Nel mese di ottobre 2025, Cisco Talos ha identificato una serie di vulnerabilità critiche che interessano OpenPLC, router industriali Planet WGR-500 e numerosi prodotti Cisco, tra cui RoomOS, telefoni SIP e il motore di ispezione Snort 3. Le falle espongono sistemi industriali, reti aziendali e infrastrutture di sicurezza a rischi di denial-of-service, command injection e information disclosure, evidenziando come la superficie d’attacco dell’ecosistema IoT e IT si stia ampliando in modo esponenziale. Gli attaccanti possono sfruttare connessioni TCP e richieste HTTP malformate per bloccare dispositivi, ottenere l’esecuzione di comandi arbitrari o accedere a dati sensibili. Le patch sono già state rilasciate, ma la finestra di esposizione rimane ampia per i sistemi non aggiornati.
Cosa leggere
Denial-of-service nel server ModbusTCP di OpenPLC
La vulnerabilità CVE-2025-53476, tracciata da Talos come TALOS-2025-2223, interessa OpenPLC_v3, una piattaforma open source diffusa nell’automazione industriale e nella ricerca. Il difetto risiede nella gestione delle connessioni TCP del server ModbusTCP, dove una sequenza di connessioni crafted può causare denial-of-service totale. Gli attaccanti, inviando pacchetti multipli da remoto senza autenticazione, saturano le risorse del server impedendo l’elaborazione delle richieste Modbus legittime. Il risultato è il blocco completo dei processi di automazione, con impatti diretti su impianti e sistemi di controllo. Talos raccomanda di monitorare le porte Modbus, limitare le connessioni per IP tramite firewall e aggiornare il codice sorgente con le patch pubblicate. Il caso OpenPLC sottolinea la vulnerabilità dei protocolli legacy come ModbusTCP, che continuano a essere integrati in ambienti industriali senza adeguate misure di hardening.
Command injection e buffer overflow nei router Planet WGR-500
I router industriali Planet WGR-500, utilizzati in reti IoT, trasporti e infrastrutture pubbliche, risultano affetti da sei vulnerabilità gravi (da CVE-2025-54399 a CVE-2025-54406), catalogate da Talos come TALOS-2025-2226 a TALOS-2025-2229. Tra queste, un buffer overflow stack-based nel componente formPingCmd consente il crash del dispositivo o l’esecuzione di codice remoto via richieste HTTP malevoli. Altre due vulnerabilità (CVE-2025-54403 e CVE-2025-54404) permettono command injection nel modulo swctrl, consentendo a un attaccante remoto di prendere il controllo del router. Una format string vulnerability (CVE-2025-48826) nello stesso form introduce corruzione di memoria, amplificando l’impatto. L’exploit avviene attraverso richieste HTTP crafted a endpoint esposti, spesso raggiungibili da Internet. Talos conferma che il compromesso può portare alla perdita totale di controllo delle reti industriali. Planet ha rilasciato patch firmware correttive e invita gli amministratori a disabilitare funzioni di ping non necessarie, segmentare le reti e isolare i router vulnerabili. Le analisi di Talos sui binari firmware rivelano pattern di injection ricorrenti, segno di scarsa sanitizzazione degli input.
Information disclosure in Cisco RoomOS
Una vulnerabilità classificata come CVE-2025-20329 interessa i sistemi Cisco TelePresence e RoomOS Software, con livello di severità medio (CVSS 4.9) e classificazione CWE-532. Il difetto, documentato nell’advisory cisco-sa-roomos-inf-disc-qGgsbxAm, causa inserimento di informazioni sensibili nei log, potenzialmente accessibili da utenti con privilegi elevati. Tra i dati esposti possono figurare credenziali, token di sessione o configurazioni interne. Sebbene l’exploit richieda accesso amministrativo, il rischio è rilevante per ambienti enterprise in cui i log vengono centralizzati o esportati su sistemi condivisi. Cisco non ha rilasciato workaround, ma invita a installare gli aggiornamenti ufficiali e implementare una rotazione periodica dei log, limitando i privilegi amministrativi e verificando la versione firmware installata. L’incidente evidenzia l’importanza della gestione sicura dei log, spesso sottovalutata nei contesti di collaborazione remota.
Denial-of-service nei telefoni Cisco SIP
Due vulnerabilità, CVE-2025-20350 e CVE-2025-20351, affliggono i Cisco IP Phone 7800, 8800 e Video Phone 8875 con SIP Software, come riportato nell’advisory cisco-sa-phone-dos-FPyjLV7A. Entrambe ottengono un punteggio CVSS 7.5 e consentono un denial-of-service remoto tramite pacchetti SIP malevoli. Gli attaccanti, inviando pacchetti crafted senza autenticazione, possono provocare il crash dei dispositivi e l’interruzione dei servizi VoIP aziendali. Le falle derivano rispettivamente da un buffer overflow (CWE-121) e da un cross-site scripting (CWE-79). Cisco ha rilasciato patch risolutive e raccomanda di aggiornare immediatamente il firmware, limitare le porte SIP esposte a Internet e monitorare il traffico anomalo. Nessuna exploitation è stata ancora segnalata, ma la semplicità dell’attacco lo rende un vettore potenziale per campagne di disruption su larga scala.
Vulnerabilità MIME DoS in Snort 3
Un’ulteriore vulnerabilità, tracciata come CVE-2025-20359 e CVE-2025-20360, riguarda Cisco Snort 3, motore di intrusion detection e prevenzione integrato in firewall e appliance di sicurezza. I difetti, con severità media (CVSS 6.5), derivano da un buffer under-read (CWE-127) e un buffer access errato (CWE-805) durante l’elaborazione dei file MIME. L’invio di pacchetti MIME malformati può causare interruzione del servizio di ispezione (DoS parziale), riducendo la capacità di rilevamento delle minacce. L’advisory cisco-sa-snort3-mime-vulns-tTL8PgVH spiega che la falla non consente escalation di privilegi, ma compromette temporaneamente la disponibilità del sistema. Cisco ha già rilasciato aggiornamenti correttivi e invita i team di sicurezza a validare le regole Snort, monitorare gli alert correlati e aggiornare i moduli di parsing MIME. Anche in questo caso, non sono stati segnalati exploit attivi, ma la natura del bug lo rende attraente per attacchi di evasione.
Tendenze e implicazioni per l’ecosistema IoT-industriale
Le vulnerabilità emerse in ottobre 2025 riflettono un trend crescente di rischio negli ambienti OT e IoT, dove la convergenza tra sistemi industriali e reti IT aumenta la superficie d’attacco. Dalla command injection nei router ai crash dei PLC open-source, fino alla interruzione dei telefoni e firewall Cisco, emerge una costante: la scarsa segmentazione delle reti e la mancata applicazione tempestiva delle patch restano fattori determinanti nel successo degli attacchi. Le organizzazioni industriali dovrebbero rafforzare la sicurezza adottando filtri a livello di rete, monitoraggio dei log in tempo reale, aggiornamento continuo dei firmware e policy di segregazione tra sistemi di controllo e IT. La collaborazione tra vendor, CERT e centri di risposta nazionali sarà cruciale per mitigare exploit che, pur partendo da bug tecnici, possono avere impatti operativi concreti sulle infrastrutture critiche.
