Sommario
Nel mese di luglio 2025, il panorama della cybersecurity enterprise viene scosso da due vulnerabilità di gravità critica che colpiscono rispettivamente l’ambiente Microsoft SharePoint Server e i dispositivi Aruba Instant On Access Points. Mentre Microsoft si confronta con un exploit attivo legato a una zero-day classificata come CVE-2025-53770, Hewlett Packard Enterprise pubblica un avviso su una backdoor hardcoded in alcuni modelli di access point, segnalando la possibilità di bypassare completamente l’autenticazione. In entrambi i casi, si tratta di falle che possono consentire l’esecuzione remota di codice (RCE) da parte di attaccanti remoti, con conseguenze dirette sulla sicurezza e la disponibilità di sistemi critici aziendali.
Microsoft SharePoint compromesso da exploit RCE: 85 server già colpiti
Il primo allarme riguarda SharePoint Server, la nota piattaforma collaborativa di Microsoft, che si trova esposta a un exploit attivo relativo alla vulnerabilità CVE-2025-53770, causata da un processo di deserializzazione di dati non fidati. L’attacco permette a un utente remoto e non autenticato di inviare payload malevoli che, una volta processati dal server, consentono l’accesso non autorizzato e l’esecuzione di codice arbitrario. Il punteggio CVSS raggiunge quota 9.8, confermando l’estrema criticità della situazione.
A dare risalto al problema sono stati gli analisti di Eye Security, che hanno osservato oltre 85 server compromessi, tra cui numerose organizzazioni governative e multinazionali. Gli attaccanti sfruttano una catena di exploit già nota con le sigle CVE-2025-49704 e CVE-2025-49706, conosciuta come ToolShell, caricando file ASPX malevoli come spinstall0.aspx, allo scopo di sottrarre parametri sensibili come ValidationKey e DecryptionKey. Queste informazioni vengono poi usate per generare __VIEWSTATE falsificati, capaci di ingannare i sistemi e ottenere esecuzione persistente.
Microsoft ha confermato che SharePoint Online, parte della suite Microsoft 365, non risulta vulnerabile, mentre risultano impattate le versioni 2016, 2019 e Subscription Edition. L’exploit è attivo dal 18 luglio 2025 e Microsoft ha raccomandato di abilitare AMSI (Antimalware Scan Interface), già integrato di default dalle build successive al 2023, e di configurare correttamente Microsoft Defender per il blocco in tempo reale. I log di sistema, in particolare quelli relativi alle pagine ToolPane.aspx e SignOut.aspx, forniscono indicatori di compromissione (IOC) utili per identificare eventuali attacchi in corso.
Aruba vulnerabile: rischio compromissione completa degli access point
Parallelamente, HPE pubblica un advisory su due vulnerabilità nei firmware dei dispositivi Aruba Instant On Access Points. La più grave, identificata come CVE-2025-37103, riguarda la presenza di password hardcoded, ovvero credenziali di accesso fisse e non modificabili, lasciate involontariamente all’interno del firmware. Questa criticità consente l’accesso remoto alla web interface da parte di attori malevoli, i quali possono modificare configurazioni, creare backdoor o disabilitare i meccanismi di sicurezza. La seconda vulnerabilità, CVE-2025-37102, permette invece l’iniezione di comandi arbitrari via CLI autenticata, offrendo così un ulteriore vettore per l’escalation dei privilegi. L’unione delle due vulnerabilità consente il completo controllo dei dispositivi colpiti, con possibilità di lateral movement, persistenza e attività di sorveglianza remota. La criticità del problema è accentuata dal fatto che molti di questi access point vengono utilizzati in ambienti enterprise, inclusi uffici remoti, sedi distribuite e ambienti educational. Secondo HPE, le versioni del firmware affette sono quelle uguali o inferiori alla 3.2.0.1, mentre le versioni successive risolvono completamente la problematica. Nonostante al momento non siano stati osservati exploit attivi in the wild, l’azienda raccomanda l’upgrade immediato e l’isolamento preventivo dei dispositivi vulnerabili. Inoltre, viene suggerito il monitoraggio proattivo dei log CLI e l’adozione di tecniche di segmentazione di rete per limitare l’eventuale impatto in caso di compromissione.
Impatti estesi e raccomandazioni operative per SharePoint
La vulnerabilità CVE-2025-53770 sta provocando una vera e propria escalation tra le aziende colpite. Diversi analisti confermano che l’exploit si mimetizza nel traffico regolare di SharePoint, rendendo difficile la sua identificazione in contesti produttivi complessi. Gli attacchi partono generalmente da richieste HTTP verso percorsi legittimi (_layouts/ToolPane.aspx), ma utilizzano file ASPX camuffati per introdurre codice dannoso. Il codice malevolo si appoggia alla possibilità di accedere alla MachineKey e creare sessioni falsificate con token validi, bypassando così completamente l’autenticazione. Questa tecnica consente agli attori malevoli di installare web shell, ottenere accesso ai file system interni e stabilire connessioni persistenti. Microsoft ha osservato che i sistemi colpiti non presentano configurazioni aggiornate o mancano delle protezioni AMSI. In risposta, Microsoft consiglia di abilitare Microsoft Defender Antivirus, configurare regole di blocco IPS per i principali IP malevoli osservati (come 107.191.58[.]76 e 104.238.159[.]149), e rafforzare il logging sugli IIS logs per identificare rapidamente richieste anomale. CISA ha incluso la vulnerabilità nella sua Known Exploited Vulnerabilities List e ha avviato un programma di notifica alle organizzazioni potenzialmente impattate.
Aruba e i rischi per la sicurezza delle reti wireless aziendali
Nel caso di Aruba HPE, la criticità delle falle scoperte risiede nella combinazione di default credentials con una vulnerabilità di comando remoto autenticato, rendendo di fatto possibile il completo controllo remoto dei dispositivi. Gli attaccanti possono accedere alla web interface o alla CLI e modificare ogni parametro operativo dell’access point, inclusa la configurazione dei canali radio, SSID, firewall interni o l’accesso remoto via SSH. L’exploit della catena CVE-2025-37103 e CVE-2025-37102 potrebbe essere sfruttato in ambienti poco aggiornati, dove firmware vecchi restano in uso per ragioni di compatibilità. HPE avverte che, sebbene non ci siano ancora attacchi osservati in corso, la facilità di scoperta delle credenziali hardcoded da parte di un attore esperto rappresenta un pericolo imminente.
Le organizzazioni sono quindi invitate a:
- installare il firmware 3.2.1.0 o successivo;
- auditare i log di accesso e CLI;
- isolare i dispositivi dalla rete principale in attesa dell’aggiornamento;
- configurare VLAN dedicate per contenere eventuali movimenti laterali;
- modificare tutte le password predefinite post-upgrade;
- segnalare eventuali anomalie direttamente a HPE.
Un panorama ad alta esposizione: IoT sotto assedio
Ciò che accomuna le due vulnerabilità è la fragilità del software legacy e la mancanza di controllo sulle componenti critiche. Nel caso di SharePoint, l’uso di processi di deserializzazione non sicuri dimostra come sia possibile compromettere infrastrutture strategiche anche in ambienti corporate consolidati. Per Aruba, la superficialità nel lasciare credenziali fisse evidenzia come l’IoT enterprise sia ancora terreno fertile per attacchi poco sofisticati ma efficaci. Microsoft, CISA e HPE stanno coordinando le risposte, ma l’adozione di misure correttive dipende dalla rapidità delle organizzazioni nell’aggiornare, isolare, e mitigare. I rischi sono concreti: accessi persistenti, furto di dati, installazione di malware e utilizzo delle risorse per campagne più ampie. Il quadro che emerge dal luglio 2025 è quello di un ecosistema in cui anche infrastrutture mature possono essere colpite in assenza di protezione attiva, segmentazione di rete e cultura della remediation. L’assenza di patch immediate nel caso di SharePoint aggrava il rischio, mentre nel caso di Aruba la soluzione è già disponibile ma richiede azione tempestiva.
