Sommario
Nel giugno 2025, l’ambiente della cybersicurezza enterprise è stato scosso da una doppia allerta tecnica: Trend Micro ha rilasciato aggiornamenti urgenti per correggere sei vulnerabilità critiche nei suoi prodotti Apex Central ed Endpoint Encryption PolicyServer, mentre la Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato dieci advisory dedicate a vulnerabilità attive nei sistemi di controllo industriale (ICS). Questi incidenti, tra exploit pre-authenticate e rischi di esecuzione remota di codice, rivelano un panorama sempre più interconnesso e fragile, dove i punti deboli nei sistemi di gestione centralizzata o nei dispositivi OT possono essere sfruttati per scalate privilegiate e compromissioni sistemiche.
Endpoint Encryption PolicyServer: sei vulnerabilità che compromettono la gestione della cifratura
Trend Micro Endpoint Encryption PolicyServer, soluzione cruciale per la gestione centralizzata della crittografia su dischi, volumi e dispositivi rimovibili, è stato colpito da sei vulnerabilità classificate ad alta e critica gravità. Tra queste, spiccano quattro falle con punteggio CVSS superiore a 9, che consentono esecuzione remota di codice senza autenticazione, rendendo possibile il completo controllo del server vulnerabile.
Le vulnerabilità principali sono:
- CVE-2025-49212 e CVE-2025-49213, basate su deserializzazione non sicura nei metodi
PolicyValueTableSerializationBinderePolicyServerWindowsService. Queste permettono a un attaccante remoto di iniettare oggetti malevoli per eseguire codice arbitrario con privilegi elevati. - CVE-2025-49216, che consente il bypass totale dell’autenticazione tramite la manipolazione del dominio applicativo (
DbAppDomain), offrendo accesso amministrativo completo. - CVE-2025-49217, un exploit nella funzione
ValidateToken, sfruttabile per eseguire codice senza passare dai controlli standard.
Le vulnerabilità rimanenti includono SQL injection, escalation locale di privilegi e problemi nella gestione dei permessi delle directory, tutti mitigati nella versione aggiornata 6.0.0.4013 (Patch 1 Update 6). La natura critica di queste falle e l’assenza di workaround efficaci rendono l’aggiornamento urgente per tutte le installazioni on-premise.
Apex Central: RCE pre-authenticate e vulnerabilità nella gestione dei report
Il secondo prodotto interessato è Apex Central 2019, la piattaforma di gestione centralizzata per endpoint e server Trend Micro. Due vulnerabilità identificate come CVE-2025-49219 e CVE-2025-49220 permettono esecuzione remota di codice senza autenticazione grazie a errori nei metodi GetReportDetailView e ConvertFromJson. Entrambe le funzioni trattano oggetti JSON senza verifica sufficiente dell’integrità dei dati, aprendo la porta all’iniezione di codice attraverso deserializzazione controllata da remoto.
Queste falle permettono a un attaccante di agire con privilegi NETWORK SERVICE, eseguendo comandi, modificando configurazioni e in alcuni scenari anche diffondendo ulteriori payload nel network. Trend Micro ha rilasciato la Patch B7007 per le installazioni on-premise, mentre per le versioni cloud gli aggiornamenti sono stati applicati direttamente dall’infrastruttura gestita.
Sistemi industriali sotto osservazione: dieci advisory critiche da CISA
In parallelo alle vulnerabilità su Trend Micro, la CISA ha pubblicato dieci nuove advisory riguardanti dispositivi industriali e sistemi ICS, tra cui controller SCADA, HMI e moduli di telemetria remota (RTU). Le vulnerabilità segnalate riguardano fornitori di primo piano come Mitsubishi Electric, Delta Electronics, Siemens, AVEVA, e coinvolgono problematiche di buffer overflow, injection di comandi, accessi senza autenticazione e violazioni della memoria.
- ICSA-25-162-01 Siemens Tecnomatix Plant Simulation
- ICSA-25-162-02 Siemens RUGGEDCOM APE1808
- ICSA-25-162-03 Siemens SCALANCE and RUGGEDCOM
- ICSA-25-162-04 Siemens SCALANCE and RUGGEDCOM
- ICSA-25-162-05 Siemens SIMATIC S7-1500 CPU Family
- ICSA-25-162-06 Siemens Energy Services
- ICSA-25-162-07 AVEVA PI Data Archive
- ICSA-25-162-08 AVEVA PI Web API
- ICSA-25-162-09 AVEVA PI Connector for CygNet
- ICSA-25-162-10 PTZOptics and Other Pan-Tilt-Zoom Cameras
Alcuni casi emblematici:
- Delta DIAEnergie Industrial Energy Management: presenta un buffer overflow che può essere sfruttato da remoto per causare crash o ottenere RCE.
- AVEVA InTouch Access Anywhere: soffre di una falla nella validazione degli input che consente l’iniezione di comandi con privilegi elevati.
- Mitsubishi MELSEC Series: alcuni moduli permettono accesso non autenticato alla configurazione di rete, con possibilità di alterare i parametri di funzionamento dei PLC.
- Siemens SIMATIC S7: riportati difetti nel parsing dei pacchetti S7comm che permettono denial of service persistenti.
L’impatto potenziale di queste vulnerabilità è critico per settori come l’energia, il manifatturiero, l’automazione dei trasporti, e qualsiasi ambiente dove la continuità operativa dipende da controllori industriali.
Strategie di difesa, mitigazione e implicazioni per le infrastrutture critiche
Le vulnerabilità emerse nel mese di giugno 2025 rivelano un punto comune: l’interconnessione tra sistemi IT e OT, con la conseguente espansione della superficie d’attacco. L’infiltrazione di malware attraverso falle nei sistemi di gestione centralizzata, come Apex Central o PolicyServer, può propagarsi rapidamente verso ambienti di controllo industriale ICS e causare interruzioni operative, alterazioni nei processi automatizzati o compromissione dei dati sensibili.
Inoltre, l’assenza di autenticazione nei punti di ingresso rende queste falle estremamente appetibili per ransomware-as-a-service, gruppi APT e campagne di sabotaggio mirato. La possibilità di accedere a server crittografici o a console di gestione delle policy permette non solo il furto dei dati, ma anche la manipolazione delle regole di cifratura e la creazione di backdoor persistenti.
Misure di mitigazione per ambienti IT e ICS
Per rispondere in modo efficace a questo scenario, le strategie di mitigazione devono differenziarsi tra ambienti IT centralizzati e ambienti OT decentralizzati ma ad alta criticità. Le azioni più urgenti includono:
- Aggiornamento immediato dei prodotti Trend Micro alle patch fornite: sia per Apex Central (B7007) che per PolicyServer (6.0.0.4013 Patch 1 Update 6)
- Segmentazione della rete tra ambienti IT e ICS per evitare lateral movement
- Controllo e monitoraggio dei log alla ricerca di exploit noti basati su serializzazione e accesso anomalo alle API
- Implementazione di firewall applicativi e sistemi IDS/IPS capaci di rilevare attività anomale su endpoint di amministrazione e protocolli JSON
- Isolamento dei dispositivi industriali vulnerabili dove gli aggiornamenti non sono immediatamente applicabili, tramite proxy o soluzioni di microsegmentazione
Per i dispositivi ICS menzionati nei bollettini CISA, la situazione è ancora più delicata, poiché spesso si tratta di hardware operativo in ambienti dove la manutenzione comporta interruzione della produzione o rischio fisico. Tuttavia, i vendor hanno già fornito patch o workaround come disabilitazione delle interfacce remote, restrizioni IP, o limitazione delle funzioni di debug e amministrazione.
Le vulnerabilità critiche rivelate nei prodotti Trend Micro e nei sistemi ICS evidenziano come la sicurezza moderna debba tenere conto di due fattori chiave: la centralizzazione delle policy e la persistenza delle infrastrutture legacy. Gli attaccanti non puntano più solo ai dati: mirano ai meccanismi che li proteggono e li gestiscono. La violazione di una console di sicurezza può disinnescare l’intero ecosistema di difesa. Analogamente, un exploit su un PLC o su un HMI industriale può tradursi in danni fisici, interruzioni della filiera produttiva e impatti geopolitici.
Per proteggersi, serve una visione trasversale della sicurezza, capace di unire aggiornamenti tempestivi, threat intelligence e ridondanza strutturale. Solo così sarà possibile fronteggiare vulnerabilità che, come dimostrato, possono trasformare ogni punto di controllo in un punto di cedimento.
