Sommario
Le più recenti segnalazioni di sicurezza informatica evidenziano come errori e ritardi negli aggiornamenti software possano aumentare drasticamente il rischio di exploit da parte di cybercriminali, con impatti rilevanti su sistemi Windows e sulle infrastrutture Citrix/NetScaler, tuttora utilizzate in ambiti aziendali, sanitari e pubblici.
Windows: ritardi negli aggiornamenti di sicurezza di giugno a causa di un errore di metadata
Microsoft ha confermato che la distribuzione degli aggiornamenti di sicurezza di giugno 2025 per Windows 10 e Windows 11 può subire ritardi in ambienti gestiti con policy di deferral, a causa di un errore nel timestamp dei metadata. In pratica, pur essendo stati rilasciati il 10 giugno, gli update risultano datati 20 giugno e le macchine con policy di rinvio (Quality Update deferral) potrebbero riceverli più tardi del previsto, lasciando i sistemi esposti alle vulnerabilità per periodi superiori a quanto pianificato dagli amministratori IT.
Microsoft suggerisce come workaround la creazione di una “expedite policy” tramite Intune o la modifica temporanea dei ring di aggiornamento per forzare la distribuzione, specificando che non apporterà ulteriori modifiche ai metadata delle patch di giugno. Il problema riguarda solo i tempi di rilascio (non la qualità della patch) e sottolinea quanto sia critica la gestione centralizzata degli update in ambienti enterprise. Nei mesi precedenti, Microsoft aveva già corretto bug che bloccavano l’aggiornamento di Windows 11 tramite WSUS e rilasciato fix per errori nella gestione delle policy Intune che consentivano upgrade non desiderati.
Citrix NetScaler: oltre 1.200 server esposti alla vulnerabilità critica CVE-2025-5777 (“Citrix Bleed 2”)
Il panorama delle minacce si aggrava per le aziende che utilizzano Citrix NetScaler ADC e NetScaler Gateway: oltre 1.200 server sono ancora online senza patch contro la vulnerabilità critica CVE-2025-5777, una falla di tipo memory overread che consente l’hijacking delle sessioni utente e il bypass dell’autenticazione, potenzialmente anche su ambienti protetti da MFA. Se sfruttata, permette agli attaccanti di rubare credenziali, token di sessione e altri dati sensibili tramite un semplice attacco remoto non autenticato.
L’exploit richiama il precedente caso “CitrixBleed” del 2023, già sfruttato da ransomware e gruppi criminali per violare enti pubblici e grandi aziende. Secondo i ricercatori, pur non esistendo al momento conferme pubbliche di exploit in the wild per la nuova vulnerabilità, ci sono segnali di attacchi mirati e attività post-sfruttamento che coinvolgono sessioni rubate e tentativi di escalation sui server non aggiornati. L’urgenza della patch è quindi massima.
Oltre a CVE-2025-5777, risulta attivamente sfruttata anche la falla CVE-2025-6543, che causa memory overflow e Denial of Service. Nessuna mitigazione alternativa è disponibile: l’unica soluzione efficace è aggiornare immediatamente NetScaler ADC e Gateway alle versioni corrette rilasciate a metà giugno 2025. Il vendor segnala che le versioni cloud Citrix gestite vengono aggiornate automaticamente, mentre i dispositivi on-premises sono sotto la responsabilità dei clienti.
Raccomandazioni tecniche e best practice di aggiornamento
Le aziende devono rafforzare i processi di patch management, verificare lo stato di aggiornamento dei device NetScaler e Windows, e monitorare attentamente sessioni sospette e segnali di attività anomala (come session reuse da IP differenti o LDAP query anomale). In caso di sospetto compromesso, Citrix suggerisce di consultare i security bulletin, terminare tutte le sessioni attive e seguire le procedure di recovery.
Gli amministratori possono usare NetScaler Console per identificare appliance obsolete, pianificare upgrade di massa e monitorare gli indicatori di compromissione pubblicati dal vendor. Le patch per le vulnerabilità CVE-2025-6543 (CVSS 9.2) e CVE-2025-5777 (CVSS 9.3) sono ora disponibili, ma non verranno rilasciate per versioni EOL come NetScaler 12.0 e 13.0.
