QNAP ha emesso un avviso urgente su una vulnerabilità critica in ASP.NET Core che espone i sistemi Windows connessi ai propri NAS, mentre emergono notizie di un breach in Iran ai danni della Ravin Academy, un centro di formazione cyber legato al Ministero dell’Intelligence, e X (ex Twitter) impone un reset generale delle passkey dopo la migrazione del dominio. In parallelo, Jen Easterly, ex direttrice della CISA, sostiene che l’intelligenza artificiale segnerà la fine dell’attuale paradigma di sicurezza informatica, trasformando la qualità del software nella vera linea di difesa contro le minacce globali.
Cosa leggere
Vulnerabilità critica in ASP.NET Core
L’allerta QNAP riguarda la falla CVE-2025-55315, classificata con severità massima da Microsoft, che colpisce il server web Kestrel usato dal framework ASP.NET Core. Il bug consente attacchi di HTTP request smuggling, permettendo a un attaccante autenticato con privilegi limitati di bypassare i controlli front-end, rubare credenziali e potenzialmente eseguire escalation di privilegi su server vulnerabili. QNAP spiega che la vulnerabilità impatta il software NetBak PC Agent, utilizzato per il backup su NAS domestici e aziendali. Il programma installa componenti ASP.NET Core durante la configurazione, esponendo gli utenti Windows non aggiornati a un rischio di compromissione. L’azienda raccomanda di reinstallare NetBak PC Agent o aggiornare manualmente il Runtime Hosting Bundle alla versione più recente di .NET 8.0 disponibile sul sito Microsoft. Il rischio principale consiste nella possibilità di modificare file server o accedere a dati sensibili, con un impatto potenzialmente esteso anche a sistemi integrati. QNAP avverte che la falla potrebbe essere attivamente sfruttata in attacchi mirati, analogamente a precedenti exploit rilevati nei propri ambienti, come la vulnerabilità rsync in Hybrid Backup Sync (HBS 3). Microsoft ha confermato che l’exploit sfrutta un errore nella gestione dei pseudo-handle Windows (-2 e -1), già corretti nelle ultime build. La società invita gli amministratori a verificare immediatamente le versioni installate di ASP.NET Core e ad aggiornare tutte le istanze del server Kestrel.
Breach alla Ravin Academy in Iran
Il 22 ottobre, l’Iran ha confermato una violazione ai danni della Ravin Academy, istituzione che forma specialisti cyber per il Ministero dell’Intelligence (MOIS). I dati trafugati includono nomi, numeri di telefono, username Telegram e ID nazionali di centinaia di studenti, pubblicati online da un attivista iraniano residente nel Regno Unito. Secondo le prime analisi, il database sottratto contiene anche informazioni accademiche e di reclutamento, suggerendo che la piattaforma interna della scuola fosse utilizzata per la selezione di profili tecnici con competenze in machine learning, ingegneria informatica e cyber defense. Fondata nel 2019 da Farzin Karimi Mazlganchai e Seyed Mojtaba Mostafavi, entrambi già sanzionati da USA, Regno Unito e Unione Europea per il legame con operazioni del MOIS, la Ravin Academy è considerata una struttura di formazione parallela per gruppi come MuddyWater (APT34), coinvolti in numerosi attacchi nella regione MENA. Il governo iraniano ha minimizzato l’impatto, sostenendo che i dati pubblicati fossero parzialmente pubblici e che l’obiettivo dell’attacco fosse “erodere la fiducia” nella capacità cyber nazionale. Tuttavia, il leak ha attirato l’attenzione dei servizi di intelligence occidentali, che vedono nell’episodio una rara finestra sull’infrastruttura formativa del cyberspazio iraniano.
Reset passkey su X dopo la transizione da Twitter.com
La piattaforma X ha richiesto agli utenti di reimpostare le passkey entro il 10 novembre 2025, pena la perdita temporanea di accesso agli account. La misura non è legata a un attacco informatico, ma alla migrazione completa del dominio da twitter.com a x.com, che ha invalidato le chiavi di sicurezza YubiKey e passkey collegate al vecchio dominio. Secondo il security engineer Christopher Stanley di X e SpaceX, il problema deriva dal legame crittografico tra passkey e dominio: con il passaggio a x.com, le chiavi registrate su twitter.com non possono essere più verificate. L’azienda ha chiarito che le app di autenticazione tradizionali e la 2FA restano attive, mentre la procedura di re-enrollment consente una transizione sicura e automatica.
Il caso evidenzia la complessità della transizione verso un modello passwordless, promosso da Microsoft e Google come standard di sicurezza moderno. Le passkey riducono il rischio di phishing e furto credenziali, ma richiedono gestione coerente dei domini e delle chiavi hardware.
L’intelligenza artificiale nella cybersecurity secondo Jen Easterly
Durante la conferenza AuditBoard 2025, l’ex direttrice della CISA, Jen Easterly, ha dichiarato che la cybersecurity “non è un problema di sicurezza, ma di qualità del software”. A suo avviso, le vulnerabilità più pericolose nascono dalla corsa alla produttività e dai compromessi nella scrittura del codice, che l’AI può finalmente colmare. Easterly prevede che entro pochi anni le violazioni informatiche diventeranno anomalie statistiche, poiché l’AI sarà in grado di identificare, correggere e prevenire bug in fase di sviluppo. Gli algoritmi di generative AI già oggi analizzano technical debt, codice non sicuro e memory leaks, riducendo drasticamente l’esposizione a exploit come SQL injection e XSS. Pur riconoscendo il doppio uso dell’intelligenza artificiale — capace di potenziare anche gli attaccanti — Easterly sostiene che il vantaggio strategico passerà ai difensori, grazie a sistemi di auto-remediation e secure-by-design integrati nelle pipeline DevSecOps. L’ex direttrice ha elogiato l’adozione del “piano AI Trump”, che punta a inserire principi di sicurezza by design nello sviluppo di modelli di intelligenza artificiale, garantendo tracciabilità e auditing. La sua visione prefigura un futuro in cui la cybersecurity sarà automatizzata, adattiva e integrata nel codice stesso, relegando il ruolo umano a funzioni di governance e supervisione etica.
Implicazioni e prospettive
Le vicende di QNAP, Ravin Academy e X mostrano un ecosistema digitale in rapido cambiamento, dove vulnerabilità tecniche, gestione identitaria e modelli di sicurezza convergono in un contesto dominato dall’AI. Se da un lato la tecnologia espone nuove superfici di attacco, dall’altro offre strumenti per ripensare la difesa informatica alla radice. Dalla mitigazione di CVE-2025-55315 al redesign del software sicuro, la lezione è chiara: la cybersecurity del futuro non dipenderà più solo dalla reazione agli incidenti, ma dalla prevenzione intelligente, alimentata da algoritmi capaci di scrivere e difendere codice in modo autonomo.
