Durante Pwn2Own Ireland 2025, ricercatori di sicurezza hanno dimostrato come vulnerabilità critiche possano trasformarsi in strumenti di compromissione globale, colpendo dispositivi, piattaforme e software di gestione aziendale. Le falle scoperte nel Samsung Galaxy S25, in Adobe Magento e nel Lanscope Endpoint Manager hanno rivelato un panorama di rischio trasversale, dove anche sistemi apparentemente solidi restano esposti a exploit sofisticati.
Cosa leggere
Hack al Samsung Galaxy S25
Nel secondo giorno della competizione, i ricercatori Ken Gannon del Mobile Hacking Lab e Dimitrios Valsamaras del team Summoning hanno eseguito un exploit concatenato di cinque vulnerabilità zero-day sul Samsung Galaxy S25, ottenendo pieno controllo del dispositivo e vincendo 45.850 euro insieme a cinque punti “Master of Pwn”. L’attacco ha dimostrato la fragilità anche dei dispositivi flagship più recenti, evidenziando la complessità crescente del software mobile. La gara, ospitata a Cork dal 21 al 24 ottobre, ha coinvolto i principali produttori: Samsung, Apple e Google, con test su Galaxy S25, iPhone 16 e Pixel 9. I ricercatori hanno mostrato come sia possibile sfruttare vulnerabilità via USB, Wi-Fi, Bluetooth e NFC, includendo anche scenari di accesso fisico a telefoni bloccati. La manifestazione, co-sponsorizzata da Meta, Synology e QNAP, ha distribuito oltre 726.870 euro nel secondo giorno, con la scoperta di 56 zero-day unici.
La competizione, organizzata dalla Zero Day Initiative (ZDI), impone ai vendor un periodo di 90 giorni per la correzione delle vulnerabilità prima della divulgazione pubblica. Samsung, come da prassi, ha confermato l’integrazione dei fix nelle patch successive, ma gli esperti avvertono che gli utenti restano esposti finché gli aggiornamenti non vengono applicati.
Exploit su Adobe Magento
Parallelamente, la piattaforma Adobe Magento, cuore di migliaia di negozi online, è stata colpita da un exploit che sfrutta la vulnerabilità CVE-2025-54236. Il bug, con punteggio CVSS 9.1, riguarda un’improper input validation che consente l’iniezione di webshell PHP e il takeover di account cliente attraverso la REST API. La società di sicurezza Sansec ha documentato oltre 250 attacchi attivi provenienti da indirizzi IP come 34.227.25.4 e 44.212.43.34, con aggressori che installano backdoor, testano configurazioni tramite comandi phpinfo e sfruttano la gestione di sessione basata su file system, diffusa nelle installazioni predefinite di Magento. Nonostante Adobe abbia rilasciato patch di emergenza l’8 settembre, circa il 62% dei siti resta vulnerabile, un dato che riflette l’inerzia nel processo di aggiornamento di molte piattaforme e-commerce. Il ricercatore Blaklis, responsabile della scoperta, ha sottolineato la somiglianza con la falla “CosmicSting” del 2024, anch’essa dovuta a deserializzazione nidificata e sfruttabile per remote code execution. Proof-of-concept pubblici e hotfix trapelati hanno facilitato nuovi exploit, amplificando i rischi di furto di identità e violazione dei dati. Le aziende colpite stanno implementando contromisure rapide, inclusi sistemi di monitoraggio endpoint e firewall applicativi aggiornati.
Vulnerabilità in Lanscope Endpoint Manager
Sul fronte enterprise, la vulnerabilità CVE-2025-61932 in Motex Lanscope Endpoint Manager ha attirato l’attenzione della CISA, che l’ha aggiunta al Known Exploited Vulnerabilities Catalog. Il bug, con CVSS 9.3, deriva da una verifica impropria della sorgente e consente esecuzione di codice arbitrario tramite pacchetti appositamente craftati. La falla colpisce le versioni 9.4.7.1 e precedenti, impattando client e detection agent on-premise. Motex ha corretto il problema nelle release 9.3.2.7 e successive, ma la CISA ha imposto alle agenzie federali statunitensi la patch obbligatoria entro il 12 novembre, citando prove di exploit attivi in ambiente reale.
CVE-2025-61932 Motex LANSCOPE Endpoint Manager Improper Verification of Source of a Communication Channel Vulnerability
Le implicazioni sono gravi: un attaccante può compromettere endpoint aziendali, alterare comunicazioni interne e distribuire codice malevolo attraverso reti gestite centralmente. Gli esperti raccomandano l’implementazione di EDR avanzati, segmentazione di rete e controllo del traffico anomalo, misure che diventano cruciali in contesti enterprise con infrastrutture distribuite.
Impatto globale e risposte dei vendor
Le tre vulnerabilità dimostrano la convergenza tra ricerca etica e minacce reali. Le competizioni come Pwn2Own costringono i produttori ad accelerare il ciclo di aggiornamento, ma l’esistenza di exploit “in the wild” — come quelli su Magento e Lanscope — rivela quanto il gap tra scoperta e patch sia ancora pericolosamente ampio. Le aziende coinvolte hanno reagito rapidamente: Samsung ha avviato fix firmware, Adobe ha rilasciato patch cumulative per Commerce e Open Source, mentre Motex ha aggiornato le versioni vulnerabili. Tuttavia, il rischio rimane elevato per milioni di utenti e imprese che non applicano gli aggiornamenti tempestivamente. Gli analisti segnalano un aumento di attacchi coordinati contro infrastrutture critiche e settori e-commerce, sfruttando catene di vulnerabilità e configurazioni non aggiornate. Le autorità di sicurezza invitano le organizzazioni a migliorare la gestione delle vulnerabilità e a partecipare ai canali di threat intelligence condivisa per mitigare gli impatti su scala globale.
