Le nuove vulnerabilità di sicurezza emerse nelle ultime settimane mettono in allerta reti domestiche, imprese e infrastrutture critiche. I rischi riguardano i router DrayTek Vigor, un pacchetto malevolo distribuito su PyPI, sistemi industriali colpiti da difetti in prodotti Hitachi Energy e Raise3D, oltre a un aggiornamento del catalogo Known Exploited Vulnerabilities (KEV) di CISA che aggiunge cinque falle attivamente sfruttate. A completare il quadro, i dati diffusi da HackerOne evidenziano un incremento senza precedenti nei programmi di bug bounty, con particolare attenzione alle minacce AI e alle tecniche di prompt injection. Questi eventi delineano uno scenario di minacce variegato che impone interventi tempestivi di patching, aggiornamento firmware e monitoraggio continuo delle infrastrutture.
Cosa leggere
La falla RCE nei router DrayTek
Il caso più grave riguarda la vulnerabilità CVE-2025-10547 scoperta nei router DrayTek Vigor, causata da un valore di stack non inizializzato che permette agli attaccanti di innescare la funzione free() su locazioni arbitrarie di memoria. Questa condizione apre la strada a corruzione della memoria, crash di sistema e potenziale esecuzione di codice remoto. L’exploit avviene tramite richieste HTTP o HTTPS craftate inviate al WebUI dei router, accessibile sia da LAN che da WAN se non opportunamente configurato. I modelli colpiti includono Vigor1000B, Vigor2962, Vigor2135, Vigor2763, Vigor2915, Vigor2862, Vigor2926, Vigor2952, Vigor2860, Vigor2133 e VigorLTE 200n. DrayTek ha rilasciato aggiornamenti firmware specifici, raccomandando di portare i dispositivi alle versioni più recenti (ad esempio 4.4.3.6 o 4.5.1 a seconda del modello). L’azienda consiglia inoltre l’uso di ACL e VLAN per limitare esposizioni, il monitoraggio dei log e la disabilitazione del WebUI su WAN quando non strettamente necessario. Sebbene non siano stati osservati exploit attivi, la criticità della falla rende urgente l’applicazione delle patch.
Malware nel pacchetto PyPI soopsocks
Parallelamente, ricercatori di JFrog hanno individuato una backdoor nascosta nel pacchetto soopsocks distribuito su PyPI. Il malware crea un server proxy SOCKS5 non autenticato, installandosi come servizio Windows persistente (SoopSocksSvc) e generando un task pianificato per garantirsi l’esecuzione automatica. L’infezione aggiunge regole firewall per aprire la porta 1080, sfrutta PowerShell nascosto per bypass UAC ed effettua attività di ricognizione di rete. Ogni 30 secondi, il pacchetto invia informazioni a un webhook Discord, rendendo i sistemi compromessi potenziali nodi di una rete di proxy malevoli. Le versioni più recenti hanno semplificato la distribuzione con executable unici, sfruttando VBS per ambienti legacy e integrando Python portable in cartelle di sistema. Gli indicatori di compromissione diffusi includono file come _autorun.exe e _autorun.vbs, con hash SHA256 già catalogati. La raccomandazione degli esperti è di evitare l’uso di soopsocks, rimuovere eventuali installazioni sospette e monitorare attentamente task scheduler, servizi e traffico di rete.
Nuove vulnerabilità in catalogo CISA KEV
La CISA ha aggiunto cinque nuove vulnerabilità di sicurezza al catalogo KEV, imponendo alle agenzie federali statunitensi la remediation entro il 23 ottobre. Tra queste spiccano CVE-2025-32463 in Sudo, che consente escalation di privilegi tramite improper authentication, e CVE-2025-10035 in Fortra GoAnywhere MFT, che permette SQL injection ed esecuzione di codice remoto. Due vulnerabilità colpiscono prodotti Cisco: CVE-2025-20333 su Adaptive Security Appliance e CVE-2025-20362 su Firepower Threat Defense, entrambe con rischio RCE. Infine, CVE-2025-20252 in Juniper ScreenOS consente injection di comandi arbitrari.
- CVE-2014-6278 GNU Bash OS Command Injection Vulnerability
- CVE-2015-7755 Juniper ScreenOS Improper Authentication Vulnerability
- CVE-2017-1000353 Jenkins Remote Code Execution Vulnerability
- CVE-2025-4008 Smartbedded Meteobridge Command Injection Vulnerability
- CVE-2025-21043 Samsung Mobile Devices Out-of-Bounds Write Vulnerability
CISA ha evidenziato come queste falle siano già sfruttate attivamente, con potenziali impatti gravi su software enterprise e reti aziendali. Le indicazioni operative includono l’applicazione immediata delle patch rilasciate dai vendor, la segmentazione delle reti e l’audit continuo delle configurazioni.
Advisories ICS per sistemi industriali
In parallelo, CISA ha pubblicato due advisories ICS riguardanti sistemi industriali. La prima, ICSA-25-275-02, riguarda prodotti Hitachi Energy MSM, affetti da un problema di autenticazione impropria che consente accessi non autorizzati. La seconda, ICSA-25-275-01, colpisce le stampanti 3D Raise3D Pro2 Series, vulnerabili a path traversal e command injection che permettono l’esecuzione di codice arbitrario. Sebbene i CVE non siano stati assegnati, entrambi i vendor hanno rilasciato aggiornamenti firmware correttivi.
- ICSA-25-275-01 Raise3D Pro2 Series 3D Printers
- ICSA-25-275-02 Hitachi Energy MSM Product
Le raccomandazioni di CISA comprendono l’aggiornamento immediato dei dispositivi, la segmentazione delle reti industriali e il monitoraggio attivo di eventuali anomalie. Queste vulnerabilità evidenziano ancora una volta la fragilità del settore ICS/OT, in cui anche dispositivi di nicchia possono rappresentare un punto di ingresso per attacchi più ampi.
Trend bug bounty e sicurezza AI
Un elemento significativo di questo scenario è rappresentato dai dati diffusi da HackerOne, che nel 2025 ha distribuito 81 milioni di dollari in bug bounties a ricercatori di sicurezza. Con 1.950 programmi attivi, la piattaforma ha visto un incremento del 13% rispetto all’anno precedente, con i primi 100 programmi che da soli hanno distribuito 51 milioni. La crescita più evidente riguarda però le vulnerabilità legate all’intelligenza artificiale: i programmi che includono AI nei propri scope sono aumentati del 270%, con un’esplosione delle segnalazioni di prompt injection (+540%) e un calo di XSS e SQLi tradizionali. Oltre il 70% dei ricercatori dichiara di utilizzare strumenti AI per condurre attività di hacking, confermando che l’AI sta diventando un fattore centrale tanto nella difesa quanto nell’offesa informatica. Questo trend dimostra come il settore della AI security stia ridefinendo priorità e compensi, trasformando radicalmente il mercato dei bug bounty.
