Sommario
Le vulnerabilità informatiche continuano a colpire in maniera trasversale settori consumer, industriali e infrastrutturali, delineando uno scenario in cui la superficie d’attacco si amplia quotidianamente. Le ultime segnalazioni hanno coinvolto le smart camera Dahua Hero C1, il sistema operativo macOS Sequoia 15 e una serie di prodotti ICS secondo cinque distinti avvisi pubblicati da CISA. A riportare alla luce le falle nei dispositivi Dahua è stato il team di Bitdefender, che ha evidenziato la possibilità di esecuzione di codice remoto, mentre Apple ha rilasciato aggiornamenti significativi per correggere numerose criticità nel suo nuovo sistema operativo. Sul fronte industriale, CISA ha emesso alert dettagliati su prodotti come LabVIEW e DTN Soft, che rientrano nella categoria dei sistemi di controllo industriale (ICS).
Attacco a Dahua Hero C1: falle nel firmware e codice remoto
La scoperta più preoccupante riguarda le telecamere Dahua, dove i ricercatori di Bitdefender hanno documentato due vulnerabilità critiche catalogate come CVE-2025-31700 e CVE-2025-31701. La prima si verifica in un handler ONVIF dove un overflow dello stack può essere causato da un parsing errato dell’header Host sulla porta 80. Il comportamento scorretto consente la copia incontrollata di dati sulla memoria di ritorno, compromettendo i registri del processore e permettendo l’esecuzione di comandi arbitrari mediante catene ROP. La gravità dell’attacco risiede nel fatto che un payload appositamente confezionato, privo di caratteri problematici come il byte nullo o parentesi quadre, può deviare l’esecuzione del sistema e aprire una shell sulla porta 4444. La seconda vulnerabilità coinvolge un endpoint RPC e sfrutta una cattiva implementazione della funzione strncpy, che permette l’overflow in una sezione .bss, modificando puntatori di funzione e indirizzando l’esecuzione verso comandi di sistema. In entrambi i casi, l’accesso remoto non autenticato può garantire un controllo completo del dispositivo. Le conseguenze includono il caricamento di firmware non firmati, l’installazione di processi persistenti e la compromissione della sicurezza dell’intera rete. I modelli coinvolti sono numerosi: dalle serie IPC-1XXX e IPC-2XXX, passando per le versioni WX, ECXX, SD3A, fino ai dispositivi SD2C con firmware antecedente al 16 aprile 2025. Il codice vulnerabile è stato testato su firmware V2.810.9992002.0.R e con la versione ONVIF 21.06. L’interfaccia Web UI 3.2.1.1452137 è stata confermata vulnerabile. L’esposizione diretta su Internet, aggravata da configurazioni errate di UPnP e port forwarding, ha amplificato i rischi, rendendo molte installazioni facilmente individuabili e compromettibili. Dahua ha pubblicato le patch il 7 luglio 2025, con divulgazione completa il 23 luglio. Gli esperti consigliano agli utenti di disabilitare UPnP, eliminare qualsiasi regola di port forwarding e isolare le telecamere su VLAN separate o reti dedicate all’IoT. L’incidente ha anche generato una spinta significativa nella community open-source, dove ricercatori indipendenti hanno analizzato gli exploit proof-of-concept e testato l’efficacia delle catene ROP. Il caso Dahua mette in evidenza la fragilità del parsing e delle funzioni legacy in dispositivi connessi, ma sottolinea anche l’urgenza di meccanismi di difesa multilivello. Lo sviluppo di strumenti AI per il rilevamento di overflow di buffer, insieme alla validazione rigorosa delle funzioni strncpy e alla verifica degli hash dei firmware, sta diventando una prassi diffusa tra gli integratori di soluzioni IoT.
AmacOS Sequoia 15 e le falle chiuse in silenzio
Apple ha rilasciato un importante aggiornamento per il sistema operativo macOS Sequoia 15, correggendo una lunga serie di vulnerabilità che interessano componenti critici come Accounts, APFS, Airport, WebKit e JavaScriptCore. Tra le più significative si segnala la CVE-2024-44129, una falla in grado di permettere il leak di informazioni sensibili da parte delle app, e la CVE-2024-44153, relativa a problemi di permessi che consentivano l’accesso a dati utente protetti. Le contromisure adottate includono restrizioni aggiuntive, controlli di accesso più rigorosi e una raffinata logica di permessi per bloccare l’interazione con aree sensibili del sistema. Sono stati chiusi anche problemi legati a memory corruption, come evidenziato nelle vulnerabilità CVE-2024-44154 e CVE-2024-40845, in cui file video manipolati potevano provocare crash delle applicazioni. Queste patch risultano disponibili per una vasta gamma di dispositivi, tra cui Mac Studio dal 2022 in poi, iMac dal 2019, Mac Pro dal 2019, MacBook Air dal 2020 e MacBook Pro dal 2018. Apple ha inoltre risolto un problema segnalato da Microsoft, la CVE-2024-44243, che interessava la System Integrity Protection (SIP) con possibilità di exploit root persistenti, sebbene con affidabilità ridotta. Gli aggiornamenti hanno trovato ampia diffusione anche su Reddit e nei forum specializzati, dove gli utenti hanno discusso la sicurezza delle versioni correlate, come Sonoma 14.7.5 e iOS 18.1.1. In parallelo, Tenable ha aggiornato i plugin di Nessus per monitorare queste minacce, evidenziando i rischi nel processing di contenuti Web malevoli. Apple ha reagito bloccando due zero-day attivamente sfruttati, aumentando la trasparenza nel changelog e mantenendo un ritmo serrato di aggiornamenti. Gli esperti consigliano la configurazione di firewall avanzati, la rigorosa attivazione di Gatekeeper e la verifica continua dei log di sistema. Le aziende, in particolare quelle enterprise, si affidano sempre più a strumenti MDM per la gestione centralizzata degli aggiornamenti e per ridurre il downtime operativo.
CISA e i sistemi ICS: cinque advisory in un solo giorno
Il 29 luglio 2025, la Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato cinque advisory relativi a vulnerabilità in sistemi di controllo industriale. Tra i prodotti coinvolti figurano LabVIEW di National Instruments e DTN Soft di Delta Electronics. La prima vulnerabilità segnalata, CVE-2025-2633, è legata a un’impropria gestione della memoria (CWE-119) che consente l’esecuzione di codice arbitrario. La seconda, CVE-2025-2634, riguarda versioni precedenti al 2024 Q3 e comporta la possibilità di disclosure di informazioni sensibili. L’impatto è significativo, con punteggi CVSS rispettivamente di 7.8 secondo la versione 3.1 e 7.1 nella 4.0.
- ICSA-24-158-04 Johnson Controls Software House iStar Pro Door Controller (Update A)
- ICSA-24-338-06 Fuji Electric Tellus Lite V-Simulator (Update A)
- ICSA-25-210-01 National Instruments LabVIEW
- ICSA-25-210-02 Samsung HVAC DMS
- ICSA-25-210-03 Delta Electronics DTN Soft
Nel caso del software DTN Soft, la CVE-2025-53416 sfrutta una vulnerabilità di deserializzazione di dati non attendibili (CWE-502), permettendo l’esecuzione di codice attraverso file di progetto appositamente manipolati. Il problema colpisce versioni inferiori alla 2.1.0 e rende necessaria l’adozione immediata dell’aggiornamento 1.6.0.0 disponibile sul portale ufficiale Delta. Anche in questo caso l’esposizione alla rete gioca un ruolo critico, e le misure di mitigazione comprendono la disconnessione da Internet, la segmentazione tramite firewall e l’accesso remoto tramite VPN aggiornate. La strategia suggerita da CISA include un’attenta analisi del rischio, il monitoraggio proattivo tramite EDR e la condivisione di intelligence tra operatori del settore.
Escalation e mitigazione
L’analisi tecnica condotta da Bitdefender rivela che la vulnerabilità CVE-2025-31700 in Dahua Hero C1 consente lo sfruttamento di uno stack-based buffer overflow mediante un errato parsing dell’header HTTP. Un attaccante può preparare un payload in grado di sovrascrivere lo stack senza interferenze da parte dei caratteri speciali, dirottando il flusso esecutivo e aprendo una shell persistente. La firma digitale del binario può essere bypassata grazie a gadget ROP ben congegnati, consentendo l’esecuzione non autorizzata con privilegi root. La mitigazione proposta include controlli rigorosi sui limiti di buffer, validazione dell’input nei protocolli ONVIF e aggiornamenti firmware che, secondo i test condotti, non introducono impatti significativi sulle performance. Queste vulnerabilità evidenziano come la superficie d’attacco si estenda non solo alle infrastrutture industriali e agli endpoint di consumo, ma anche ai dispositivi di uso quotidiano e alle piattaforme integrate. I cicli di aggiornamento accelerati, la trasparenza degli advisory e la collaborazione internazionale stanno diventando elementi centrali della sicurezza informatica. Mentre le patch vengono distribuite e i sistemi aggiornati, la pressione per migliorare l’intera supply chain digitale non mostra segni di rallentamento.
