Vulnerabilità

Vulnerabilità critiche colpiscono Cisco, Microsoft Windows Server e sistemi industriali

di Livio Varriale
scritto da Livio Varriale 0 commenti 6 minuti di lettura

Nel luglio 2025, una serie coordinata di vulnerabilità critiche ha colpito infrastrutture IT e ambienti industriali, coinvolgendo direttamente colossi come Cisco e Microsoft. Parallelamente, CISA ha aggiornato il suo catalogo Known Exploited Vulnerabilities (KEV) e ha diffuso nuovi advisory ICS rivolti ai sistemi di controllo industriale. In questo scenario, le minacce si estendono dalle piattaforme enterprise fino agli impianti OT, accentuando la pressione su organizzazioni pubbliche e private, chiamate a rafforzare immediatamente le proprie difese. Gli attacchi documentati mostrano pattern avanzati e sfruttano componenti legacy e configurazioni esposte, aggravando i rischi per la supply chain digitale globale.

Le vulnerabilità nel cuore di Cisco ISE

Cisco ha confermato che tre vulnerabilità ad alto impatto presenti nel proprio Identity Services Engine (ISE) sono attualmente oggetto di exploitation attiva. Le falle, identificate come CVE-2025-20281, CVE-2025-20282 e CVE-2025-20337, possiedono tutte un punteggio CVSS pari a 10.0, a testimonianza della gravità assoluta degli scenari che possono scatenare. Due delle tre vulnerabilità derivano da una validazione insufficiente degli input nelle API esposte, consentendo a malintenzionati remoti non autenticati di eseguire codice arbitrario con privilegi root sul sistema. La terza, invece, permette il caricamento e l’esecuzione di file malevoli direttamente sull’host, eludendo i controlli di validazione. L’attività malevola è stata rilevata a partire dalla prima metà di luglio, senza che Cisco abbia ancora identificato i responsabili o definito l’ampiezza globale della campagna. Tuttavia, emerge chiaramente un pattern basato sull’abuso di API non protette, con conseguente esfiltrazione di dati e rischio di takeover completo della rete. L’azienda ha rilasciato patch specifiche per le versioni ISE 3.3 (Patch 7) e ISE 3.4 (Patch 2), sottolineando che non esistono workaround temporanei. Gli amministratori sono invitati ad aggiornare immediatamente i sistemi, monitorando con attenzione i log di accesso e le operazioni API non autorizzate. Cisco ha anche suggerito una revisione urgente delle configurazioni esposte, promuovendo l’adozione di sistemi IPS, la segmentazione delle reti vulnerabili, e l’integrazione di strumenti di rilevamento avanzato. L’azienda ha avviato una collaborazione con le autorità internazionali per supportare le indagini in corso. Secondo le analisi interne, il problema deriva da componenti legacy presenti nel codice sorgente, sollevando interrogativi anche sul processo di quality assurance e sulla robustezza dell’infrastruttura. I settori più colpiti sembrano essere telecomunicazioni, governo, e grandi reti aziendali, con perdite operative già segnalate. Cisco sta preparando nuove varianti di patch e promette ulteriori misure difensive, inclusa una revisione delle API per potenziare la validazione degli input.

Instabilità nei sistemi Windows Server dopo l’update KB5062557

L’8 luglio 2025, Microsoft ha rilasciato l’aggiornamento KB5062557 per Windows Server 2019, il quale ha subito attirato l’attenzione degli amministratori IT a causa di instabilità gravi nei cluster e nelle macchine virtuali. Il problema risiede nella ripetuta interruzione del Cluster Service, con nodi che falliscono il rientro nel cluster e finiscono in quarantena automatica. Le VM impattate subiscono riavvii multipli, mentre i log di sistema mostrano ripetutamente l’evento ID 7031, specialmente in ambienti che utilizzano BitLocker su Cluster Shared Volumes. Microsoft ha riconosciuto che il malfunzionamento non è correlato a una vulnerabilità sfruttabile, ma piuttosto a un errore di validazione del codice all’interno della logica di clustering. Al momento non è disponibile un fix universale, e l’azienda raccomanda di contattare il supporto tecnico per imprese per accedere a workaround personalizzati. Gli amministratori hanno prontamente sospeso l’installazione della patch su sistemi critici, in attesa di una soluzione stabile. È stato inoltre consigliato di eseguire backup completi prima di procedere con qualsiasi nuova distribuzione dell’update. La situazione ha suscitato preoccupazioni in ambienti clusterizzati e virtualizzati, in cui l’affidabilità delle macchine è fondamentale per la continuità operativa. Microsoft ha dichiarato di essere al lavoro su uno script di riparazione e su un aggiornamento cumulativo correttivo, i cui tempi di rilascio non sono ancora stati annunciati. Gli amministratori hanno avviato il monitoraggio sistematico dei log e l’implementazione di soluzioni temporanee per contenere i danni. L’episodio ha riacceso il dibattito sulla sicurezza del Patch Tuesday, rivelando come un singolo aggiornamento possa causare downtime significativi, disruption operative e costi indiretti per le organizzazioni.

CISA aggiorna il catalogo delle vulnerabilità sfruttate

Il 22 luglio 2025, CISA ha aggiornato il proprio catalogo KEV, includendo due nuove vulnerabilità attivamente sfruttate che interessano prodotti Microsoft e Citrix. Sebbene i dettagli tecnici completi non siano stati divulgati nel contenuto iniziale dell’avviso, si conferma che entrambe le falle costituiscono vettori comuni di attacco per cybercriminali e gruppi APT. La priorità di intervento è stata imposta per tutte le agenzie federali statunitensi, in conformità con la BOD 22-01, con obbligo di remediation entro la data stabilita.

  • CVE-2025-49704 Microsoft SharePoint Code Injection Vulnerability
  • CVE-2025-49706 Microsoft SharePoint Improper Authentication Vulnerability

CISA ha invitato tutte le organizzazioni, pubbliche e private, a consultare regolarmente il catalogo KEV per individuare eventuali esposizioni interne e a prioritizzare le patch come parte di una strategia difensiva efficace. Le due vulnerabilità, già in fase di sfruttamento attivo, amplificano il rischio di accessi non autorizzati, esfiltrazione di dati sensibili, e persistenza di malware. In assenza di contromisure immediate, le falle possono compromettere la compliance normativa, con impatti anche in ambito assicurativo e regolatorio. CISA ha annunciato che continuerà ad aggiornare il catalogo KEV con nuove minacce emergenti, promuovendo l’adozione di strumenti come SIEM, EDR, e l’approccio zero-trust come standard di settore.

Advisory ICS: sistemi industriali sotto attacco

Sempre il 22 luglio, CISA ha pubblicato nove advisory riguardanti vulnerabilità nei sistemi di controllo industriale (ICS). Le segnalazioni tecniche, rivolte a organizzazioni che operano in ambienti OT, forniscono informazioni dettagliate, indicatori di compromissione, e indicazioni di mitigazione relative a diverse piattaforme industriali. Anche se non sono stati diffusi nomi specifici dei produttori coinvolti, i documenti evidenziano come le falle possano compromettere la sicurezza operativa, con rischi per safety e disponibilità dei processi.

Le vulnerabilità identificate spaziano da problemi di input validation a falle nei protocolli di comunicazione, e possono essere sfruttate per ottenere accessi remoti, manipolazione dei parametri e, in alcuni casi, esecuzione arbitraria di comandi. CISA raccomanda alle organizzazioni di verificare le proprie configurazioni ICS, applicare patch quando disponibili, e adottare segmentazione di rete, audit regolari e sistemi di monitoraggio dedicato. L’agenzia sottolinea che molte delle piattaforme coinvolte utilizzano componenti legacy, e che è fondamentale rafforzare la resilienza operativa attraverso l’integrazione della threat intelligence ICS. La collaborazione con i vendor industriali è già in corso, mentre si valuta l’adozione di nuovi framework normativi per i settori critici.

Approfondimento su CVE-2025-20281

La vulnerabilità CVE-2025-20281, identificata da Cisco nel proprio ambiente ISE, è causata da una mancata validazione degli input all’interno di un’API pubblica. Gli attaccanti possono inviare comandi malformati che il server interpreta come legittimi, eseguendoli con privilegi root. Il risultato è una esecuzione remota di codice senza autenticazione, con potenziale compromissione completa del dispositivo. La patch fornita da Cisco introduce un controllo avanzato dei parametri API, sanificando ogni input prima dell’elaborazione. Inoltre, è stato integrato un sistema di logging più granulare, capace di intercettare tentativi sospetti. Questo dettaglio tecnico mostra quanto una singola falla in una superficie esposta possa determinare impatti critici se non gestita con la massima priorità.

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Articoli correlati

Vulnerabilità critiche colpiscono ExpressVPN, Veeam e CrushFTP

Microsoft CORREGGE zero-day CVE-2025-53770 in SharePoint Server. ECCO...

SharePoint e Aruba HPE: vulnerabilità critiche mettono a...

Citrix, VMware, Ivanti, CrushFTP, TeleMessage Signal, Arch Linux...

Golden dMSA minaccia Active Directory con bypass dell’autenticazione

Cisco svela 4 vulnerabilità, Big Sleep anticipa falla...

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Facebook Twitter Instagram Youtube Rss Envelope