Sommario
Zoom rilascia aggiornamenti per una vulnerabilità di privilege escalation nei client Windows, mentre Xerox affronta falle in FreeFlow Core che permettono esecuzione remota di codice, e CISA aggiunge tre vulnerabilità attivamente sfruttate al catalogo Known Exploited Vulnerabilities. Fortinet avverte su una falla di command injection in FortiSIEM, sfruttata in attacchi. CISA pubblica anche sette advisory per sistemi di controllo industriali, coinvolgendo fornitori come Johnson Controls e Schneider Electric. Queste minacce impattano imprese globali e mostrano una persistente esposizione a vulnerabilità critiche in software ampiamente diffusi. Patch rapide e misure di mitigazione diventano cruciali per limitare danni operativi, perdite di dati e interruzioni di servizio.
Privilege escalation nei client Zoom per Windows
Zoom corregge CVE-2025-49457, una vulnerabilità classificata con CVSS 9.6, che consente l’escalation di privilegi via rete sfruttando un percorso di ricerca non fidato (untrusted search path). I prodotti colpiti includono Zoom Workplace, VDI, Zoom Rooms, Controller e SDK per Windows in versioni precedenti alla 6.3.10. L’attacco non richiede autenticazione e può essere eseguito da remoto, elevando i diritti dell’attaccante sul sistema della vittima. L’azienda ha pubblicato il bulletin ZSB-25030 con i dettagli tecnici e raccomanda un aggiornamento immediato. La patch viene applicata con la versione 6.3.10, già distribuita, che blocca la vulnerabilità attraverso un miglioramento nei controlli di ricerca del percorso e nella gestione delle dipendenze.
Falle critiche in Xerox FreeFlow Core: XXE e path traversal
Xerox corregge due vulnerabilità distinte nella piattaforma FreeFlow Core:
CVE-2025-8355 sfrutta un attacco XML External Entity (XXE) che può causare Server-Side Request Forgery (SSRF), con un punteggio CVSS 7.5. Colpisce tutte le versioni precedenti alla 8.0.4, risolta tramite patch. CVE-2025-8356 rappresenta un rischio maggiore. È una vulnerabilità path traversal che consente esecuzione remota di codice (RCE) con CVSS 9.8, uno dei punteggi più elevati. Consente a un attaccante di navigare directory non autorizzate ed eseguire comandi arbitrari. La versione correttiva 8.0.4 include sanitizzazione dei path, con controlli avanzati per bloccare accessi anomali. Entrambe le vulnerabilità sono descritte nel bulletin 025-013, che guida gli amministratori alla corretta implementazione delle patch. Le falle emergono da ricerche esterne e sono state replicate in ambienti controllati, evidenziando una facile exploitabilità. L’impatto colpisce infrastrutture corporate, con potenziale per movimenti laterali e furti di dati.
CISA aggiorna il catalogo Known Exploited Vulnerabilities
La Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto tre vulnerabilità al proprio catalogo KEV:
CVE-2013-3893 Microsoft Internet Explorer Resource Management Errors Vulnerability
CVE-2007-0671 Microsoft Office Excel Remote Code Execution Vulnerability
CVE-2025-8088 RARLAB WinRAR Path Traversal Vulnerability
L’inserimento nel catalogo KEV implica che queste falle sono confermate come oggetto di exploit attivo. La BOD 22-01 obbliga tutte le agenzie federali USA a eseguire la remediation entro date stabilite, mentre le organizzazioni private sono invitate a prioritizzare aggiornamenti immediati. Le tre vulnerabilità riflettono un pattern di sfruttamento di falle legacy, con impatti significativi su ambienti che non adottano pratiche di patching tempestivo. CISA mantiene il catalogo costantemente aggiornato grazie alla collaborazione con vendor e intelligence OSINT.
Advisory CISA per infrastrutture industriali critiche
CISA ha pubblicato sette advisory riguardanti vulnerabilità in sistemi di controllo industriale (ICS). I vendor coinvolti includono Johnson Controls, Schneider Electric e AVEVA. Le vulnerabilità identificate toccano componenti critici per il controllo di processi industriali, energetici e infrastrutturali.
- ICSA-25-224-01 Ashlar-Vellum Cobalt, Xenon, Argon, Lithium, Cobalt Share
- ICSA-25-224-02 Johnson Controls iSTAR Ultra, iSTAR Ultra SE, iSTAR Ultra G2, iSTAR Ultra G2 SE, iSTAR Edge G2
- ICSA-25-224-03 Schneider Electric EcoStruxure Power Monitoring Expert
- ICSA-25-224-04 AVEVA PI Integrator
- ICSA-24-263-04 MegaSys Computer Technologies Telenium Online Web Application (Update A)
- ICSA-25-191-10 End-of-Train and Head-of-Train Remote Linking Protocol (Update A)
- ICSMA-25-224-01 Santesoft Sante PACS Server
Gli advisory offrono dettagli tecnici, vettori di attacco, impatti operativi e misure di mitigazione. L’agenzia statunitense incoraggia una review approfondita da parte dei team di sicurezza e una rapida applicazione delle patch fornite dai fornitori. L’obiettivo è prevenire exploit in ambienti OT, dove la sicurezza è storicamente meno aggiornata rispetto all’IT. Il rischio di disruption su larga scala è concreto, con potenziali danni a livello logistico, ambientale o produttivo.
Command injection sfruttata in Fortinet FortiSIEM
Fortinet ha pubblicato un advisory (FG-IR-25-152) riguardante una vulnerabilità di command injection (CWE-78) in FortiSIEM, attivamente sfruttata. La falla consente a un attaccante non autenticato di eseguire comandi via interfaccia CLI manipolata, con la possibilità di ottenere pieno controllo del sistema. Le versioni colpite includono FortiSIEM dalla 6.6 alla 7.3.1, mentre la versione 7.4 è esente. I clienti devono eseguire upgrade ai seguenti rilasci:
7.3 → 7.3.2, 7.2 → 7.2.6, 7.1 → 7.1.8, 7.0 → 7.0.4, 6.7 → 6.7.10.
Fortinet suggerisce anche workaround temporanei, come il blocco della porta 7900 (phMonitor), e fornisce indicatori di compromissione (IOC) per rilevare exploit attivi. L’azienda sta monitorando la diffusione e collabora con esperti esterni per contenere il rischio. La falla permette iniezione di comandi a livello OS, rendendola estremamente pericolosa in contesti SIEM centralizzati.
Confronto tra Zoom, Xerox e Fortinet
Le tre vulnerabilità presentano impatti e vettori distinti:
- Zoom: privilege escalation con CVSS 9.6, colpisce ambienti Windows e client desktop.
- Xerox: RCE e SSRF su FreeFlow Core con CVSS fino a 9.8, in contesto workflow enterprise.
- Fortinet: command injection in FortiSIEM senza CVSS ufficiale, ma con evidenze di exploit in the wild.
Zoom richiede aggiornamento alla versione 6.3.10, Xerox a 8.0.4, mentre Fortinet suggerisce migrazione a versioni sicure con update incrementali. Le tre falle coinvolgono componenti centrali per ambienti enterprise, dai client di comunicazione ai sistemi di orchestrazione e monitoraggio.
Impatto sistemico degli advisory CISA
Gli aggiornamenti di CISA, sia nel catalogo KEV che nei ICS Advisory, indicano un livello crescente di minaccia sulle infrastrutture critiche. Le agenzie federali americane sono obbligate ad attuare patch, ma anche le aziende private sono chiamate a intraprendere azioni preventive. Le vulnerabilità in Excel, Internet Explorer e WinRAR sottolineano come componenti legacy continuino a essere bersaglio privilegiato, mentre le falle ICS espongono punti deboli nei sistemi di controllo e automazione. Le raccomandazioni includono l’adozione del principio del privilegio minimo, l’isolamento dei sistemi vulnerabili, e l’applicazione tempestiva di update vendor-specifici.
Tecniche di mitigazione consigliate
Le strategie efficaci di mitigazione includono:
- Aggiornamenti immediati: Zoom 6.3.10, Xerox 8.0.4, Fortinet FortiSIEM 7.4 e altre versioni sicure.
- Limitazione accessi remoti e blocco porte note (es. 7900 per Fortinet).
- Monitoraggio continuo: log, IOC, traffico di rete anomalo.
- Formazione del personale per riconoscere tentativi di phishing e attacchi mirati.
- Multi-factor authentication, segmentazione delle reti e backup regolari.
Nel caso di Xerox, il path traversal è stato analizzato nel dettaglio. L’attacco sfrutta input manipolati che attraversano directory per eseguire codice malevolo. Il patching ha richiesto l’aggiunta di funzioni di validazione avanzata dei path e ottimizzazione delle librerie di gestione file, migliorando la sicurezza a livello di parsing XML e path sanitization.
