Sommario
Cisco rilascia un nuovo advisory relativo a vulnerabilità multiple in Prime Infrastructure, Identity Services Engine e Unified Intelligence Center, mentre Google AI Big Sleep blocca sul nascere l’exploitation di SQLite, il Regno Unito avvia un programma per la ricerca di vulnerabilità e Microsoft distribuisce un aggiornamento emergente per le macchine virtuali Azure. L’azienda americana rafforza la propria sicurezza con correzioni rapide per contrastare blind SQL injection, remote code execution autenticata, authorization bypass, server-side request forgery (SSRF) e caricamento arbitrario di file. Tali falle compromettono le infrastrutture enterprise, consentendo agli attaccanti di iniettare codice SQL, eseguire comandi remoti, manipolare richieste interne ai server e caricare file non autorizzati.
La vulnerabilità CVE-2025-20272, riscontrata in Prime Infrastructure e EPNM, ottiene un CVSS di 4.3 per l’impatto sulla confidenzialità. Le vulnerabilità CVE-2025-20283, 20284 e 20285, presenti in ISE, totalizzano un CVSS di 6.5, riferito a RCE autenticata. La CVE-2025-20288, che interessa CUIC, tocca CVSS 5.8 per l’integrità bassa causata da SSRF, mentre la CVE-2025-20274 per caricamento arbitrario di file arriva a CVSS 6.3, con impatti su più livelli.
Nel frattempo, Google AI Big Sleep rileva CVE-2025-6965 in SQLite prima che venga sfruttata attivamente, grazie all’impiego di modelli predittivi in grado di identificare memory corruption. Il NCSC britannico lancia la Vulnerability Research Initiative, per coinvolgere esperti esterni nell’analisi delle falle in software e hardware di interesse strategico. Microsoft, infine, rilascia il KB5064489, che risolve i problemi di avvio delle VM Azure introdotti dal Patch Tuesday di luglio.
Questi eventi evidenziano i rischi crescenti negli ecosistemi enterprise, dove ogni falla può amplificare violazioni di dati e compromissioni sistemiche. Cisco raccomanda un aggiornamento immediato, mentre Google e Microsoft dimostrano un approccio proattivo in termini di AI e patching. Il programma britannico si inserisce nel contesto di una disclosure responsabile, promuovendo una risposta più coordinata alle minacce nazionali.
Cisco affronta vulnerabilità critiche in prodotti enterprise
Cisco pubblica un nuovo advisory che mette in luce una serie di vulnerabilità critiche nei suoi prodotti enterprise, inclusi Prime Infrastructure, Identity Services Engine (ISE) e Unified Intelligence Center (CUIC). Parallelamente, Google AI Big Sleep identifica una falla zero-day in SQLite, il Regno Unito avvia un programma di collaborazione per la ricerca di vulnerabilità, e Microsoft rilascia un aggiornamento d’emergenza per Azure VM. Le vulnerabilità segnalate includono blind SQL injection, remote code execution autenticata, authorization bypass, server-side request forgery e arbitrary file upload. Si tratta di falle che colpiscono l’integrità dei sistemi, l’autenticazione e la sicurezza dei dati. Il CVE-2025-20272, presente in Cisco Prime Infrastructure ed EPNM, ha un CVSS di 4.3, mentre le falle CVE-2025-20283, 20284 e 20285 in Cisco ISE registrano CVSS 6.5 per RCE autenticato. Il CVE-2025-20288, legato a SSRF in CUIC, tocca CVSS 5.8, e il CVE-2025-20274 per file upload arbitrario raggiunge CVSS 6.3.
Le vulnerabilità in Cisco Prime Infrastructure e EPNM
La falla identificata da Cisco come CVE-2025-20272 riguarda una blind SQL injection presente nei sistemi Prime Infrastructure ed Evolved Programmable Network Manager (EPNM). Essa consente a un attaccante di accedere a informazioni confidenziali attraverso query SQL malformate, sfruttando una sanitizzazione del tutto inadeguata. Il Common Weakness Enumeration associato è CWE-89, noto per rappresentare input non gestiti correttamente all’interno delle istruzioni SQL. Secondo Cisco, non ci sono ancora prove di un exploit attivo, ma la criticità della falla impone attenzione immediata. L’impatto principale riguarda la riservatezza dei dati, senza interferenze dirette con l’integrità o la disponibilità dei sistemi. Cisco ha omesso workaround ufficiali e ha rimandato gli utenti a una verifica diretta tramite Bug ID. L’iniezione avviene attraverso comandi SQL manipolati da un utente con privilegi limitati, utilizzando caratteri speciali non neutralizzati. Cisco ha annunciato che nelle future versioni verranno rafforzati i meccanismi di validazione. Gli amministratori devono attivare controlli WAF, revisionare le policy di logging e isolare i sistemi a rischio.
Remote code execution e bypass in Cisco ISE
Le tre vulnerabilità CVE-2025-20283, 20284 e 20285 presenti in Cisco ISE sono legate a remote code execution autenticata e authorization bypass. I vettori di attacco sfruttano input validation debole e meccanismi di autenticazione facilmente aggirabili. Gli attaccanti, una volta autenticati, possono eseguire comandi remoti e bypassare controlli di accesso, compromettendo l’integrità e la confidenzialità dei sistemi. Il punteggio CVSS di 6.5 segnala un rischio elevato, specialmente in ambienti enterprise che impiegano ISE per la gestione delle identità e delle policy di accesso. Cisco classifica le falle come CWE-302 (autorizzazione mancante) e CWE-74 (neutralizzazione impropria di input speciali in contesti di output). Anche in questo caso, Cisco non fornisce workaround specifici, ma consiglia l’isolamento di ISE, l’implementazione della MFA e la segmentazione della rete. L’assenza di patch dettagliate aggrava l’urgenza di una gestione proattiva. Le aziende sono chiamate a rafforzare l’audit dei ruoli privilegiati, il monitoraggio dei log di accesso e la revisione dei privilegi locali.
Server-side request forgery in Cisco CUIC
La vulnerabilità CVE-2025-20288 riguarda una server-side request forgery (SSRF) rilevata in Cisco Unified Intelligence Center. Il vettore consente a un attaccante esterno di forgiare richieste interne ai sistemi protetti, potenzialmente accedendo a risorse non esposte o esfiltrando dati sensibili. Cisco assegna un CVSS 5.8, con impatti rilevanti sulla integrità dei sistemi interni e uno scope modificato. La falla è legata alla CWE-918 e si origina da validazioni insufficienti degli URL. Cisco raccomanda la segmentazione della rete, l’utilizzo di firewall per bloccare richieste interne e l’implementazione di filtro URL lato server. Gli attacchi SSRF vengono comunemente usati per effettuare ricognizione interna, pivotare verso altri target o sfruttare API interne vulnerabili. Le aziende dovrebbero rivedere le policy di API exposure, rafforzare le restrizioni sugli indirizzi IP interni e attivare controlli di output traffic da parte dei componenti CUIC.
File upload arbitrario in Cisco CUIC
La falla CVE-2025-20274 riguarda l’arbitrary file upload in Cisco CUIC, consentendo a un utente autenticato di caricare file con estensioni potenzialmente dannose, come script PHP o shell eseguibili. La classificazione CWE è CWE-434, e la vulnerabilità espone l’organizzazione a RCE tramite webshell, esfiltrazione dati e alterazione delle applicazioni in esecuzione. Il CVSS assegnato è 6.3, con impatti su confidenzialità, integrità e disponibilità a livello low. Non sono stati ancora osservati exploit attivi. Cisco non propone workaround, ma suggerisce di limitare i tipi di file accettati, usare meccanismi di antivirus server-side, e monitorare gli upload in tempo reale. Le aziende dovrebbero rivedere i flussi di caricamento nei propri ambienti CUIC, testare scenari di compromissione tramite upload e adottare framework sicuri per la gestione dei contenuti.
Google Big Sleep e la scoperta predittiva di CVE SQLite
Il progetto Google AI Big Sleep, una collaborazione tra Google, DeepMind e Project Zero, ha identificato la vulnerabilità CVE-2025-6965 in SQLite prima che questa fosse sfruttata nel mondo reale. Si tratta della prima istanza di identificazione predittiva assistita da AI che blocca un exploit prima della sua weaponizzazione. La falla, una memory corruption da integer overflow, consente lettura arbitraria di memoria tramite query SQL costruite ad hoc. Big Sleep utilizza un framework LLM-assisted che combina reasoning predittivo e difese deterministiche, e integra meccanismi di controllo e audit trasparenti. Il CVSS della falla è 7.2, con impatto potenziale su tutte le applicazioni che utilizzano versioni SQLite antecedenti la 3.50.2. Google raccomanda l’adozione di difese ibride AI, come limite alle azioni degli agenti, controlli su prompt injection, e strumenti di auditing predittivo nella progettazione degli agenti intelligenti.
Il programma UK per la ricerca di vulnerabilità
Il National Cyber Security Centre (NCSC) del Regno Unito ha annunciato il lancio della Vulnerability Research Initiative (VRI), un programma pensato per collaborare con esperti esterni nella scoperta di vulnerabilità software e hardware. L’iniziativa si inserisce nel contesto della strategia nazionale per la cybersecurity e promuove la disclosure responsabile, lo scambio di tecniche e tool, e la costruzione di framework condivisi. Il programma invita i ricercatori a contattare il team tramite [email protected], fornendo informazioni sui propri skill tecnici. Le vulnerabilità identificate possono essere gestite tramite il portale ufficiale del NCSC, e vengono valutate secondo il processo Equities. La VRI copre anche ambiti emergenti come l’analisi delle vulnerabilità in sistemi AI e include obiettivi specifici suggeriti dal governo britannico. L’approccio mira a rafforzare la collaborazione tra pubblico, privato e accademia, migliorando le capacità predittive e difensive della nazione.
Microsoft risolve bug critico in Azure VM
Il 13 luglio 2025, Microsoft rilascia l’aggiornamento out-of-band KB5064489 per Windows 11 24H2 e Windows Server 2025, risolvendo un bug critico che impediva l’avvio delle VM Azure con Trusted Launch disabilitato. Il problema era stato introdotto dal Patch Tuesday del 8 luglio 2025, identificato come KB5062553, e riguardava VM standard con Virtualization-Based Security (VBS) attivato in assenza del ruolo Hyper-V. Il bug causava errori durante l’inizializzazione del secure kernel. Microsoft suggerisce di sostituire KB5062553 con KB5064489 o abilitare Trusted Launch con Secure Boot e vTPM come alternativa più sicura. L’aggiornamento non presenta issue noti e può essere installato manualmente. Microsoft consiglia di testare l’update in ambienti staging prima del deployment e di monitorare attentamente il feedback post-distribuzione.
