Compromissioni SonicWall SSLVPN, vulnerabilità AWS FreeRTOS-Plus-TCP e 7-Zip: rischio RCE

di Redazione
0 commenti

Una nuova ondata di segnalazioni di sicurezza mette in allarme aziende e amministrazioni pubbliche: Huntress ha scoperto una compromissione su larga scala dei dispositivi SonicWall SSLVPN, mentre AWS ha corretto vulnerabilità nello stack FreeRTOS-Plus-TCP e 7-Zip ha rilasciato un aggiornamento urgente per risolvere falle che consentono l’esecuzione di codice remoto. Tre episodi apparentemente distinti, ma uniti da un filo comune: l’abuso sistematico di componenti di rete e software ampiamente diffusi, che trasformano strumenti di protezione o produttività in vettori di intrusione.

Compromissione dei dispositivi SonicWall

Secondo l’analisi di Huntress, la compromissione dei firewall SonicWall SSLVPN è iniziata il 4 ottobre con un’ondata di accessi simultanei e coordinati provenienti da indirizzi IP sospetti, in particolare dal 202.155.8.73. Gli attaccanti, in possesso di credenziali valide, hanno potuto autenticarsi rapidamente su oltre cento account distribuiti in sedici ambienti aziendali. Alcuni accessi si sono interrotti dopo pochi minuti, altri hanno portato a scansioni di rete interne e tentativi di accesso ai sistemi Windows locali, segno di una ricognizione mirata. Il problema risale all’accesso non autorizzato ai file di backup cloud di SonicWall, che contengono dati di configurazione e credenziali crittate. L’azienda ha ampliato il proprio advisory di sicurezza, estendendo le verifiche a tutti i clienti che utilizzano il servizio di backup automatizzato su MySonicWall. Gli amministratori di rete sono stati invitati a ripristinare tutte le credenziali e le chiavi VPN, a revocare le autorizzazioni LDAP, RADIUS e TACACS+ e a limitare l’accesso remoto fino a completamento delle indagini.

image 346
Compromissioni SonicWall SSLVPN, vulnerabilità AWS FreeRTOS-Plus-TCP e 7-Zip: rischio RCE 7

Le analisi di Huntress rivelano che gli attori della minaccia non sembrano legati direttamente a incidenti precedenti, ma operano sfruttando credenziali legittime ottenute da archivi esterni o da repository di backup compromessi. In alcuni casi, i log mostrano l’uso di autenticazioni clusterizzate, che rendono difficile distinguere l’attività malevola da quella amministrativa legittima. SonicWall raccomanda di abilitare l’autenticazione multifattore per tutti gli account amministrativi, di monitorare i log di accesso per eventuali anomalie e di verificare ogni configurazione di rete modificata dopo la data dell’incidente.

Vulnerabilità in FreeRTOS-Plus-TCP

Parallelamente, Amazon Web Services ha segnalato tre vulnerabilità classificate come importanti nel modulo FreeRTOS-Plus-TCP, utilizzato in migliaia di dispositivi embedded e sistemi IoT. I difetti di sicurezza riguardano il gestore IPv6, dove errori di parsing nei pacchetti ICMPv6 e UDP possono causare over-read di memoria e dereferenziazioni di puntatori invalidi. Questi errori, se opportunamente sfruttati, consentono a un attaccante remoto di provocare crash del dispositivo, leak di memoria o potenzialmente di eseguire codice arbitrario. Le versioni vulnerabili spaziano dalla 4.0.0 alla 4.3.3, mentre la release 4.3.4 risolve definitivamente i problemi. AWS consiglia di applicare immediatamente la patch, soprattutto nei dispositivi con IPv6 attivo, che rappresentano il principale vettore d’attacco. Nonostante al momento non siano stati osservati exploit pubblici, l’impatto potenziale è notevole perché FreeRTOS-Plus-TCP costituisce la base di numerosi sistemi industriali, medicali e di automazione. Gli esperti sottolineano come questi difetti mettano in evidenza la fragilità delle infrastrutture IoT moderne, spesso composte da componenti open-source integrati in catene di fornitura complesse e difficili da aggiornare. La priorità per le aziende è verificare le dipendenze di rete nei firmware in uso e disabilitare protocolli o moduli non necessari, riducendo così la superficie di attacco.

7-Zip e il rischio di esecuzione remota

Anche il popolare software di compressione 7-Zip è stato coinvolto in un avviso di sicurezza urgente. Due vulnerabilità, catalogate come CVE-2025-11001 e CVE-2025-11002, permettono a un aggressore di inserire file dannosi fuori dalla directory di estrazione, sfruttando link simbolici malevoli in archivi ZIP creati ad hoc. L’utente, semplicemente aprendo o estraendo il file, può attivare l’esecuzione di codice arbitrario con i propri privilegi di sessione. Il difetto, scoperto da Trend Micro Zero Day Initiative, deriva da un’errata gestione dei percorsi relativi all’interno degli archivi, una debolezza già emersa con la precedente CVE-2025-0411, che consentiva il bypass del Mark-of-the-Web di Windows. Gli sviluppatori hanno rilasciato la versione 25 di 7-Zip, che corregge definitivamente il problema e impedisce l’esecuzione di codice da percorsi non autorizzati. L’incidente dimostra come anche strumenti d’uso quotidiano possano diventare veicoli d’attacco per campagne di ingegneria sociale, soprattutto quando i file vengono distribuiti via email o piattaforme di collaborazione. Gli esperti raccomandano di aprire archivi solo da fonti verificate e di aggiornare immediatamente tutte le installazioni di 7-Zip, incluse quelle distribuite in ambienti aziendali automatizzati.

Un ecosistema sotto pressione

La simultaneità di questi eventi mette in luce un panorama di minacce sempre più frammentato ma interconnesso. La compromissione di SonicWall colpisce l’infrastruttura di accesso remoto su cui molte aziende basano la propria sicurezza, mentre le vulnerabilità di FreeRTOS evidenziano la fragilità dei dispositivi IoT che popolano reti industriali e sanitarie. Allo stesso tempo, il caso 7-Zip ricorda che la catena del rischio non si limita ai prodotti enterprise, ma include anche i software consumer e gli strumenti più comuni. Il filo conduttore è la necessità di una gestione continua delle patch, di controlli sull’integrità dei backup e di una strategia di autenticazione forte e granulare. Ogni ritardo nell’aggiornamento, ogni password non ruotata, ogni dispositivo dimenticato su una subnet remota può trasformarsi in una porta d’ingresso. Le indagini di Huntress e i bollettini di AWS e Trend Micro convergono su un punto: il fattore tempo è decisivo. La velocità con cui vengono applicate le contromisure determina oggi la differenza tra un’intrusione contenuta e una compromissione diffusa.