Sommario
La sicurezza delle infrastrutture di rete e delle piattaforme SaaS viene messa nuovamente sotto pressione da recenti segnalazioni di vulnerabilità gravi. Ruckus Networks e ServiceNow sono al centro dell’attenzione degli specialisti dopo la pubblicazione di dettagli tecnici relativi a bug ad alto impatto, in grado di compromettere la riservatezza e l’integrità delle informazioni in ambienti enterprise e service provider.
Ruckus Networks: vulnerabilità critiche ancora senza correzione ufficiale
Le appliance di gestione Ruckus Networks SmartZone e ZoneDirector continuano a presentare falle critiche, alcune delle quali prive di patch a distanza di mesi dalla disclosure iniziale. I ricercatori di sicurezza hanno scoperto diversi bug di tipo command injection, information disclosure e privilege escalation che consentono a un attaccante di ottenere accesso non autorizzato, eseguire codice remoto e accedere a dati sensibili o alle credenziali amministrative.
Nel dettaglio, le falle segnalate permettono l’esecuzione di comandi con privilegi elevati tramite interfaccia web e API, nonché la lettura di informazioni riservate attraverso endpoint vulnerabili. Ruckus ha aggiornato solo una parte delle appliance coinvolte, lasciando esposti numerosi modelli in produzione e in uso presso clienti pubblici e privati. L’assenza di un piano di remediation completo e tempestivo aumenta la superficie d’attacco, rendendo queste infrastrutture target privilegiati per ransomware, attori statali e gruppi criminali.
Lista vulnerabilità
Sono state segnalate molteplici vulnerabilità nei prodotti Ruckus Wireless descritti di seguito:
[CVE-2025-44957] Segreti hardcoded, tra cui la chiave di firma JWT e le chiavi API nel codice (CWE-287: Autenticazione non corretta). Diversi segreti sono hardcoded nell’applicazione vSZ, rendendoli vulnerabili all’accesso e consentendo privilegi elevati. Utilizzando intestazioni HTTP e una chiave API valida, è possibile bypassare logicamente i metodi di autenticazione, fornendo accesso a livello di amministratore a chiunque lo faccia.
[CVE-2025-44962] Lettura di file arbitrari autenticata (CWE-23: Attraversamento di percorsi relativi). Ruckus vSZ consente agli utenti di scaricare file da una directory consentita, ma codificando un percorso di directory, un utente potrebbe attraversare altri percorsi di directory per ../leggere file sensibili.
[CVE-2025-44954] RCE non autenticato in SSH a causa di chiavi pubbliche/private predefinite hardcoded (CWE-1394: Uso della chiave crittografica predefinita). Ruckus vSZ ha un utente predefinito con tutti gli stessi privilegi di root. Questo utente dispone anche di chiavi RSA pubbliche e private predefinite nella sua directory /home/$USER/.ssh/. Chiunque disponga di un dispositivo Ruckus disporrà anche di questa chiave privata e potrà accedere tramite SSH con questo account, ottenendo quindi permessi di root.
[CVE-2025-44960] Esecuzione di codice remoto (CWE-78: Neutralizzazione impropria di elementi speciali utilizzati in un comando del sistema operativo (“Iniezione di comando del sistema operativo”)). Un parametro in una route API vSZ è controllato dall’utente e non viene sanificato prima di essere eseguito in un comando del sistema operativo. Un aggressore potrebbe fornire un payload dannoso per causare l’esecuzione di codice.
[CVE-2025-44961] Esecuzione di codice remoto (CWE-77: Neutralizzazione impropria di elementi speciali utilizzati in un comando (“Command Injection”)). Un utente vSZ autenticato fornisce un indirizzo IP come argomento da eseguire in un comando del sistema operativo, ma questo indirizzo IP non viene sanificato. Un utente potrebbe fornire altri comandi invece di un indirizzo IP per ottenere l’esecuzione di codice remoto.
[CVE-2025-44963] Segreti hardcoded, incluso il token JWT (CWE-321: Uso di una chiave crittografica hardcoded). RND utilizza una chiave segreta sul server web backend per garantire la validità dei JWT di sessione. Questa chiave segreta è hardcoded nel server web. Chiunque conosca la chiave segreta potrebbe creare un JWT valido, aggirando così la tipica autenticazione per accedere al server con privilegi di amministratore.
[CVE-2025-44955] Segreti hardcoded (CWE-259: Utilizzo di password hardcoded). RND include un ambiente jailed che consente agli utenti di configurare i dispositivi senza accesso shell completo al sistema operativo sottostante. L’ambiente jailed include un jailbreak integrato che consente ai tecnici di elevare i privilegi. Il jailbreak richiede una password debole, hardcoded nell’ambiente. Chiunque disponga di questa password può accedere a un server RND con permessi di root.
[CVE-2025-6243] Chiave pubblica SSH hardcoded (CWE-321: Uso di una chiave crittografica hardcoded). Sulla piattaforma RND esiste un utente predefinito chiamato sshuser, con privilegi di root. Sia la chiave SSH pubblica che quella privata sono presenti nella directory home di sshuser. Chiunque possieda la chiave privata può accedere a un server RND come sshuser.
[CVE-2025-44958] Password recuperabili (CWE-257: Memorizzazione delle password in un formato recuperabile). RND crittografa le password con una chiave segreta debole codificata in modo rigido e le restituisce in chiaro. Se il server venisse compromesso, un aggressore potrebbe ottenere tutte le password in chiaro e decifrarle.
L’impatto potenziale di queste vulnerabilità va dalla compromissione delle reti wireless aziendali al furto di credenziali di accesso e configurazioni interne, fino al blocco dei servizi di connettività. Gli esperti raccomandano misure di mitigazione come la segregazione delle reti, il blocco delle porte non indispensabili e un monitoraggio continuo delle anomalie. Tuttavia, la mancanza di patch ufficiali obbliga molte realtà a operare in un contesto di rischio elevato fino all’intervento diretto del vendor.
ServiceNow: nuova vulnerabilità consente l’enumerazione di dati riservati
Parallelamente, è emersa una nuova vulnerabilità nei sistemi ServiceNow, piattaforma leader per la gestione dei servizi IT e workflow digitali. Il bug consente a un utente non autorizzato di enumerare informazioni sensibili e accedere a dati teoricamente riservati tramite tecniche di enumeration avanzate sugli endpoint dell’applicazione.
La falla si manifesta in una cattiva gestione delle richieste HTTP e delle risposte generate dal backend ServiceNow, che permette di dedurre l’esistenza di record, utenti o altri dati protetti anche senza privilegi di accesso formale. L’exploitabilty è aggravata dalla natura SaaS della piattaforma, che serve migliaia di aziende nel mondo e si integra spesso con sistemi HR, ticketing, gestione asset e processi mission critical.
ServiceNow ha preso atto del problema e avviato l’analisi per sviluppare una patch definitiva, ma nel frattempo si raccomanda ai responsabili di sicurezza di monitorare i log delle API, limitare le esposizioni pubbliche delle istanze e valutare la possibilità di attivare controlli di sicurezza supplementari come Web Application Firewall (WAF) e autenticazione multifattore per le API.
Dettaglio tecnico: i rischi delle infrastrutture senza patch e delle vulnerabilità SaaS
La situazione di Ruckus Networks evidenzia il pericolo concreto derivante da sistemi di gestione di rete esposti su Internet senza un ciclo di aggiornamento regolare. Le vulnerabilità command injection e privilege escalation sono tra le più gravi in ambito networking perché consentono l’automazione degli attacchi, la persistenza e la compromissione a catena di numerosi dispositivi connessi. L’assenza di patch incrementa la finestra temporale di esposizione e può generare brecce irreparabili in ambienti ad alta densità di accessi, come campus universitari, sedi corporate, hotel, ospedali.
Nel caso di ServiceNow, la minaccia principale è rappresentata dalla possibilità di data enumeration su grandi volumi di dati sensibili, incluse anagrafiche personali e workflow aziendali. Anche un accesso limitato, se combinato con tecniche di probing, può rivelare informazioni critiche o consentire attacchi di escalation su piattaforme SaaS largamente diffuse e integrate nei processi di business digitalizzati.
