agosto 2024, numerose installazioni risultano ancora esposte. I gruppi di minaccia legati alla Russia, come APT28, hanno già sfruttato falle simili per campagne contro enti governativi e aziende della difesa.
CVE-2025-49113: oltre 84.000 Roundcube vulnerabili a una RCE autenticata
Una nuova falla critica, CVE-2025-49113, colpisce tutte le versioni di Roundcube dalla 1.1.0 alla 1.6.10. Si tratta di una Remote Code Execution (RCE) causata da input PHP non sanificati nel parametro $_GET['_from'], che porta alla deserializzazione di oggetti PHP e alla corruzione della sessione. Anche se richiede autenticazione, gli attaccanti possono ottenere le credenziali tramite CSRF, scraping dei log o brute force. Un exploit funzionante è già stato messo in vendita in forum underground.
Secondo The Shadowserver Foundation, sono oltre 84.000 le istanze vulnerabili online, con concentrazione negli Stati Uniti (19.500), India (15.500), Germania (13.600), Francia (3.600), Canada (3.500) e Regno Unito (2.400). La diffusione massiva di queste installazioni, spesso gestite in ambienti con configurazioni deboli, le rende bersagli ideali per botnet e campagne di phishing persistente.
Aggiornamenti obbligatori entro il 30 giugno per enti federali
CISA ha fissato al 30 giugno 2025 il termine entro cui le agenzie federali devono applicare le patch di sicurezza per tutte e tre le vulnerabilità. L’inclusione nel catalogo KEV implica che anche aziende e infrastrutture private sono fortemente incoraggiate a intervenire immediatamente, vista la dimostrata pericolosità e il rischio reale di compromissione. In alternativa alla patch, viene suggerito di disabilitare l’accesso web a Roundcube, implementare protezioni CSRF, e bloccare funzioni PHP rischiose in attesa dell’aggiornamento.
