La Cybersecurity and Infrastructure Security Agency (CISA) ha annunciato un rafforzamento della propria collaborazione con i governi statali, locali, tribali e territoriali (SLTT) e l’aggiunta di cinque nuove vulnerabilità sfruttate attivamente al catalogo Known Exploited Vulnerabilities (KEV) di SUDO, Cisco, Fotra e Libraesva. Questi due sviluppi segnano un passo importante nella strategia di difesa cibernetica nazionale degli Stati Uniti, mirando a una protezione più rapida ed efficace delle infrastrutture critiche.
Cosa leggere
Nuovo modello di supporto per i governi SLTT
Dal 30 settembre 2025 termina l’accordo cooperativo tra CISA e il Center for Internet Security (CIS), aprendo la strada a un nuovo modello di supporto diretto ai governi SLTT. L’agenzia fornirà accesso a fondi di sovvenzione, strumenti gratuiti e competenze tecniche avanzate, con l’obiettivo di rafforzare la resilienza locale e rendere i partner veri protagonisti della difesa cibernetica. Il nuovo approccio mette al centro la responsabilità condivisa e la trasparenza, con un’enfasi particolare sulla capacità dei governi locali di affrontare le minacce emergenti. A supporto, CISA promuoverà programmi di formazione mirata, esercitazioni e la diffusione di risorse dedicate, costruendo un ecosistema coordinato tra istituzioni nazionali e territoriali.
Aggiunta di vulnerabilità al catalogo KEV
Parallelamente, l’agenzia ha inserito cinque nuove CVE nel catalogo KEV, sulla base di evidenze di exploitation attiva. Queste vulnerabilità rappresentano vettori di attacco comuni per gli attori malevoli e pongono rischi significativi per le reti federali e non solo.
- CVE-2021-21311 Adminer Server-Side Request Forgery Vulnerability
- CVE-2025-20352 Cisco IOS and IOS XE Stack-based Buffer Overflow Vulnerability
- CVE-2025-10035 Fortra GoAnywhere MFT Deserialization of Untrusted Data Vulnerability
- CVE-2025-59689 Libraesva Email Security Gateway Command Injection Vulnerability
- CVE-2025-32463 Sudo Inclusion of Functionality from Untrusted Control Sphere Vulnerability
La direttiva operativa vincolante BOD 22-01 impone alle agenzie federali civili esecutive (FCEB) di correggere le vulnerabilità entro precise scadenze, ma CISA esorta tutte le organizzazioni, pubbliche e private, ad adottare la stessa prassi di remediation rapida. L’obiettivo è ridurre al minimo la superficie di attacco sfruttabile, limitando il margine di azione per campagne mirate contro infrastrutture critiche e sistemi aziendali.
Vulnerabilità critiche in sudo elevano privilegi
Le vulnerabilità CVE-2025-32462 e CVE-2025-32463 scoperte nel comando sudo permettono a utenti locali di ottenere accesso root su sistemi Linux e Unix-like. Queste falle, individuate da ricercatori di Stratascale e confermate dal maintainer Todd C. Miller, evidenziano rischi di escalation di privilegi che mettono a rischio milioni di dispositivi. Sudo è un componente centrale nelle distribuzioni Linux, usato per lanciare comandi come superuser in base alle regole definite nel file /etc/sudoers. Proprio per il suo ruolo critico nella gestione dei permessi, ogni falla nel suo codice rappresenta un potenziale punto di compromissione con impatti estesi su ambienti desktop, server ed enterprise.
CVE-2025-32462: abuso dell’opzione -h
La vulnerabilità CVE-2025-32462, con punteggio CVSS 2.8, colpisce le versioni di sudo precedenti alla 1.9.17p1. Essa nasce da un errore introdotto nel 2013 con l’opzione -h, che permette di eseguire comandi su host remoti specificati nel file sudoers. Un utente locale può sfruttare questa funzione per eseguire comandi destinati a un altro host direttamente sul sistema locale. In ambienti dove i file sudoers vengono condivisi tra più macchine o gestiti via LDAP, la falla può consentire a un utente di bypassare le policy definite dagli amministratori, trasformando un privilegio limitato in un accesso potenzialmente illimitato.
CVE-2025-32463: abuso dell’opzione chroot
La seconda vulnerabilità, CVE-2025-32463, riceve un punteggio CVSS 9.3 ed è considerata critica. Anche questa colpisce le versioni di sudo precedenti alla 1.9.17p1 e sfrutta l’opzione -R per chroot. Un utente locale può creare un file /etc/nsswitch.conf in una directory arbitraria e forzare sudo a caricare una libreria condivisa malevola. Questa tecnica consente l’esecuzione di comandi come root anche senza che vi siano regole corrispondenti nel file sudoers, rendendo vulnerabile la configurazione predefinita. L’opzione chroot, già considerata problematica, verrà rimossa nelle future release per ridurre il rischio di abusi simili.
Patch e mitigazioni
La versione sudo 1.9.17p1 risolve entrambe le vulnerabilità, rilasciata a seguito della disclosure responsabile avvenuta il 1° aprile 2025. Le distribuzioni Linux hanno già iniziato a distribuire pacchetti aggiornati e raccomandano agli amministratori di procedere con l’aggiornamento immediato.
Oltre alla patch, si consiglia di:
- rivedere le configurazioni di /etc/sudoers, specialmente in ambienti multi-macchina o LDAP-based,
- disabilitare temporaneamente l’opzione chroot se non necessaria,
- monitorare i log di sudo per individuare comportamenti anomali,
- applicare il principio del least privilege per limitare l’uso di sudo ai soli comandi realmente necessari.
Impatto sulle distribuzioni Linux
Le falle interessano tutte le principali distribuzioni, tra cui Ubuntu, Debian e Fedora, che hanno già rilasciato advisory di sicurezza. Poiché sudo è preinstallato in quasi tutti i sistemi Linux, l’esposizione è estremamente ampia. Gli amministratori sono invitati a verificare la versione installata ed eseguire immediatamente l’aggiornamento per ridurre al minimo il rischio di compromissione.
Evoluzione storica e implicazioni
La CVE-2025-32462 è rimasta latente per oltre 12 anni, a dimostrazione di come bug storici possano rimanere inosservati anche in componenti critici. La CVE-2025-32463, invece, evidenzia i rischi derivanti da opzioni poco utilizzate ma comunque disponibili, come chroot. Entrambe le falle sottolineano l’importanza di audit continui, revisione del codice e processi di secure coding nei tool fondamentali del panorama open-source.
Impatto e prospettive future
Il rafforzamento del supporto agli enti locali e l’aggiornamento del catalogo KEV dimostrano la volontà di CISA di rendere più agile ed efficace la difesa cibernetica, puntando su collaborazione, rapidità di intervento e condivisione di intelligence. La combinazione di fondi dedicati, strumenti gratuiti e obblighi normativi segna una convergenza tra prevenzione tecnica e governance. Questa transizione evidenzia inoltre la crescente importanza dei governi SLTT come prima linea di difesa digitale, chiamati a integrare pratiche di cybersecurity allineate a standard federali. Per le organizzazioni private, l’invito a trattare le voci KEV con priorità assoluta è un segnale forte sulla necessità di adottare processi di remediation tempestivi e strutturati.
