Sommario
L’ecosistema della sicurezza informatica è stato recentemente scosso dall’inserimento di nuove vulnerabilità nella Known Exploited Vulnerabilities Catalog (KEV) della CISA e dalla pubblicazione di advisory tecnici riguardanti prodotti chiave per l’IT enterprise, tra cui Citrix NetScaler, Asus Armoury Crate, Adobe Acrobat Reader e una serie di sistemi di controllo industriale. Queste segnalazioni evidenziano rischi reali per aziende e infrastrutture critiche, in particolare per la gestione centralizzata delle identità, l’accesso remoto, la manipolazione dei documenti e la sicurezza delle reti OT.
CVE-2025-5777: Citrix NetScaler ADC e Gateway sotto attacco con Citrix Bleed 2
La vulnerabilità CVE-2025-5777 è stata ufficialmente inserita da CISA tra quelle note e attivamente sfruttate. L’exploit, denominato anche Citrix Bleed 2, colpisce i prodotti Citrix NetScaler ADC e Gateway configurati come Gateway o AAA virtual server, consentendo a un attaccante di aggirare l’autenticazione tramite una lettura fuori dai limiti di memoria (out-of-bounds read). Questa falla, dovuta a una validazione insufficiente degli input, espone la memoria interna, permettendo il furto di token di sessione, credenziali e altri dati sensibili, con conseguente accesso non autorizzato a VPN, portali SSO e dashboard amministrative.
CVE-2025-5777 Citrix NetScaler ADC and Gateway Out-of-Bounds Read Vulnerability
Il rischio si estende a tutti gli ambienti in cui NetScaler agisce da punto di ingresso centrale per l’infrastruttura, rendendo possibili escalation di privilegi e movimenti laterali, specialmente nelle architetture ibride con segmentazione interna debole. La vulnerabilità è stata osservata in attacchi reali da più IP malevoli sparsi tra Bulgaria, Stati Uniti, Cina, Egitto e Finlandia, con target principali in USA, Francia, Germania, India e Italia. Il parallelo con il precedente Citrix Bleed (CVE-2023-4966) accentua la gravità del fenomeno, confermata da evidenze di exploit collegati anche a campagne ransomware come RansomHub.
CISA raccomanda l’aggiornamento immediato dei dispositivi alle versioni patchate (14.1-43.56 e successive), la terminazione forzata di tutte le sessioni attive e l’ispezione dei log (come ns.log) per rilevare accessi sospetti agli endpoint di autenticazione. Il rischio di hijack e replay di sessione, vista la natura memory leak del bug, è attualmente la preoccupazione maggiore.
Vulnerabilità in Asus Armoury Crate e Adobe Acrobat Reader: escalation locale e attacchi via PDF
Il team Cisco Talos ha recentemente scoperto due vulnerabilità critiche sia in Asus Armoury Crate sia in Adobe Acrobat Reader, già patchate dai rispettivi vendor. Per Asus Armoury Crate 5.9.13.0, il kernel driver AsIO3.sys è affetto da:
- CVE-2025-1533: buffer overflow basato su stack, attivabile tramite pacchetti I/O appositamente creati, che consente a un utente non privilegiato di eseguire codice a livello kernel.
- CVE-2025-3464: bypass delle autorizzazioni sfruttando un hard link malevolo, che permette di eludere i controlli di accesso e potenzialmente aumentare i privilegi.
Per Adobe Acrobat Reader 2025.001.20435, sono stati identificati:
- CVE-2025-43578: out-of-bounds read nel gestore dei font, attivabile tramite file PDF con font manipolati, potenzialmente causa di leak di informazioni sensibili.
- CVE-2025-43576: use-after-free nella gestione degli oggetti annotazione via Javascript in PDF malevoli, sfruttabile per corruzione di memoria ed esecuzione di codice arbitrario. In entrambi i casi, l’attaccante deve indurre la vittima ad aprire un file PDF malevolo.
CISA e advisory per sistemi industriali: focus ICS
Parallelamente, la CISA ha pubblicato tredici advisory relativi a Industrial Control Systems (ICS), fornendo dettagli tecnici e misure di mitigazione per vulnerabilità che impattano sistemi di automazione e reti OT.
- ICSA-25-191-01 Siemens SINEC NMS
- ICSA-25-191-02 Siemens Solid Edge
- ICSA-25-191-03 Siemens TIA Administrator
- ICSA-25-191-04 Siemens SIMATIC CN 4100
- ICSA-25-191-05 Siemens TIA Project-Server and TIA Portal
- ICSA-25-191-06 Siemens SIPROTEC 5
- ICSA-25-191-07 Delta Electronics DTM Soft
- ICSA-25-191-08 Advantech iView
- ICSA-25-191-09 KUNBUS RevPi Webstatus
- ICSA-25-191-10 End-of-Train and Head-of-Train Remote Linking Protocol
- ICSA-25-121-01 KUNBUS GmbH Revolution Pi (Update A)
- ICSA-25-135-19 ECOVACS DEEBOT Vacuum and Base Station (Update A)
- ICSA-24-263-02 IDEC Products (Update A)
Queste segnalazioni rafforzano la necessità di monitoraggio costante e aggiornamento tempestivo anche in ambito industriale, settore in cui la superficie d’attacco è in rapida espansione a causa dell’interconnessione crescente con le infrastrutture IT tradizionali.
Implicazioni e raccomandazioni operative
La coesistenza di vulnerabilità critiche in soluzioni di accesso remoto (Citrix), strumenti di gestione hardware (Asus), software di produttività (Adobe) e sistemi industriali ICS, delinea un panorama in cui ogni anello debole può essere sfruttato per movimenti laterali, escalation e attacchi multipiattaforma. Le organizzazioni devono:
- Aggiornare tempestivamente tutti i dispositivi e software segnalati con le patch ufficiali.
- Verificare la terminazione di sessioni potenzialmente compromesse e monitorare i log di autenticazione e accesso.
- Limitare l’esposizione degli endpoint critici e segmentare le reti per ostacolare i movimenti laterali.
- Formare il personale su rischi PDF e comportamenti sospetti nei sistemi di gestione hardware.
- Monitorare costantemente la pubblicazione di nuovi advisory e l’evoluzione delle campagne di exploit, sia in ambito IT sia OT.
