CISA amplia il proprio impegno nella difesa cibernetica aggiungendo due vulnerabilità attivamente sfruttate al catalogo Known Exploited Vulnerabilities (KEV) e pubblicando tre advisory per sistemi industriali (ICS), mentre Microsoft potenzia Windows 11 con una nuova funzionalità di sicurezza avanzata denominata Administrator Protection. In parallelo, la piattaforma Socket scopre dieci package NPM typosquatted con funzioni di furto credenziali, e la Germania estende il supporto per Microsoft Exchange on-premises per garantire continuità operativa alle organizzazioni pubbliche. Questi interventi, distribuiti tra istituzioni e settore privato, rappresentano un passo coordinato verso una cybersecurity più resiliente e una riduzione della superficie d’attacco globale.
Cosa leggere
Le vulnerabilità KEV di CISA
La Cybersecurity and Infrastructure Security Agency (CISA) integra le vulnerabilità CVE-2025-6204 e CVE-2025-6205 nel catalogo KEV, entrambe riferite al software industriale Dassault Systèmes DELMIA Apriso. La prima consente un’iniezione di codice remoto, permettendo agli attaccanti di eseguire comandi arbitrari sui sistemi compromessi. La seconda riguarda una mancanza di autorizzazione che può portare all’accesso non controllato a risorse sensibili.
- CVE-2025-6204 Dassault Systèmes DELMIA Apriso Code Injection Vulnerability
- CVE-2025-6205 Dassault Systèmes DELMIA Apriso Missing Authorization Vulnerability
Entrambe sono classificate da CISA come rischi ad alta severità e vengono considerate attivamente sfruttate in the wild. Le agenzie federali statunitensi devono applicare le mitigazioni entro il 18 novembre 2025, in conformità con la Binding Operational Directive (BOD) 22-01.
Le vulnerabilità derivano dalle categorie CWE-94 (Code Injection) e CWE-862 (Missing Authorization), riflettendo carenze di validazione degli input e gestione dei privilegi. Il vendor ha già pubblicato patch correttive, e CISA raccomanda alle organizzazioni di verificare le versioni installate, monitorare i log di sistema e automatizzare il patching per ridurre i tempi di esposizione. L’agenzia sottolinea inoltre l’importanza del monitoraggio continuo e della condivisione di intelligence per contrastare campagne mirate contro i sistemi manifatturieri e di automazione industriale.
Advisory ICS per sistemi industriali
Oltre al catalogo KEV, CISA pubblica tre advisory tecnici per prodotti ICS (Industrial Control Systems), a partire dall’avviso ICSA-25-301-01 che coinvolge Schneider Electric EcoStruxure. Questa vulnerabilità consente un accesso non autorizzato ai sistemi di controllo dei processi industriali, con un potenziale impatto sul funzionamento di infrastrutture critiche. Il vendor ha rilasciato aggiornamenti di sicurezza, e CISA raccomanda la segmentazione delle reti per isolare gli ambienti operativi sensibili. Un secondo advisory, ICSA-25-238-01, riguarda Vertikal Systems e descrive un’esposizione di credenziali sensibili tramite interfacce web non protette. Gli attaccanti potrebbero sfruttare questa debolezza per compromettere dati industriali, rendendo fondamentale l’implementazione della multi-factor authentication (MFA) e di controlli di accesso rigorosi.
- ICSA-25-301-01 Schneider Electric EcoStruxure
- ICSMA-25-301-01 Vertikal Systems Hospital Manager Backend Services
- ICSA-24-352-04 Schneider Electric Modicon (Update B)
Il terzo advisory copre altri vendor, inclusi Mitsubishi Electric, Delta Electronics e Rockwell Automation, e segnala vulnerabilità quali buffer overflow e debolezze nei protocolli di comunicazione. In tutti i casi, CISA raccomanda patch tempestive, monitoraggio dei log, backup regolari e l’adozione di un modello zero-trust negli ambienti industriali per limitare i movimenti laterali. Le aziende vengono invitate a testare le patch in ambienti di staging e a integrare gli Indicator of Compromise (IOC) pubblicati da CISA nei propri sistemi SIEM, in modo da individuare precocemente attività sospette.
Aggiornamento KB5067036 per Windows 11
Microsoft rilascia l’aggiornamento KB5067036 per le versioni 24H2 e 25H2 di Windows 11, introducendo la nuova funzionalità Administrator Protection, pensata per prevenire modifiche di sistema non autorizzate. La feature utilizza l’autenticazione biometrica di Windows Hello per verificare l’identità dell’amministratore prima di eseguire azioni critiche, riducendo il rischio di escalation dei privilegi o compromissioni derivanti da malware. Administrator Protection è disattivata per impostazione predefinita e può essere attivata tramite Microsoft Intune o Group Policy, risultando ideale per contesti aziendali e amministrazioni pubbliche. L’update include inoltre miglioramenti all’interfaccia utente, come un menu Start ridisegnato, una sezione “All” scorrevole e nuove opzioni di personalizzazione della Taskbar e della Lock Screen. Il rilascio incrementa le build a 26100.5074 (24H2) e 26100.7019 (25H2), risolvendo bug di stabilità e compatibilità con Media Creation Tool e protocolli HTTP/2. Microsoft raccomanda di testare l’aggiornamento in ambienti di staging e di eseguire backup preliminari, sottolineando che il roll-out sarà progressivo tramite Windows Update.
Supporto esteso per Microsoft Exchange in Germania
Il governo tedesco ha annunciato l’estensione del supporto per Microsoft Exchange on-premises, in collaborazione con la stessa Microsoft, per accompagnare una migrazione graduale verso il cloud. Questa misura mira a garantire la sicurezza delle infrastrutture pubbliche ancora legate a versioni legacy, offrendo patch di sicurezza prolungate e assistenza per la compliance GDPR. Il piano include una roadmap di transizione che privilegia la protezione dei dati sensibili dei cittadini e l’adozione di modelli zero-trust. Le organizzazioni potranno contare su aggiornamenti regolari, corsi di formazione per amministratori IT e integrazione progressiva con Exchange Online e Microsoft Teams, riducendo il rischio di interruzioni operative. Il supporto esteso rafforza la postura di sicurezza tedesca in un contesto europeo dove la digitalizzazione procede a ritmi differenziati, assicurando la continuità dei servizi critici durante il periodo di migrazione.
Package NPM typosquatted con harvester
La società Socket ha individuato dieci package NPM typosquatted che imitano librerie legittime, tra cui deezcord.js, etherdjs, nodemonjs, typescriptjs e zustand.js, pubblicati dall’attore andrew_r1. Questi package, con oltre 9.900 download, contenevano codice malevolo in fase di installazione (postinstall hook) capace di distribuire un harvester di credenziali multi-piattaforma. Il malware sfrutta tecniche di obfuscazione con eval e XOR, raccoglie dati da Windows Credential Manager, macOS Keychain e Linux SecretService, oltre a cookie e password salvate nei browser basati su Chromium e Firefox. Tra i file esfiltrati figurano anche chiavi SSH, token OAuth, configurazioni AWS, Docker e Kubernetes, poi inviati a un server remoto con indirizzo 195.133.79.43.
Socket invita gli sviluppatori a eseguire audit delle dipendenze, revocare credenziali e ruotare chiavi SSH qualora uno dei package compromessi sia stato installato. L’azienda ha fornito indicatori di compromissione (IOC) e uno strumento CLI per rilevare eventuali infezioni. La vicenda riafferma l’importanza del monitoraggio della supply chain software e della verifica delle identità dei maintainer nei repository open-source.
Implicazioni per la cybersecurity
L’insieme di questi aggiornamenti evidenzia una strategia globale orientata alla riduzione dei rischi cyber lungo l’intera catena del valore digitale. CISA rafforza la protezione delle infrastrutture critiche tramite patching accelerato e monitoraggio delle minacce ICS, Microsoft introduce misure biometriche per prevenire abusi amministrativi, Socket rafforza la vigilanza sulla supply chain open-source, e la Germania consolida la sicurezza istituzionale mantenendo un equilibrio tra innovazione e continuità.
In un panorama di minacce sempre più sofisticato, la cooperazione tra enti pubblici, vendor tecnologici e comunità open-source emerge come fattore decisivo per garantire resilienza, trasparenza e aggiornamento costante delle difese digitali.
