Sommario
L’allerta congiunta di FBI e CISA conferma exploit attivi contro Salesforce e l’ambiente industriale DELMIA Apriso, delineando uno scenario in cui CRM cloud e sistemi OT/ICS diventano bersagli complementari nelle campagne di furto dati ed estorsione. Gruppi come UNC6040 e UNC6395 sfruttano vishing e token OAuth per violare istanze Salesforce e orchestrare export massivi di informazioni sensibili, mentre la vulnerabilità CVE-2025-5086 in Apriso abilita esecuzione di codice da remoto in contesti MES/MOM critici. CISA ha aggiunto la falla al KEV e impone rimedi urgenti alle agenzie federali entro 2 ottobre 2025, segnale che l’exploitability non è teorica ma in the wild. Le supply chain del manifatturiero e dell’automotive risultano esposte a interruzioni e spionaggio, con rischi elevati di danni reputazionali e sanzioni GDPR. La difesa efficace richiede MFA resistente al phishing, rotazione tempestiva delle credenziali, controllo stretto delle Connected Apps e segmentazione tra domini IT, SaaS e OT, supportata da telemetria API e use case SIEM mirati.
Panoramica delle minacce: CRM e OT sotto attacco
Il quadro operativo mostra una convergenza tra tecniche di social engineering e abuso di fiducia machine-to-machine. Sul fronte Salesforce gli attori creano sessioni persistenti tramite OAuth per aggirare MFA e policy di accesso, sfruttando la ricchezza di integrazioni SaaS come moltiplicatore della superficie d’attacco. Sul fronte OT/ICS la vulnerabilità CVE-2025-5086 in DELMIA Apriso riguarda componenti che orchestrano workflow produttivi, con rischio di sabotaggio o fermo impianto. Le due direttrici si rafforzano a vicenda: un furto di dati CRM abilita movimenti laterali verso ambienti back-office e supply, mentre un’intrusione OT genera leva per estorsioni e minacce di leak.
Salesforce: catena d’attacco tra vishing e OAuth
Gli attaccanti spingono vishing credibile verso service desk e utenti privilegiati, fingendo escalation di supporto o incidenti con app connesse. La vittima viene indotta ad approvare una Connected App malevola o a concedere scopi OAuth eccessivi a integrazioni note, generando token che consentono query SOQL e uso di Bulk/REST API per esfiltrare record account, contatti, ticket e, nei casi peggiori, segreti operativi come chiavi cloud o token d’accesso a data platform. La natura API-first della piattaforma consente automazione: gli attori impiegano script Python o varianti del Data Loader per dump ad alta velocità, cancellano job e riducono tracce nei log applicativi. Il risultato è un time-to-exfiltration misurato in minuti, non in giorni.
UNC6040 e UNC6395: tattiche, tecniche, procedure
UNC6040 si specializza nel vishing che imita flussi di IT support, sfruttando spoofing del chiamante e terminologia Salesforce per apparire legittimo. Il gruppo privilegia approvazioni su login.salesforce.com/setup/connect o portali simili, quindi orchestra export progressivi per non generare picchi anomali. UNC6395 preferisce token OAuth rubati tramite integrazioni terze parti e compromissione di repository: i refresh token alimentano accessi duraturi su più tenant, con pivot verso strumenti di marketing e supporto integrati. Entrambi adottano proxy residenziali e, quando necessario, TOR per offuscare geolocalizzazione e pattern IP.
ShinyHunters e minaccia estorsiva a catena
Dopo il furto dati i gruppi o i loro affiliati avviano richieste di riscatto con minaccia di pubblicazione su data leak site. L’ecosistema ShinyHunters continua a utilizzare canali Telegram e contatti TLP:CLEAR per massimizzare l’impatto psicologico. Annunci di pausa operativa non devono essere intesi come fine delle attività: gli attori riemergono con identità mutate, riutilizzando token, TTP e contatti esistenti. Le organizzazioni devono considerare persistenza, ri-uso dei dati e follow-on attacks anche a mesi di distanza dal primo evento.
DELMIA Apriso (CVE-2025-5086): impatto OT e RCE
Nel perimetro OT, la deserializzazione di dati non attendibili in DELMIA Apriso abilita RCE e compromette componenti MOM/MES che coordinano ordini di produzione, WIP, qualità e tracciabilità. L’inclusione nel KEV certifica sfruttamento attivo e impone remediation rapida nelle reti federali USA, ma il rischio è globale, soprattutto dove Apriso dialoga con ERP, PLC e gateway su segmenti di rete con policy permissive. In molte architetture legacy i server Apriso condividono credential vault o service account usati anche per interfacce ERP, amplificando il raggio d’azione della compromissione.
Settori colpiti e rischi per supply chain
Manifatturiero e automotive sono i più esposti: la combinazione di CRM violato e MOM/MES vulnerabile consente ricognizione del parco clienti, interruzione delle linee produttive e ricatto basato su impatti operativi e legali. Anche retail, finance, sanità ed education rientrano nel mirino Salesforce per la densità di dati personali e segreti commerciali. La compromissione di un partner a monte può riverberarsi lungo la catena di fornitura, con interruzioni che si propagano tra tier e Paesi.
Indicatori di compromissione e segnali di allarme
Gli IoC ricorrenti includono user-agent anomali come python-requests, IP di egress atipici rispetto al geofencing aziendale, creazione o modifica di Connected Apps fuori orario e incrementi inattesi di query SOQL o Bulk API.
CVE-2025-5086 Dassault Systèmes DELMIA Apriso Deserialization of Untrusted Data Vulnerability
Nel traffico OT si osservano eccezioni di deserializzazione, stack-trace applicativi e spawn di processi non previsti su host Apriso, spesso in correlazione con HTTP(S) interno proveniente da nodi non mappati. La mancanza di Event Monitoring su Salesforce o di telemetria applicativa su Apriso rende cieco il SOC e allunga il dwell time.
Rimediare entro il 2 ottobre 2025
La scadenza KEV definisce una finestra operativa stretta: le strutture pubbliche federali devono patchare o mitigare CVE-2025-5086 entro 2 ottobre 2025, mentre il settore privato dovrebbe allinearsi agli stessi tempi per ridurre la superficie sfruttabile. La priorità è aggiornare le build Apriso a versioni non vulnerabili, convalidare l’assenza di exposures su segmenti DMZ e revocare eventuali integrazioni non necessarie. Su Salesforce è cruciale revocare e rigenerare token OAuth, ridurre gli scope alle sole necessità e bloccare IP non aziendali su account di servizio.
Governance e compliance: BOD 22-01, GDPR e accountability
Il paradigma BOD 22-01 incentiva una prioritizzazione guidata dall’exploitation reale, utile anche in ambito privato per allocare risorse di patch management. In Europa il GDPR richiede notifica entro 72 ore e misure tecniche e organizzative proporzionate al rischio: la mancata segregazione tra SaaS e OT, l’assenza di MFA resistente e i token senza scadenza possono essere valutati come negligenza con sanzioni e oneri di remediation elevati. La rendicontazione verso board e DPO deve includere inventario asset, stato patch, token revocati e telemetria.
Architetture difensive: zero trust, segmentazione, identità
La riduzione dell’esposizione passa da zero trust applicato: autenticazione forte con FIDO2 per admin e owner delle integrazioni, least privilege sui profili Salesforce, network segmentation tra CRM, app middle-tier e data store, mTLS su canali interni e controlli WAF per terminare traffico HTTP(S). In OT vanno creati zone e conduits per isolare MES/MOM e imporre deny-by-default verso asset non inventariati. La gestione dei secret deve migrare a vault centralizzati con rotazione automatica e audit.
Telemetria e rilevamento: dai log API al SIEM
La telemetria Salesforce deve raccogliere Event Monitoring su login, connected app, Bulk/REST API e modifiche profili, arricchita da geo-IP, ASN e contesto utente. I casi d’uso SIEM devono evidenziare export volumetrici, creazione app fuori finestra, cambi di permessi e login da Paesi non consentiti. In OT occorre centralizzare log applicativi di Apriso e telemetria host, correlando eccezioni di serializzazione, processi figli inattesi e chiamate di rete anomale. La data retention va estesa per coprire indagini retrospettive su mesi, dato che i gruppi mantengono persistenza.
Formazione anti-vishing e resilienza organizzativa
La formazione va tarata su use case reali: simulazioni di vishing che replicano linguaggio e flussi Salesforce, script per verifica del chiamante, divieti di approvazione OAuth al telefono e procedure di escalation verso il SOC. Le funzioni HR e legali devono sincronizzare comunicazioni interne, gestione delle vittime e rapporti con le autorità. L’incident response richiede runbook per revoca token, rotazione credenziali, messa in quarantena di integrazioni e notifica ai clienti potenzialmente impattati.
Piano operativo per aziende italiane
Le imprese in Italia dovrebbero partire da una mappatura delle Connected Apps e degli account di servizio, con revoca immediata dei token non indispensabili e scadenze brevi per quelli critici. È essenziale verificare eventuali integrazioni con Salesloft/Drift o servizi simili e rigenerare tutte le chiavi. Nel manifatturiero vanno patchati i server DELMIA Apriso, isolati in subnet dedicate, coperti da reverse proxy con mTLS e controllati da policy che limitino serializzazione e upload di payload non attesi. La reportistica a DPO e CdA deve quantificare record a rischio, token revocati, stato patch e finestra residua di esposizione.
Prospettive a breve termine
Gli exploit su Salesforce e Apriso tenderanno a persistere, con copycat che replicano TTP pubblici e riusano token sottratti in precedenza. È ragionevole attendersi revoche massificate lato vendor e ulteriori indicatori per la comunità difensiva. Le organizzazioni che anticipano la remediation KEV, stringono gli scope OAuth, impostano FIDO2 per ruoli privilegiati e segmentano il MOM/MES riducono sensibilmente probabilità e impatto di incidenti ripetuti. La riduzione del rischio richiede un playbook continuo su tre assi.
- ICSA-25-254-01 Siemens SIMOTION Tools
- ICSA-25-254-02 Siemens SIMATIC Virtualization as a Service (SIVaaS)
- ICSA-25-254-03 Siemens SINAMICS Drives
- ICSA-25-254-04 Siemens SINEC OS
- ICSA-25-254-05 Siemens Apogee PXC and Talon TC Devices
- ICSA-25-254-06 Siemens Industrial Edge Management OS (IEM-OS)
- ICSA-25-254-07 Siemens User Management Component (UMC)
- ICSA-25-254-08 Schneider Electric EcoStruxure
- ICSA-25-254-09 Schneider Electric Modicon M340, BMXNOE0100, and BMXNOE0110
- ICSA-25-254-10 Daikin Security Gateway
- ICSA-25-035-06 Schneider Electric Modicon M340 and BMXNOE0100/0110, BMXNOR0200H (Update A)
L’asse identità impone MFA resistente al phishing per admin, proprietari di integrazioni e account di servizio, con policy IP restrittive e scadenza breve dei refresh token. L’asse integrazioni prevede inventario completo delle Connected Apps, revoca e rigenerazione dei token OAuth, riduzione degli scope e validazione periodica delle dipendenze; ogni integrazione deve passare da sandbox con telemetria prima della produzione. L’asse OT richiede patch immediata di DELMIA Apriso, segmentazione in zone, mTLS e WAF davanti ai servizi, allowlist tra HMI, server applicativi e ERP, più regole SIEM su eccezioni di deserializzazione, process-spawn e chiamate di rete atipiche. Completano il quadro backup testati, procedure di notifica GDPR, runbook per revoca token e rotazione credenziali post-breach. Solo l’insieme di identity hardening, least privilege, telemetria profonda e patch management entro le deadline KEV rende concreta la riduzione della finestra di esposizione su entrambi i fronti.
