Le novità nella cybersecurity mettono in primo piano nove nuovi advisories Cisa che coinvolgono prodotti Ics, vulnerabilità di alto impatto in React e Next.js, exploit attivi contro Arrayos AG VPN e l’introduzione delle Proactive Notifications da parte del Ncsc UK per individuare dispositivi esposti su Internet. Queste minacce delineano un panorama operativo estremamente complesso per infrastrutture critiche, applicazioni web e ambienti enterprise. Gli advisories Cisa riguardano prodotti come Mitsubishi Electric Gx Works2, Maxhub Pivot, Johnson Controls Openblue, Istar, Sunbird Dcim Dctrack, Power Iq, Soliscloud, Advantech Iview, Consilium Safety Cs5000 e Johnson Controls Fx Server, evidenziando rischi che includono escalation di privilegi, denial-of-service, injection, data leakage, buffer overflow e vulnerabilità firmware. Nel frattempo, Cisco e Aws notificano una Rce critica (CVE-2025-55182) nei React Server Components, mentre nuove campagne sfruttano falle in Arrayos AG VPN installando webshells e creando utenti rogue. Il contesto mostra l’urgenza di agire rapidamente su patch, segmentazione e monitoraggio continuo.
Cosa leggere
Vulnerabilità nei sistemi Ics: i 9 advisories Cisa e gli impatti operativi
Gli advisories Cisa pubblicati includono prodotti ampiamente utilizzati in contesti energia, automazione industriale, building management e monitoraggio infrastrutturale. Nel caso di Mitsubishi Electric Gx Works2, emergono vulnerabilità con potenziale sfruttamento remoto. La debolezza di autenticazione in Maxhub Pivot rende possibili accessi non autorizzati, mentre Johnson Controls Openblue Mobile Web Application espone dati sensibili a causa di problemi di injection. L’hardware Istar, sempre di Johnson Controls, soffre di un denial-of-service firmware based, risolto con aggiornamenti mirati.
- ICSA-25-338-01 Mitsubishi Electric GX Works2
- ICSA-25-338-02 MAXHUB Pivot
- ICSA-25-338-03 Johnson Controls OpenBlue Mobile Web Application for OpenBlue Workplace
- ICSA-25-338-04 Johnson Controls iSTAR
- ICSA-25-338-05 Sunbird DCIM dcTrack and Power IQ
- ICSA-25-338-06 SolisCloud Monitoring Platform
- ICSA-25-338-07 Advantech iView
- ICSA-25-148-03 Consilium Safety CS5000 Fire Panel (Update A)
- ICSA-25-219-02 Johnson Controls FX Server, FX80 and FX90 (Update A)
Le piattaforme Sunbird Dcim Dctrack e Power Iq permettono privilege escalation, creando rischi nelle sale server. Soliscloud Monitoring Platform rivela vulnerabilità nelle API, con possibilità di data leakage, spingendo il vendor a distribuire hotfix. Advantech Iview corregge un buffer overflow critico, mentre Consilium Safety Cs5000 Fire Panel affronta debolezze legate all’autenticazione. Infine, Johnson Controls Fx Server continua a risolvere problemi persistenti nelle componenti di rete con un aggiornamento dedicato. Queste vulnerabilità interessano infrastrutture che non possono subire interruzioni. Le organizzazioni applicano rapidamente patch, abilitano least privilege, monitorano log per anomalie e rafforzano la segmentazione di rete, soprattutto in ambienti dove Ics e IT convivono. Gli advisories indicano un trend crescente di exploitation remota, ponendo alta priorità su sistemi industriali potenzialmente esposti.
Rce in React e Next.js: la vulnerabilità CVE-2025-55182
La falla CVE-2025-55182, identificata in React 19.0–19.2 e in Next.js 15.x–16.x, riguarda il protocollo dei React Server Components (React Server Flight) e consente esecuzione di codice remoto tramite richieste manipolate. Cisco e Aws pubblicano avvisi sincronizzati che confermano la gravità del problema. Aws diffonde il bollettino AWS-2025-030, rassicurando che i servizi gestiti AWS non sono coinvolti ma sollecitando aggiornamenti immediati nei deployment self-managed. La mitigazione passa attraverso versioni patchate: React 19.0.1–19.2.1 e relative correzioni Next.js. Aws aggiorna la regola WAF KnownBadInputs, consigliando l’uso di regole Waf custom per bloccare pattern riconducibili allo sfruttamento. Gli sviluppatori migrano alle versioni sicure, ricostruiscono i deployment e monitorano log per richieste anomale. La vulnerabilità evidenzia quanto l’adozione crescente dei server-side components amplifichi il potenziale impatto di errori di protocollo.
Vulnerabilità Talos in Socomec Diris Digiware M-series ed Easy Config
Il team Cisco Talos identifica un insieme di vulnerabilità che colpiscono Socomec Diris Digiware M-series 1.6.9 e Easy Config, con impatti che spaziano da cleartext transmission (CVEs 2024-48894) a CSRF (CVE-2024-53684), fino a molteplici condizioni di denial-of-service derivate da buffer overflow in Modbus TCP e pacchetti malformati in Modbus RTU over TCP. La criticità aumenta per via del reset a credenziali di default in caso di crash DoS, aprendo la strada a takeover improvvisi del dispositivo. La piattaforma Easy Config presenta inoltre un bypass di autenticazione. Le mitigazioni includono patch firmware, cifratura del traffico, chiusura delle porte Modbus esposte, network segmentation, uso di VPN e auditing continuo degli asset industriali. Le organizzazioni isolano questi dispositivi da Internet e integrano IDS specializzati per rilevare tentativi di exploitation.
Exploit attivi contro Arrayos AG VPN
Una campagna attiva sfrutta una command injection nelle versioni 9.4.5.8 e precedenti di Arrayos AG VPN con funzione DesktopDirect abilitata. Gli attaccanti installano webshell PHP in percorsi come /ca/aproxy/webapp/ e creano utenti rogue, ottenendo persistenza sui sistemi compromessi. Gli attacchi iniziati ad agosto risultano associati a traffico proveniente da 194.233.100.138, con un focus particolare sul Giappone. JPCERT conferma exploitation in corso.
Le mitigazioni includono aggiornamento alla 9.4.5.9, disabilitazione DesktopDirect, blocchi sugli URI contenenti semicolon, filtering aggressivo e analisi dei log. Gli amministratori verificano integrità del sistema, controllano permessi e rimuovono utenti sospetti. La mancanza di un CVE assegnato complica il tracciamento formale, ma gli indicatori condivisi permettono ai team di sicurezza di reagire rapidamente.
Ncsc UK introduce Proactive Notifications
Il Ncsc UK annuncia il servizio Proactive Notifications, progettato per informare in anticipo organizzazioni britanniche sulla presenza di vulnerabilità in dispositivi esposti Internet. Il servizio sfrutta scansioni legalmente conformi eseguite da Netcraft, inviando notifiche via email alle entità coinvolte senza richiedere dati sensibili. Le notifiche segnalano software obsoleto, configurazioni rischiose o crittografia debole, consentendo interventi rapidi. Il servizio si integra con Early Warning, offrendo un approccio multilivello che include sia alert proattivi sia rilevamento di minacce attive. Organizzazioni e fornitori possono così strutturare un modello di sicurezza più solido basato su layered defense, monitoraggio costante e riduzione della superficie d’attacco.
