Sommario
Hewlett Packard Enterprise (HPE) ha recentemente rilasciato una patch di sicurezza per una vulnerabilità critica di bypass dell’autenticazione che interessa i sistemi di backup StoreOnce, piattaforme fondamentali per la continuità operativa e la resilienza dei dati nelle infrastrutture aziendali. In parallelo, la CISA ha aggiornato il suo catalogo KEV (Known Exploited Vulnerabilities) aggiungendo tre nuove vulnerabilità critiche sui chipset Qualcomm, a testimonianza dell’intensificarsi degli attacchi mirati a dispositivi mobili e infrastrutture embedded. La coesistenza di questi due alert sottolinea un panorama di minacce in cui dispositivi endpoint e sistemi core sono ugualmente bersagliati da gruppi di attacco altamente capaci.
StoreOnce: vulnerabilità critica e impatto sui sistemi enterprise
La falla identificata in StoreOnce è classificata come una vulnerabilità di tipo authentication bypass (CVE-2024-26380). Questo difetto consente a un attaccante remoto, non autenticato, di aggirare i meccanismi di accesso ai dispositivi StoreOnce, potenzialmente ottenendo l’accesso amministrativo ai dati di backup. La vulnerabilità è stata definita critica da HPE per via della sua ampia superficie di attacco e per la possibilità di essere sfruttata senza interazione utente, condizione che ne facilita l’automazione in campagne mirate.
I dispositivi StoreOnce sono spesso integrati in infrastrutture aziendali di alto valore, comprese realtà governative, sanitarie e finanziarie. Un attacco riuscito potrebbe compromettere backup sensibili, interrompere processi di ripristino e consentire l’iniezione di payload dannosi nei dati archiviati.
HPE raccomanda l’aggiornamento immediato dei firmware StoreOnce, disponibile tramite i canali ufficiali. L’esecuzione del fix risolve completamente la vulnerabilità.
CISA: chipset Qualcomm sotto attacco attivo
In contemporanea, la CISA (Cybersecurity and Infrastructure Security Agency) ha inserito tre nuove vulnerabilità nel suo catalogo KEV, documentando prove di sfruttamento attivo “in the wild”. Le falle riguardano dispositivi che utilizzano chipset Qualcomm e presentano i seguenti codici CVE:
- CVE-2025-21479 Qualcomm Multiple Chipsets Incorrect Authorization Vulnerability
- CVE-2025-21480 Qualcomm Multiple Chipsets Incorrect Authorization Vulnerability
- CVE-2025-27038 Qualcomm Multiple Chipsets Use-After-Free Vulnerability
Tutte e tre le vulnerabilità impattano l’autorizzazione all’accesso a livello di chipset, permettendo operazioni non autorizzate potenzialmente anche a livello kernel o radio. La falla use-after-free in particolare potrebbe consentire esecuzione di codice arbitrario, dando all’attaccante pieno controllo del dispositivo.
Rischio sistemico e dispositivi mobili vulnerabili
Le falle nei chipset Qualcomm interessano un’enorme gamma di dispositivi mobili Android, inclusi modelli di fascia alta, dispositivi indossabili, tablet e sistemi embedded. Considerando che Qualcomm domina una fetta significativa del mercato dei SoC, il rischio è sistemico e può essere sfruttato da gruppi APT per raccogliere informazioni, spiare comunicazioni, o compromettere applicazioni di pagamento.
I produttori di dispositivi (OEM) dovranno ora integrare le patch fornite da Qualcomm nei propri aggiornamenti firmware, con tempistiche variabili a seconda del vendor. Per questo motivo, CISA esorta le organizzazioni a implementare strategie di mitigazione indipendenti, tra cui:
- Deprivilegiare applicazioni sospette.
- Monitorare accessi anomali alle API hardware.
- Utilizzare piattaforme EDR anche sui dispositivi mobili aziendali.
La contemporaneità della patch HPE StoreOnce e dell’inserimento di vulnerabilità Qualcomm nel KEV evidenzia come la superficie di attacco moderna non abbia confini netti. I sistemi enterprise e i dispositivi personali sono entrambi bersagli di tecniche d’attacco avanzate che sfruttano errori nel controllo degli accessi, vulnerabilità memory-safe e scarsa segmentazione della rete.
La vulnerabilità in StoreOnce dimostra che la sicurezza dei dati di backup non può essere data per scontata: una singola falla può invalidare ogni strategia di disaster recovery. Le falle Qualcomm, invece, mettono in discussione l’affidabilità dell’intero stack mobile, con implicazioni estese per la protezione della privacy e delle comunicazioni aziendali.
Le aziende devono aggiornare tempestivamente i dispositivi vulnerabili, attivare controlli proattivi sulle anomalie di accesso e riconsiderare le politiche BYOD in ambienti critici. La protezione moderna richiede visibilità e intervento sia lato client che lato infrastruttura.
