Sommario
Le vulnerabilità in prodotti chiave come SonicWall, Proton Authenticator, Microsoft Office e NVIDIA Triton mettono a rischio la sicurezza di milioni di utenti e infrastrutture. Le indagini su recenti cyber incidenti rivelano attacchi ransomware sofisticati, exploit zero-day e gravi falle nei sistemi di autenticazione e intelligenza artificiale. SonicWall è al centro di un’ondata di attacchi contro firewall Gen 7 con SSL VPN attiva, mentre Proton corregge un bug critico che espone i segreti TOTP in chiaro su iOS. Microsoft rimuove funzionalità vocali da versioni obsolete di Office, e NVIDIA rilascia patch per vulnerabilità che consentono esecuzione di codice remota non autenticata su Triton Inference Server. Questi eventi evidenziano come la vigilanza proattiva e la patching tempestiva siano essenziali per difendere asset critici e dati sensibili.
Indagini SonicWall su cyber incidenti
SonicWall sta conducendo un’indagine su una serie di attacchi ransomware mirati ai firewall Gen 7 con SSL VPN abilitata. Gli attaccanti riescono a bypassare l’autenticazione multi-fattore, accedendo a infrastrutture interne e installando ransomware come Akira, classificato dall’FBI tra le minacce prioritarie per le infrastrutture critiche. Huntress, Arctic Wolf e Google Mandiant hanno osservato un aumento improvviso dell’attività dal 15 luglio 2025. In molti casi, i sistemi erano già patchati e le credenziali erano state ruotate, suggerendo la presenza di un possibile zero-day exploit. Alcuni attacchi sono stati tracciati a varianti note come la CVE-2025-23006, che consente l’esecuzione di comandi remoti non autenticati, e la CVE-2024-53704, che permette di aggirare l’autenticazione nella SSL VPN. I ricercatori segnalano anche l’utilizzo di backdoor OVERSTEP e rootkit su device EoL. SonicWall ha confermato di essere al lavoro con i principali threat intelligence team per capire se si tratti di vulnerabilità note o di una nuova minaccia. Intanto, vengono raccomandate misure urgenti come la disabilitazione dell’SSL VPN, l’uso di geo-IP filtering, la rimozione degli account inattivi e il rafforzamento delle password. La campagna rimane in fase evolutiva e Arctic Wolf Labs ha anticipato la condivisione imminente di ulteriori dettagli tecnici.
Fix bug in Proton Authenticator
Proton ha corretto una grave vulnerabilità nell’app Authenticator per iOS, dove i segreti TOTP venivano loggati in chiaro nei file di debug locali. Il problema è stato scoperto da un utente Reddit durante un report su una perdita di voci 2FA, che ha poi notato nel log stringhe contenenti account sensibili, inclusi dati Bitwarden. L’origine del bug risiede in una funzione che passava i segreti a una variabile params
, che finiva poi nei log. Proton ha rilasciato rapidamente la versione 1.1.1 per iOS, eliminando la parte di logging incriminata. Il bug non coinvolge altre piattaforme e non consente exploit remoti: i dati non venivano inviati ai server e la sincronizzazione rimaneva crittografata end-to-end. Tuttavia, chi esportava i log manualmente poteva involontariamente esporre i propri segreti. Proton ha ribadito che la responsabilità della sicurezza del dispositivo resta all’utente e ha aggiornato la documentazione per sensibilizzare sul tema. Questo incidente ha sollevato un allarme più ampio sull’uso improprio dei log nelle app di sicurezza.
Rimozione feature voice in Office obsoleti
Microsoft ha annunciato la rimozione definitiva delle funzionalità vocali dalle versioni obsolete delle applicazioni Office a partire da gennaio 2026. Le versioni inferiori alla 16.0.18827.20202 perderanno accesso a strumenti come Dictation, Transcription e Read Aloud. Questa decisione è legata a un aggiornamento del backend che le vecchie versioni non saranno in grado di supportare. Per gli utenti delle istanze cloud governative (GCC, GCC High e DoD), il termine è esteso a marzo 2026. Le funzionalità vocali sono fondamentali per l’accessibilità e la produttività: Dictation converte voce in testo, Transcription consente di creare trascrizioni in tempo reale, mentre Read Aloud legge documenti o email ad alta voce. Microsoft raccomanda agli utenti di pianificare gli aggiornamenti, evitando interruzioni nel workflow. Nessuna alternativa è stata proposta per i client legacy, sottolineando la necessità di restare aggiornati con le versioni supportate per non perdere funzionalità critiche.
Vulnerabilità in NVIDIA Triton Inference Server
NVIDIA ha rilasciato patch per una serie di vulnerabilità critiche nel proprio Triton Inference Server, un componente open-source utilizzato per la distribuzione di modelli AI in ambienti Linux e Windows. Le vulnerabilità colpiscono il backend Python, utilizzato per PyTorch e TensorFlow, e possono essere combinate per ottenere esecuzione di codice remota senza autenticazione.
Le falle principali includono:
- CVE-2025-23319: causa out-of-bounds write che consente la sovrascrittura della memoria e l’iniezione di codice (CVSS 8.1).
- CVE-2025-23320: supera i limiti della memoria condivisa IPC, rivelando dati sensibili come i nomi delle shared memory (CVSS 7.5).
- CVE-2025-23334: consente out-of-bounds read che può essere usato per raccogliere informazioni addizionali dal server (CVSS 5.9).
In combinazione, queste vulnerabilità permettono agli attaccanti di prendere il controllo totale del server Triton, accedere ai modelli AI, manipolare le risposte dei sistemi e usare il foothold per ulteriori compromissioni. NVIDIA ha risolto il problema nella versione 25.07, che contiene anche fix per altre vulnerabilità legate a RCE, DoS e tampering. Gli esperti raccomandano l’aggiornamento immediato, l’isolamento del server Triton in ambienti segregati, e il monitoraggio attivo tramite strumenti EDR.
Dettaglio tecnico: catena vulnerabilità NVIDIA Triton
La catena di exploit in Triton inizia con CVE-2025-23320, che permette di ottenere il nome della memoria condivisa IPC. Questo dato viene usato con CVE-2025-23319 per effettuare una scrittura fuori dai limiti del buffer, sovrascrivendo sezioni di memoria e iniettando codice arbitrario. A supporto dell’exploit, CVE-2025-23334 consente la lettura di dati adiacenti per facilitare la costruzione dell’attacco. Le vulnerabilità sono tutte legate alla gestione difettosa della memoria nel backend Python di Triton. NVIDIA ha corretto il problema introducendo controlli di bound, validazioni input e protezioni contro richieste malformate. L’esecuzione avviene senza necessità di credenziali, amplificando il rischio in ambienti esposti pubblicamente. Le organizzazioni devono implementare monitoraggio EDR, testare le patch su ambienti di staging e mantenere Triton aggiornato per garantire la sicurezza operativa.