Sommario
Nel mese di luglio 2025, la CISA (Cybersecurity and Infrastructure Security Agency) statunitense intensifica il proprio allarme sulle vulnerabilità che minacciano sia le infrastrutture critiche industriali sia l’ambiente consumer. L’agenzia pubblica sei advisory dedicate a falle presenti nei sistemi di controllo industriale (ICS) prodotti da Hitachi Energy, ABB e Schneider Electric, e contestualmente inserisce nel catalogo Known Exploited Vulnerabilities (KEV) una falla attivamente sfruttata su Wing FTP Server. Il giorno seguente, Google rilascia un aggiornamento urgente per Chrome, destinato a correggere una pericolosa zero-day già oggetto di exploit nel mondo reale.
Queste azioni delineano un quadro di crescente instabilità nel panorama cybersecurity globale, in cui le vulnerabilità vengono identificate, divulgate e sfruttate con tempistiche sempre più ridotte. I rischi interessano tanto il settore industriale quanto la quotidianità degli utenti, con potenziali implicazioni su escalation di privilegi, accessi non autorizzati e compromissione di interi sistemi. Le autorità e i vendor raccomandano patch immediate e misure di mitigazione efficaci.
Le advisory CISA sui sistemi di controllo industriale
Il 15 luglio 2025, la CISA pubblica sei advisory mirate a vulnerabilità riscontrate nei prodotti di Hitachi Energy, ABB e Schneider Electric. Le notifiche riguardano direttamente l’integrità dei sistemi ICS impiegati in settori strategici come energia, automazione e manifatturiero. In particolare, l’agenzia richiama l’attenzione su exploit potenziali che potrebbero compromettere la continuità operativa attraverso denial-of-service, escalation di privilegi o manipolazioni operative.
- ICSA-25-196-01 Hitachi Energy Asset Suite
- ICSA-25-196-02 ABB RMC-100
- ICSA-25-196-03 LITEON IC48A and IC80A EV Chargers
- ICSA-25-037-02 Schneider Electric EcoStruxure (Update B)
- ICSA-25-140-08 Schneider Electric Modicon Controllers (Update A)
- ICSA-25-070-01 Schneider Electric Uni-Telway Driver (Update A)
Sebbene non tutti i dettagli tecnici siano stati divulgati pubblicamente, CISA invita gli operatori a consultare le documentazioni specifiche e ad applicare rapidamente aggiornamenti firmware e misure di segmentazione della rete. Le vulnerabilità condividono caratteristiche comuni, tra cui la presenza di codice debole in moduli AMI di riferimento e problematiche legate alla mancata neutralizzazione del byte NULL, elemento ricorrente nei recenti attacchi firmware.
La minaccia è tanto più critica considerando che malware come BlackLotus ha già sfruttato debolezze simili per installare bootkit persistenti al di sotto del sistema operativo, rendendosi invisibile agli strumenti di difesa tradizionali. CISA sottolinea che queste vulnerabilità colpiscono ambienti ICS estesi, esponendo potenzialmente dati sensibili e facilitando l’accesso al livello hardware da parte di attori malevoli. Gli utenti sono invitati ad applicare patch senza ritardi e a eseguire scansioni proattive con strumenti gratuiti come Risk Hunt, disponibili per CVE ad alto rischio.
L’aggiunta della CVE-2025-47812 al catalogo Known Exploited Vulnerabilities
Il 14 luglio 2025, la CISA integra nel proprio catalogo KEV la CVE-2025-47812, una vulnerabilità critica che interessa Wing FTP Server. Il difetto consiste in una impropria neutralizzazione del carattere NULL, una condizione che consente a un attore malintenzionato di iniettare input non validati, manipolando il flusso del programma per ottenere accessi non autorizzati e scavalcare i controlli di sicurezza. La falla risulta attivamente sfruttata in the wild, come confermato da fonti dell’enforcement federale. Pur mancando dettagli sul contesto specifico degli attacchi, la vulnerabilità rappresenta un vettore d’ingresso privilegiato per campagne di intrusione su larga scala. Le agenzie federali sono tenute ad attuare remediation immediata in base alla Binding Operational Directive 22-01, mentre tutte le organizzazioni, pubbliche e private, sono esortate a dare priorità assoluta ai CVE presenti nel KEV.
CVE-2025-47812 Wing FTP Server Improper Neutralization of Null Byte or NUL Character Vulnerability
Secondo CISA, la valutazione delle vulnerabilità tramite cataloghi aggiornati rappresenta uno strumento indispensabile per ridurre il tempo di esposizione agli attacchi. La CVE-2025-47812 dimostra ancora una volta come software legacy, spesso trascurati, possano trasformarsi in punti di rottura critici per l’intera architettura digitale. Le aziende devono quindi testare accuratamente i propri server FTP e applicare patch, filtri di input e meccanismi di hardening.
L’aggiornamento urgente di Google Chrome contro exploit attivi
Google ha reagito con tempismo pubblicando un aggiornamento critico per Chrome il 15 luglio 2025, volto a correggere una vulnerabilità di tipo zero-day classificata come CVE-2025-6558. Il bug, scoperto da Clément Lecigne e Vlad Stolyarov del Google Threat Analysis Group il 23 giugno, interessa il modulo ANGLE e la gestione GPU, e consente a un attaccante remoto di evadere la sandbox del browser tramite HTML appositamente costruito.
Con un punteggio CVSS pari a 8.8, la CVE-2025-6558 rappresenta un rischio elevato per sistemi Windows, macOS e Linux, in particolare in scenari di attacco mirato. Gli utenti colpiti sono quelli con versioni precedenti alla 138.0.7204.157, mentre le nuove versioni rilasciate, incluse la .158 per macOS e la .157 per Linux, includono già la correzione.
Google esorta gli utenti ad aggiornare immediatamente tramite la funzione “About Chrome”, evitando l’esposizione a potenziali attacchi che potrebbero comportare esecuzione di codice arbitrario e compromissione del sistema operativo sottostante. La vulnerabilità è legata a insufficient validation degli input non affidabili, con conseguente type confusion nel motore V8 e heap overflow che consente l’iniezione di payload dannosi con latenza di pochi millisecondi.
A livello tecnico, la mitigazione richiede il patching del modulo ANGLE e un rafforzamento dei controlli sugli input GPU. Chrome integra già ASLR e DEP, ma questa patch ne potenzia ulteriormente la robustezza, migliorando anche il rendering Vulkan e ottimizzando le performance con una riduzione dell’overhead GPU del 10%. Le contromisure sono già in fase di rollout su altri browser Chromium-based come Edge, Brave e Vivaldi.
Un ecosistema sotto pressione
Le tre azioni congiunte – gli advisory ICS di CISA, l’aggiunta di una CVE sfruttata attivamente nel catalogo KEV e il patch urgente di Chrome – mostrano quanto sia cruciale una reazione rapida e coordinata da parte di tutti gli attori coinvolti nella catena della sicurezza digitale. In particolare, la convergenza tra minacce a basso livello hardware come i bootkit ICS e vulnerabilità nei browser consumer più utilizzati impone una vigilanza costante. Il rischio non è solo tecnico, ma strategico: da un lato si mette in pericolo la stabilità operativa delle infrastrutture industriali, dall’altro la privacy e la sicurezza quotidiana degli utenti globali.
