Sommario
Le più recenti vulnerabilità critiche identificate in Adobe AEM Forms, firmware Dell, dispositivi D-Link e Cursor IDE richiedono patch urgenti da parte di aziende, enti pubblici e sviluppatori, mentre la CISA intensifica gli sforzi di mitigazione aggiornando il catalogo KEV e pubblicando advisory per ambienti ICS. L’analisi degli exploit pubblici, le patch tardive, e la presenza di PoC attivi dimostrano una superficie d’attacco in rapida espansione, che impone interventi immediati per proteggere dati sensibili, identità biometriche e ambienti di sviluppo AI. Il rischio si estende a settori critici e sistemi federali, con impatti documentati anche sulla supply chain software e la sicurezza di infrastrutture industriali.
Fix immediati per gli zero-day in Adobe AEM Forms
Adobe ha rilasciato patch di emergenza per due vulnerabilità zero-day in AEM Forms on JEE, segnalate da ricercatori di Searchlight Cyber dopo la pubblicazione di un proof-of-concept attivo. Le falle, CVE-2025-54253 (esecuzione codice tramite OGNL injection via Struts2) e CVE-2025-54254 (XXE per lettura file arbitrari), consentono RCE non autenticata tramite l’interfaccia /adminui e i servizi SOAP. Adobe ha ricevuto disclosure il 28 aprile 2025, ma ha rilasciato patch solo dopo oltre 90 giorni, con fix descritti nell’advisory APSB25-82. L’esposizione di sistemi vulnerabili ha spinto numerose organizzazioni a disconnettere temporaneamente AEM Forms da internet o ad applicare hotfix immediati. La modalità sviluppatore deve essere disabilitata per limitare la superficie d’attacco.
Firmware Dell vulnerabile: attacco ai chip Broadcom
Milioni di PC Dell con chip Broadcom BCM5820X sono risultati vulnerabili a una serie di exploit critici (CVE-2025-24311, -25215, -24922, -25050, -24919) che consentono il takeover completo del sistema. I dispositivi affetti includono oltre 100 modelli Latitude e Precision, in particolare quelli con il modulo ControlVault3. Gli attacchi sfruttano deserializzazione non sicura in API Windows e manipolazioni fisiche via porta USB che compromettono il modulo fingerprint, permettendo l’autenticazione fraudolenta. Le vulnerabilità sono state rivelate in DSA-2025-053 il 13 giugno 2025, mentre Cisco Talos e Dell affermano che non risultano exploit attivi in-the-wild. In ambienti ad alto rischio, Dell raccomanda la disattivazione del login biometrico e l’abilitazione del chassis intrusion alert. Le patch sono distribuite tramite Windows Update e tool di deployment automatizzato.
Aggiornamenti CISA al catalogo vulnerabilità note
La CISA ha aggiunto al catalogo Known Exploited Vulnerabilities (KEV) tre flaw critici attivamente sfruttati in dispositivi D-Link legacy: CVE-2020-25078, CVE-2020-25079 (command injection) e CVE-2022-40799 (code download senza validazione). I modelli affetti includono videocamere DCS-2530L e DCS-2670L, e il sistema DNR-322L.
- CVE-2020-25078 D-Link DCS-2530L and DCS-2670L Devices Unspecified Vulnerability
- CVE-2020-25079 D-Link DCS-2530L and DCS-2670L Command Injection Vulnerability
- CVE-2022-40799 D-Link DNR-322L Download of Code Without Integrity Check Vulnerability
Questi dispositivi, spesso ancora in uso in reti aziendali e governative, rappresentano vettori privilegiati per attacchi mirati. Il documento BOD 22-01 impone la mitigazione obbligatoria per agenzie federali FCEB entro scadenze precise. CISA raccomanda a tutte le organizzazioni di adottare politiche di aggiornamento simili anche al di fuori del perimetro federale, con verifiche delle versioni e rimozione di dispositivi non più supportati.
Advisory ICS: rischi su ICONICS e Mitsubishi Electric
Il 5 agosto 2025, CISA ha pubblicato due nuovi ICS advisory dedicati a vulnerabilità in prodotti ICONICS e Mitsubishi Electric, aziende leader nel settore automazione industriale. Sebbene i dettagli tecnici non siano presenti nei sommari, i documenti evidenziano possibili exploit RCE e DoS in ambienti critici per la produzione, l’energia e i trasporti.
- ICSA-25-217-01 Mitsubishi Electric Iconics Digital Solutions Multiple Products
- ICSA-25-217-02 Tigo Energy Cloud Connect Advanced
Le mitigazioni proposte includono segmentazione delle reti, autenticazione avanzata, e patch prioritarie. CISA sottolinea che la mancata applicazione tempestiva può comportare disruption operativa, sabotaggio fisico o danni reputazionali. Queste advisory si inseriscono nel piano di monitoraggio proattivo delle minacce ICS da parte del governo federale.
Cursor IDE e McPoison: RCE persistente via Git
Check Point Research ha identificato una vulnerabilità critica denominata McPoison (CVE-2025-54136, CVSS 7.2) in Cursor IDE, piattaforma AI-based integrata con LLM esterni come Claude di Anthropic. La falla consente esecuzione di codice remoto persistente manipolando i file mcp.json usati per definire il comportamento di progetti Git condivisi. Gli attaccanti approfittano della fiducia iniziale per inserire MCP benigni e successivamente sostituirli con payload malevoli senza richiedere ri-approvazione. Questo genera una persistenza stealth che si attiva ogni volta che il progetto viene aperto. Cursor ha corretto il problema nella versione 1.3 del 29 luglio 2025, obbligando la re-approvazione anche per modifiche minime come spazi o indentazioni. Backslash Security, HiddenLayer e Aim Labs hanno segnalato vulnerabilità aggiuntive nella stessa piattaforma, incluse tecniche per bypassare denylist e avviare comandi remoti, sottolineando l’urgenza di aggiornare a Cursor ≥1.3. Le advisory associate (GHSA-24mc-g4xr-4395) evidenziano le debolezze della supply chain AI-driven, dove IDE e moduli LLM sono punti di compromissione potenziale.
Supply chain AI e attacchi avanzati
L’esempio McPoison evidenzia come gli ambienti di sviluppo AI, integrati con repository Git e LLM esterni, siano vulnerabili a attacchi di tipo prompt injection, model poisoning e OS command injection. Il rischio è accentuato dalla mancanza di audit granulari sulle modifiche ai progetti condivisi, che può portare a persistenza silenziosa e data exfiltration. Le organizzazioni che utilizzano IDE AI devono monitorare la supply chain software, applicare patch in tempo reale e valutare il rischio di dipendenze non verificate. La CVE-2025-54136 presenta un vettore di rete (AV:N), bassa complessità di attacco (AC:L), alti impatti su confidenzialità, integrità e disponibilità (C:H/I:H/A:H), ed è classificata come OS command injection (CWE-78). La tecnica sfrutta Git pull automatico e trust iniziale per mantenere accesso persistente. L’exploit dimostra quanto strumenti collaborativi AI rappresentino un nuovo punto critico della superficie d’attacco moderna.
