SolarWinds ha rilasciato aggiornamenti di sicurezza urgenti per correggere quattro vulnerabilità critiche nel prodotto Web Help Desk, mentre quasi in parallelo eScan ha confermato una compromissione della propria infrastruttura di aggiornamento, che ha portato alla distribuzione di un update trojanizzato a un sottoinsieme limitato di clienti. I due episodi, distinti ma ravvicinati nel tempo, delineano un quadro chiaro di escalation delle minacce contro il software enterprise nel 2026, con un mix di bug sfruttabili da remoto e attacchi di tipo supply chain.
Cosa leggere
Vulnerabilità critiche in SolarWinds Web Help Desk
SolarWinds ha pubblicato un advisory che corregge sei vulnerabilità complessive in Web Help Desk, di cui quattro classificate come critiche, tutte risolte con la versione 2026.1. Le falle più gravi consentono esecuzione remota di codice non autenticata e bypass dei meccanismi di autenticazione, con punteggi CVSS fino a 9.8.
Le vulnerabilità più rilevanti includono CVE-2025-40551 e CVE-2025-40553, entrambe legate a deserializzazione di dati non fidati, che permettono a un attaccante remoto di creare oggetti Java malevoli e ottenere RCE senza necessità di credenziali. A individuare questi difetti è stata Horizon3.ai, che ha pubblicato anche un’analisi tecnica dettagliata sul percorso di exploit.
A queste si affiancano CVE-2025-40552 e CVE-2025-40554, scoperte da watchTowr, che consentono bypass dell’autenticazione e l’invocazione di funzioni riservate. SolarWinds ha inoltre corretto difetti a gravità inferiore, come CVE-2025-40536 e CVE-2025-40537, legati rispettivamente a bypass dei controlli di sicurezza e all’uso di credenziali hard-coded.
| ID Vulnerabilità (CVE) | Punteggio CVSSv3 | Dettagli Tecnici (CWE) |
|---|---|---|
| CVE-2025-40551 | 9.8 (Critical) | Deserialization of Untrusted Data (CWE-502) |
| CVE-2025-40552 | 9.8 (Critical) | Weak Authentication (CWE-1390) |
| CVE-2025-40553 | 9.8 (Critical) | Deserialization of Untrusted Data (CWE-502) |
| CVE-2025-40554 | 9.8 (Critical) | Weak Authentication (CWE-1390) |
| CVE-2025-40536 | 8.1 (High) | Protection Mechanism Failure (CWE-693) |
| CVE-2025-40537 | 7.5 (High) | Use of Hard-coded Credentials (CWE-798) |
Riepilogo delle nuove vulnerabilità CVE rilevate nel 2025, con quattro falle critiche (score 9.8) relative alla deserializzazione non sicura dei dati e problemi di autenticazione debole.
🔴 OSSERVATORIO INTELLIGENCE: APT & GEOPOLITICA LIVE
Secondo Rapid7, le vulnerabilità di deserializzazione risultano altamente affidabili per la weaponization, soprattutto perché sfruttabili senza autenticazione. Rapid7 ha avvertito che, alla luce di precedenti exploit reali su Web Help Desk e della presenza storica del prodotto nel catalogo CISA Known Exploited Vulnerabilities, il rischio di sfruttamento attivo è concreto. SolarWinds ha quindi raccomandato patching immediato anche fuori dai normali cicli di aggiornamento.
Breach supply chain eScan: update malevolo distribuito
Parallelamente, eScan ha confermato una compromissione del proprio server di aggiornamenti, rilevata il 20 gennaio 2026, che ha portato alla distribuzione di un update malevolo a un cluster regionale limitato di clienti. L’attività è stata inizialmente individuata da Morphisec, che ha bloccato l’esecuzione del malware sui propri clienti e ha condiviso dettagli tecnici sulla catena di attacco.
L’update trojanizzato ha modificato il file Reload.exe, introducendo un downloader persistente denominato CONSCTLX.exe. Il malware ha creato task schedulate con nomi che imitano componenti legittimi di deframmentazione, come CorelDefrag, per garantire persistenza. Ulteriori modifiche hanno interessato il file hosts, bloccando le connessioni verso i server eScan, e specifiche chiavi di registro, impedendo il download di aggiornamenti correttivi.
Morphisec ha identificato hash SHA-256 associati ai file compromessi e domini di command and control utilizzati dal malware. eScan ha dichiarato di aver isolato l’infrastruttura compromessa entro poche ore, avviando la rotazione delle credenziali e il ripristino dei sistemi. Un update di remediation automatico è stato successivamente distribuito per riparare le modifiche malevole, riabilitare gli aggiornamenti e ripristinare la configurazione corretta dei sistemi colpiti.
eScan ha classificato l’incidente come accesso non autorizzato al path di distribuzione degli update, precisando che non è stata individuata alcuna vulnerabilità intrinseca nel prodotto antivirus. I clienti potenzialmente coinvolti sono stati notificati direttamente e invitati a considerare compromessi i sistemi che avevano scaricato aggiornamenti nella finestra temporale interessata.
Implicazioni per la sicurezza del software enterprise
I due eventi, pur distinti, evidenziano un problema sistemico. Nel caso SolarWinds, vulnerabilità di deserializzazione e bypass di autenticazione confermano quanto questi bug restino tra i vettori RCE più pericolosi nei prodotti enterprise. Nel caso eScan, l’attacco dimostra ancora una volta come la supply chain del software di sicurezza rappresenti un bersaglio ad alto valore, capace di trasformare un canale di fiducia in un veicolo di compromissione.
Entrambi gli incidenti sottolineano la necessità di monitorare attivamente i meccanismi di aggiornamento, validare l’integrità degli update e adottare difese multilivello in grado di intercettare comportamenti anomali anche quando il codice proviene da fonti considerate affidabili. L’intervento tempestivo di Morphisec ha limitato l’impatto dell’attacco eScan, mentre l’allerta preventiva di Rapid7 mira a ridurre la finestra di esposizione per i clienti SolarWinds.
Raccomandazioni operative per le organizzazioni
Le organizzazioni che utilizzano SolarWinds Web Help Desk dovrebbero verificare immediatamente la versione in uso e aggiornare alla 2026.1, eseguendo controlli post-patch per individuare eventuali segni di sfruttamento pregresso. È consigliato rafforzare il monitoraggio di rete e applicativo, in particolare per attività di deserializzazione anomale o creazione di oggetti sospetti.
I clienti eScan sono invitati ad applicare l’update di remediation, riavviare i sistemi e condurre una verifica forense mirata su task schedulate, file hosts, registro di sistema e connessioni di rete. In caso di dubbio, l’isolamento preventivo delle macchine e il reset delle credenziali restano misure prudenziali.
Nel complesso, questi incidenti segnano un ulteriore passo nell’evoluzione delle minacce del 2026, dove bug critici e attacchi supply chain convergono nel colpire il cuore del software enterprise, imponendo una revisione continua delle strategie di patching, monitoraggio e risposta agli incidenti.
Iscriviti a Matrice Digitale
Ricevi le notizie principali direttamente nella tua casella di posta.
Niente spam, disiscriviti quando vuoi.
