Vulnerabilità

Cisa: vulnerabilità sfruttate attivamente colpiscono VMware, Zimbra e Fortinet

di Redazione
scritto da Redazione 0 commenti
cisa vulnerabilita vmware zimbra fortinet

Cisa KEV è il perno dell’ultimo aggiornamento pubblicato dalla Cybersecurity and Infrastructure Security Agency, che ha inserito nel catalogo Known Exploited Vulnerabilities una serie di falle attivamente sfruttate nel wild contro software enterprise largamente diffusi, tra cui VMware vCenter Server, Zimbra Collaboration Suite, Versa Concerto, Fortinet FortiGate e componenti della supply chain open-source. L’aggiornamento conferma un trend ormai consolidato: attori avanzati aggirano patch, concatenano vulnerabilità e colpiscono direttamente il cuore delle infrastrutture IT e OT, costringendo le agenzie federali e le grandi organizzazioni ad accelerare i cicli di remediation.

Vulnerabilità VMware vCenter: DCE/RPC e rischio di compromissione ESXi

Il caso più critico riguarda CVE-2024-37079, una vulnerabilità di heap overflow nel protocollo DCE/RPC di VMware vCenter Server, ora ufficialmente inserita nel catalogo KEV. La falla consente a un attaccante con accesso di rete di inviare pacchetti artigianali capaci di innescare esecuzione di codice remoto, aprendo la strada alla compromissione dell’infrastruttura di virtualizzazione. Broadcom, che oggi gestisce VMware, ha confermato che exploit sono attivi nel wild, pur senza fornire dettagli su scala e attori coinvolti.

La vulnerabilità era stata corretta a giugno 2024 insieme a CVE-2024-37080, ma nuove analisi hanno dimostrato che le superfici d’attacco restano sfruttabili se inserite in catene più complesse. Durante Black Hat Asia 2025, i ricercatori hanno illustrato quattro falle nel servizio DCE/RPC, tre overflow heap e una escalation di privilegi che, se concatenate, permettono di ottenere accesso root non autorizzato su host ESXi. Broadcom ha successivamente rilasciato patch aggiuntive per CVE-2024-38812 e CVE-2024-38813, ma l’inclusione di CVE-2024-37079 nel KEV indica che gli attacchi hanno superato la fase teorica e sono entrati in quella operativa. Il punteggio CVSS 9.8 riflette la severità estrema per ambienti con vCenter esposto o insufficientemente segmentato.

Zimbra, Versa e Vite: applicazioni enterprise e SD-WAN sotto attacco

Accanto a VMware, Cisa ha aggiunto CVE-2025-68645 che colpisce Zimbra Collaboration Suite. La vulnerabilità permette Remote File Inclusion PHP tramite richieste appositamente costruite verso endpoint REST non autenticati. Gli attaccanti possono includere file arbitrari e ottenere esecuzione di codice, con un impatto diretto su email, rubriche e dati sensibili aziendali. Zimbra ha corretto il problema a novembre 2025 con la versione 10.1.13, ma CrowdSec ha osservato exploit attivi dal 14 gennaio 2026, rendendo l’inserimento nel KEV una misura di contenimento urgente.

Un altro caso ad alta gravità è CVE-2025-34026 in Versa Networks Versa Concerto, piattaforma SD-WAN utilizzata in contesti carrier ed enterprise. La vulnerabilità consente bypass dell’autenticazione sugli endpoint amministrativi, permettendo accesso non autorizzato ai sistemi di orchestrazione della rete. Versa ha rilasciato la patch con la versione 12.2.1 GA, ma la presenza nel KEV indica che attori reali stanno già sfruttando la falla per compromettere ambienti distribuiti.

Più contenuto, ma non trascurabile, è CVE-2025-31125 che interessa Vite, uno degli strumenti di build più diffusi nello sviluppo web moderno. La vulnerabilità deriva da controlli di accesso impropri che permettono di leggere file arbitrari tramite specifiche query, esponendo codice e configurazioni sensibili. Anche se il CVSS è 5.3, il contesto di supply chain e ambienti CI/CD rende l’impatto potenzialmente ampio.

Supply chain npm: eslint-config-prettier e pacchetti trojanizzati

Uno degli aspetti più preoccupanti dell’aggiornamento KEV è l’inclusione di CVE-2025-54313, che riguarda eslint-config-prettier, un pacchetto chiave dell’ecosistema npm. In questo caso non si tratta di una vulnerabilità tradizionale, ma di codice malevolo incorporato direttamente nel pacchetto, distribuito dopo un phishing mirato ai maintainer. Le versioni compromesse eseguivano un DLL Scavenger Loader in grado di sottrarre informazioni dal sistema.

L’attacco ha avuto un effetto domino, coinvolgendo anche pacchetti correlati come eslint-plugin-prettier, synckit, @pkgr/core, napi-postinstall, got-fetch e is. Questo episodio dimostra come la supply chain open-source sia diventata un vettore primario per compromettere ambienti enterprise, spesso bypassando controlli perimetrali e soluzioni EDR.

Fortinet FortiGate: bypass SSO anche su sistemi patchati

Parallelamente all’aggiornamento KEV, Fortinet ha confermato attività malevole che sfruttano CVE-2025-59718 e CVE-2025-59719, due vulnerabilità di bypass dell’autenticazione SAML su FortiGate quando è abilitato FortiCloud SSO. Ciò che rende il caso particolarmente critico è il fatto che attacchi sono stati osservati anche su dispositivi completamente patchati, attraverso nuove tecniche di abuso dei messaggi SAML.

Gli attori creano account amministrativi generici per ottenere persistenza, modificano configurazioni VPN e esfiltrano i file di configurazione del firewall verso infrastrutture esterne. Fortinet ha raccomandato mitigazioni immediate, tra cui la disabilitazione del login FortiCloud SSO e la restrizione dell’accesso amministrativo via policy local-in, sottolineando come gli edge network devices restino tra i target più appetibili per gli attaccanti.

AWS Firecracker: vulnerabilità tecnica, impatto mitigato nel cloud pubblico

Nel panorama dell’aggiornamento emerge anche CVE-2026-1386, una vulnerabilità in Firecracker Jailer, il componente open-source utilizzato per isolare le microVM. La falla permette, in determinate condizioni, la sovrascrittura di file host arbitrari tramite symlink, aprendo scenari di escape dalla microVM. Amazon Web Services ha chiarito che i servizi AWS gestiti non sono impattati, grazie a restrizioni di accesso e hardening dell’ambiente host.

Tuttavia, le organizzazioni che utilizzano Firecracker in implementazioni custom on-premise o cloud privato devono aggiornare alle versioni 1.14.1 o 1.13.2, o applicare workaround basati su permessi UNIX restrittivi. Il caso evidenzia come anche componenti progettati per l’isolamento avanzato possano diventare punti di rischio se integrati senza adeguate protezioni.

Impatto complessivo su infrastrutture enterprise e obblighi di remediation

L’aggiornamento del catalogo KEV conferma che hypervisor, firewall, piattaforme di comunicazione, SD-WAN e tool di sviluppo sono tutti sotto pressione simultaneamente. La combinazione di RCE su VMware vCenter, bypass autenticazione su Fortinet e Versa, inclusioni file su Zimbra e supply chain compromise su npm crea un quadro in cui l’attacco può propagarsi rapidamente da un singolo punto debole a interi ambienti enterprise.

In base alla direttiva BOD 22-01, le agenzie federali statunitensi devono applicare le patch entro febbraio 2026, ma l’impatto va ben oltre il perimetro governativo. Per le aziende private, il KEV rappresenta un indicatore di rischio concreto, non una semplice lista teorica: le vulnerabilità incluse sono già sfruttate e spesso integrate in catene di attacco complesse.

Domande frequenti su Cisa KEV e vulnerabilità sfruttate

Cos’è il catalogo KEV di Cisa e perché è importante?

Il catalogo KEV elenca le vulnerabilità che Cisa ha confermato essere sfruttate attivamente nel mondo reale. La sua importanza risiede nel fatto che segnala rischi immediati e concreti, imponendo alle agenzie federali e raccomandando alle aziende private di applicare patch con priorità assoluta.

Perché CVE-2024-37079 su VMware vCenter è considerata critica?

La vulnerabilità permette esecuzione di codice remoto tramite pacchetti DCE/RPC artigianali e può essere concatenata con altre falle per ottenere accesso root su ESXi. In ambienti enterprise, questo significa il potenziale controllo completo dell’infrastruttura di virtualizzazione.

In che modo gli attacchi supply chain npm aumentano il rischio per le aziende?

Gli attacchi supply chain colpiscono pacchetti legittimi usati quotidianamente negli ambienti di sviluppo. Una volta integrato il codice malevolo, l’attacco bypassa molte difese tradizionali e può propagarsi automaticamente tramite pipeline CI/CD e deploy applicativi.

Qual è la priorità per le organizzazioni dopo l’aggiornamento KEV?

La priorità è identificare rapidamente la presenza dei prodotti coinvolti, applicare le patch disponibili o le mitigazioni consigliate, limitare le superfici di esposizione e monitorare attivamente eventuali indicatori di compromissione, trattando il KEV come una lista di minacce operative e non teoriche.

Iscriviti a Matrice Digitale

Ricevi le notizie principali direttamente nella tua casella di posta.

Niente spam, disiscriviti quando vuoi.

Potrebbe interessarti anche

Matrice Digitale partecipa al Programma Affiliazione Amazon EU, un programma di affiliazione che consente ai siti di percepire una commissione pubblicitaria pubblicizzando e fornendo link al sito Amazon.it.

La redazione di Matrice Digitale è specializzata in cybersecurity, OSINT, intelligenza artificiale e geopolitica tecnologica. Con inchieste indipendenti e analisi approfondite, raccontiamo come privacy, sorveglianza e innovazione digitale plasmano la società, anticipando i rischi e le sfide ignorate dai media tradizionali.