Scatta un nuovo allarme rosso globale per la sicurezza aziendale. Due gravissime falle critiche nei sistemi Cisco stanno permettendo ai cyber-criminali di scavalcare le password e prendere il controllo totale dei server con privilegi massimi. Ma la tempesta perfetta non si ferma qui: spietati hacker stanno sfruttando attivamente una vulnerabilità catastrofica per rubare le chiavi segrete del cloud da centinaia di applicazioni web, nascondendo le proprie tracce dietro finte connessioni domestiche letteralmente impossibili da intercettare per i normali sistemi di difesa. E mentre l’infrastruttura informatica mondiale trema, Microsoft corre ai ripari forzando l’aggiornamento immediato e obbligatorio di milioni di PC Windows per scongiurare un disastro su larga scala. Le aziende enterprise si trovano davanti a una nuova ondata di minacce ad alta priorità che coinvolge infrastrutture Cisco, applicazioni Next.js, sistemi Windows 11 e persino i modelli di detection basati su reputazione IP. Da una parte Cisco ha rilasciato patch urgenti per due vulnerabilità critiche con CVSS 9.8 che consentono bypass dell’autenticazione ed esecuzione di codice con privilegi root. Dall’altra continua lo sfruttamento attivo della CVE-2025-55182, una RCE 10.0 che colpisce React Server Components e App Router di Next.js, già usata per compromettere centinaia di host cloud. Sul fronte endpoint, Microsoft accelera il passaggio automatico da Windows 11 24H2 a 25H2, mentre GreyNoise dimostra come i proxy residenziali stiano rendendo sempre meno affidabile il solo filtro reputazionale degli IP.
Cosa leggere
Cisco corregge due vulnerabilità critiche con impatto immediato
La prima vulnerabilità corretta da Cisco è CVE-2026-20093, che colpisce più piattaforme tra cui 5000 Series Enterprise Network Compute Systems, Catalyst 8300 Edge uCPE e server UCS standalone. Il difetto nasce dalla gestione errata delle richieste di cambio password: un attaccante non autenticato può inviare una richiesta HTTP costruita ad hoc per bypassare l’autenticazione e modificare la password di qualsiasi utente, incluso l’amministratore. In ambienti esposti a internet questo si traduce in compromissione quasi immediata dell’apparato, con accesso privilegiato alle funzioni di controllo e orchestrazione della rete. La seconda falla, CVE-2026-20160, interessa Smart Software Manager On-Prem e risulta ancora più pericolosa per il livello di accesso ottenibile. A causa dell’esposizione involontaria di un servizio interno, un attaccante remoto non autenticato può inviare una richiesta API malevola ed eseguire comandi arbitrari direttamente sul sistema operativo sottostante con privilegi root. Cisco non ha rilasciato workaround temporanei, quindi la sola mitigazione concreta resta l’aggiornamento immediato delle versioni vulnerabili.
CVE-2025-55182 continua a colpire Next.js con RCE attive
Sul lato applicativo continua invece la pressione su Next.js. La CVE-2025-55182, classificata con CVSS 10.0, viene sfruttata attivamente come vettore iniziale di compromissione da cluster come UAT-10608. La falla interessa React Server Components e l’App Router, consentendo remote code execution su applicazioni esposte. Gli attaccanti hanno già compromesso almeno 766 host distribuiti tra provider cloud e regioni diverse, segno di una campagna altamente automatizzata e scalabile. Una volta ottenuta l’esecuzione di codice, gli operatori distribuiscono il framework NEXUS Listener v3, che raccoglie in modo strutturato variabili d’ambiente, chiavi SSH, cronologia shell, token Kubernetes, file Docker e credenziali IAM per AWS, Google Cloud e Azure. Il valore della campagna non è solo nell’accesso al singolo server Next.js, ma nella possibilità di pivotare verso l’intera supply chain cloud e DevOps dell’organizzazione colpita.
NEXUS Listener industrializza il furto di credenziali cloud
L’evoluzione più preoccupante della campagna è l’automazione quasi industriale del post-exploitation. Il pannello NEXUS Listener integra una dashboard web che consente di cercare, filtrare e classificare rapidamente i segreti rubati. In questo modo gli operatori riducono drasticamente il tempo tra compromissione iniziale e abuso delle credenziali. In ambienti moderni, una singola chiave IAM sottratta da una variabile .env può aprire accesso a bucket, container registry, cluster Kubernetes e pipeline CI/CD. Per questo motivo la remediation non può limitarsi al patching di Next.js. Serve una rotazione completa delle credenziali esposte, verifica dei token cloud ancora validi e controllo dei log di accesso su tutti i servizi federati.
Microsoft forza il passaggio automatico a Windows 11 25H2
Parallelamente, Microsoft ha iniziato il forced upgrade dei PC Windows 11 24H2 Home e Pro non gestiti verso Windows 11 25H2. Il rollout riguarda i dispositivi non supervisionati da team IT centrali e sfrutta un sistema di distribuzione intelligente basato su machine learning. La decisione è strettamente collegata alla fine del supporto di 24H2 prevista per il 13 ottobre 2026, dopo la quale non arriveranno più patch mensili o fix per problemi noti. Per gli utenti consumer e piccoli uffici, il passaggio diventa quindi quasi obbligato. È possibile solo posticipare il riavvio o avviare manualmente il processo dalle impostazioni, ma il modello di update mostra chiaramente come Microsoft stia spingendo verso un ciclo di aggiornamento sempre più automatico per ridurre la permanenza di endpoint non patchati.
GreyNoise mostra il limite dei controlli basati su reputazione IP
Il report di GreyNoise aggiunge un ulteriore elemento critico: i proxy residenziali riescono a evadere i controlli di reputazione IP nel 78 per cento di quasi 4 miliardi di sessioni malevole analizzate in tre mesi. Il dato è particolarmente significativo perché dimostra la crescente inefficacia dei filtri che bloccano solo IP noti come malevoli. Il 39 per cento delle sessioni proviene da reti domestiche probabilmente arruolate in reti di proxy residenziali, distribuite su 683 ISP con forte concentrazione in Cina, India e Brasile. La rapida rotazione di questi indirizzi, spesso inferiore al mese, rende molto difficile distinguere traffico consumer legittimo da attività di scanning e reconnaissance. In pratica gli attaccanti stanno sfruttando la reputazione “pulita” degli IP domestici per aggirare WAF, firewall e sistemi anti-bot tradizionali.
Le difese devono spostarsi dal singolo IP al comportamento
La lezione comune di questi eventi è chiara: la difesa non può più basarsi solo su patch periodiche e blacklist statiche. Per Cisco serve aggiornamento immediato degli apparati edge e dei sistemi di licensing. Per Next.js è indispensabile patchare, ruotare credenziali e monitorare ambienti cloud. Per Windows 11 conviene accettare rapidamente il passaggio a 25H2 per mantenere copertura di sicurezza. Sul lato detection, il report GreyNoise conferma che il futuro passa da behavioral analytics, fingerprinting del traffico, device reputation e anomaly detection multilivello, superando definitivamente la sola fiducia nella reputazione IP.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
