Sommario
L’ecosistema IT globale si trova ad affrontare una nuova ondata di vulnerabilità critiche che colpiscono sia infrastrutture enterprise sia applicazioni di uso comune. Due recenti falle di sicurezza, CVE-2025-5777 su Citrix NetScaler ADC/Gateway (CitrixBleed 2) e CVE-2025-6218 su WinRAR, stanno già mostrando impatti concreti: la prima mette a rischio enti pubblici, aziende e banche anche in Italia, mentre la seconda espone milioni di utenti Windows ad attacchi mirati con malware persistenti.
CVE-2025-5777: CitrixBleed 2, memoria non inizializzata e impatti su host italiani
La vulnerabilità CVE-2025-5777 interessa Citrix NetScaler ADC e NetScaler Gateway, ed è stata resa pubblica dopo la diffusione di un Proof-of-Concept che ne dimostra lo sfruttamento attivo. Il difetto, simile alla precedente CitrixBleed, consente a un attaccante remoto non autenticato di inviare una richiesta HTTP POST manipolata all’endpoint di login, sfruttando una carente validazione degli input per ottenere risposte contenenti segmenti di memoria sensibile. Tramite questa tecnica, l’attaccante può estrarre token di autenticazione, dirottare sessioni utente e aggirare anche sistemi di autenticazione a più fattori, compromettendo dati e accessi a sistemi critici.
In Italia, oltre 70 domini risultano vulnerabili, inclusi enti della Pubblica Amministrazione, istituti finanziari e aziende private. Il CERT-AGID ha rilevato scansioni automatiche in corso e sollecitato un intervento urgente tramite aggiornamento delle patch Citrix e chiusura di tutte le sessioni attive per evitare accessi non autorizzati post-patching. Le potenziali conseguenze includono violazioni di dati, ransomware e interruzioni operative, con un rischio elevato a causa della facilità di esecuzione dell’exploit.
CVE-2025-6218: falla critica in WinRAR, rischio malware per milioni di utenti Windows
Il secondo allarme riguarda la diffusissima utility di archiviazione WinRAR. La vulnerabilità CVE-2025-6218 deriva da un difetto nella gestione dei percorsi file durante l’estrazione degli archivi: WinRAR non valida correttamente i path dei file, permettendo così a un file malevolo di estrarre contenuti in directory di sistema riservate. Un archivio appositamente realizzato può inserire programmi in cartelle che eseguono automaticamente i file ad ogni avvio di Windows, consentendo a malware di ottenere persistenza sul sistema infetto.
Questa falla è esclusiva delle versioni Windows (non affetta Linux/macOS/Android) ed è stata scoperta dalla Zero Day Initiative di Trend Micro. La risposta di RARLAB è stata rapida: il rilascio di WinRAR 7.12 corregge la vulnerabilità, affiancando la patch a un fix secondario per problemi di HTML injection nei report. L’aggiornamento è indispensabile: sistemi non aggiornati restano esposti a infezioni silenziose che possono garantire agli attaccanti il controllo continuativo della macchina compromessa.
Implicazioni tecniche e azioni di mitigazione per amministratori e utenti
Entrambe le vulnerabilità evidenziano l’importanza di una gestione tempestiva delle patch e di un controllo continuo sui log di sistema e delle applicazioni. Per Citrix è fondamentale aggiornare tutte le istanze all’ultima versione, terminare le sessioni attive e monitorare tentativi di login anomali. Per WinRAR, l’unica difesa efficace è aggiornare immediatamente alla release 7.12, evitando di estrarre archivi provenienti da fonti non attendibili.
Gli amministratori dovrebbero rafforzare policy di accesso, segmentare le reti, eseguire backup frequenti e adottare strumenti avanzati di threat detection. Gli utenti privati sono chiamati a verificare regolarmente la versione dei software e a diffidare da file compressi di origine sconosciuta.
