Nel mese di ottobre 2025, Cisco Talos ha identificato una serie di vulnerabilità critiche che interessano OpenPLC, router industriali Planet WGR-500 e numerosi prodotti Cisco, tra cui RoomOS, telefoni SIP e il motore di ispezione Snort 3. Le falle espongono sistemi industriali, reti aziendali e infrastrutture di sicurezza a rischi di denial-of-service, command injection e information disclosure, evidenziando come la superficie d’attacco dell’ecosistema IoT e IT si stia ampliando in modo esponenziale. Gli attaccanti possono sfruttare connessioni TCP e richieste HTTP malformate per bloccare dispositivi, ottenere l’esecuzione di comandi arbitrari o accedere a dati sensibili. Le patch sono già state rilasciate, ma la finestra di esposizione rimane ampia per i sistemi non aggiornati.
Denial-of-service nel server ModbusTCP di OpenPLC
La vulnerabilità CVE-2025-53476, tracciata da Talos come TALOS-2025-2223, interessa OpenPLC_v3, una piattaforma open source diffusa nell’automazione industriale e nella ricerca. Il difetto risiede nella gestione delle connessioni TCP del server ModbusTCP, dove una sequenza di connessioni crafted può causare denial-of-service totale. Gli attaccanti, inviando pacchetti multipli da remoto senza autenticazione, saturano le risorse del server impedendo l’elaborazione delle richieste Modbus legittime. Il risultato è il blocco completo dei processi di automazione, con impatti diretti su impianti e sistemi di controllo. Talos raccomanda di monitorare le porte Modbus, limitare le connessioni per IP tramite firewall e aggiornare il codice sorgente con le patch pubblicate. Il caso OpenPLC sottolinea la vulnerabilità dei protocolli legacy come ModbusTCP, che continuano a essere integrati in ambienti industriali senza adeguate misure di hardening.
Command injection e buffer overflow nei router Planet WGR-500
I router industriali Planet WGR-500, utilizzati in reti IoT, trasporti e infrastrutture pubbliche, risultano affetti da sei vulnerabilità gravi (da CVE-2025-54399 a CVE-2025-54406), catalogate da Talos come TALOS-2025-2226 a TALOS-2025-2229. Tra queste, un buffer overflow stack-based nel componente formPingCmd consente il crash del dispositivo o l’esecuzione di codice remoto via richieste HTTP malevoli. Altre due vulnerabilità (CVE-2025-54403 e CVE-2025-54404) permettono command injection nel modulo swctrl, consentendo a un attaccante remoto di prendere il controllo del router. Una format string vulnerability (CVE-2025-48826) nello stesso form introduce corruzione di memoria, amplificando l’impatto. L’exploit avviene attraverso richieste HTTP crafted a endpoint esposti, spesso raggiungibili da Internet. Talos conferma che il compromesso può portare alla perdita totale di controllo delle reti industriali. Planet ha rilasciato patch firmware correttive e invita gli amministratori a disabilitare funzioni di ping non necessarie, segmentare le reti e isolare i router vulnerabili. Le analisi di Talos sui binari firmware rivelano pattern di injection ricorrenti, segno di scarsa sanitizzazione degli input.
Information disclosure in Cisco RoomOS
Una vulnerabilità classificata come CVE-2025-20329 interessa i sistemi Cisco TelePresence e RoomOS Software, con livello di severità medio (CVSS 4.9) e classificazione CWE-532. Il difetto, documentato nell’advisory cisco-sa-roomos-inf-disc-qGgsbxAm, causa inserimento di informazioni sensibili nei log, potenzialmente accessibili da utenti con privilegi elevati. Tra i dati esposti possono figurare credenziali, token di sessione o configurazioni interne. Sebbene l’exploit richieda accesso amministrativo, il rischio è rilevante per ambienti enterprise in cui i log vengono centralizzati o esportati su sistemi condivisi. Cisco non ha rilasciato workaround, ma invita a installare gli aggiornamenti ufficiali e implementare una rotazione periodica dei log, limitando i privilegi amministrativi e verificando la versione firmware installata. L’incidente evidenzia l’importanza della gestione sicura dei log, spesso sottovalutata nei contesti di collaborazione remota.
Denial-of-service nei telefoni Cisco SIP
Due vulnerabilità, CVE-2025-20350 e CVE-2025-20351, affliggono i Cisco IP Phone 7800, 8800 e Video Phone 8875 con SIP Software, come riportato nell’advisory cisco-sa-phone-dos-FPyjLV7A. Entrambe ottengono un punteggio CVSS 7.5 e consentono un denial-of-service remoto tramite pacchetti SIP malevoli. Gli attaccanti, inviando pacchetti crafted senza autenticazione, possono provocare il crash dei dispositivi e l’interruzione dei servizi VoIP aziendali. Le falle derivano rispettivamente da un buffer overflow (CWE-121) e da un cross-site scripting (CWE-79). Cisco ha rilasciato patch risolutive e raccomanda di aggiornare immediatamente il firmware, limitare le porte SIP esposte a Internet e monitorare il traffico anomalo. Nessuna exploitation è stata ancora segnalata, ma la semplicità dell’attacco lo rende un vettore potenziale per campagne di disruption su larga scala.
Vulnerabilità MIME DoS in Snort 3
Un’ulteriore vulnerabilità, tracciata come CVE-2025-20359 e CVE-2025-20360, riguarda Cisco Snort 3, motore di intrusion detection e prevenzione integrato in firewall e appliance di sicurezza. I difetti, con severità media (CVSS 6.5), derivano da un buffer under-read (CWE-127) e un buffer access errato (CWE-805) durante l’elaborazione dei file MIME. L’invio di pacchetti MIME malformati può causare interruzione del servizio di ispezione (DoS parziale), riducendo la capacità di rilevamento delle minacce. L’advisory cisco-sa-snort3-mime-vulns-tTL8PgVH spiega che la falla non consente escalation di privilegi, ma compromette temporaneamente la disponibilità del sistema. Cisco ha già rilasciato aggiornamenti correttivi e invita i team di sicurezza a validare le regole Snort, monitorare gli alert correlati e aggiornare i moduli di parsing MIME. Anche in questo caso, non sono stati segnalati exploit attivi, ma la natura del bug lo rende attraente per attacchi di evasione.
Tendenze e implicazioni per l’ecosistema IoT-industriale
Le vulnerabilità emerse in ottobre 2025 riflettono un trend crescente di rischio negli ambienti OT e IoT, dove la convergenza tra sistemi industriali e reti IT aumenta la superficie d’attacco. Dalla command injection nei router ai crash dei PLC open-source, fino alla interruzione dei telefoni e firewall Cisco, emerge una costante: la scarsa segmentazione delle reti e la mancata applicazione tempestiva delle patch restano fattori determinanti nel successo degli attacchi. Le organizzazioni industriali dovrebbero rafforzare la sicurezza adottando filtri a livello di rete, monitoraggio dei log in tempo reale, aggiornamento continuo dei firmware e policy di segregazione tra sistemi di controllo e IT. La collaborazione tra vendor, CERT e centri di risposta nazionali sarà cruciale per mitigare exploit che, pur partendo da bug tecnici, possono avere impatti operativi concreti sulle infrastrutture critiche.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU...
