Sommario
Attori malevoli sfruttano vulnerabilità critiche in ExpressVPN, Veeam Recovery Orchestrator e CrushFTP, esponendo utenti a rischi di leak IP, lockout e hijack server. ExpressVPN corregge un bug che causa il bypass del tunnel VPN durante sessioni Remote Desktop, rivelando gli IP reali. Veeam affronta un problema nel rollout MFA che blocca l’accesso alla Web UI. Oltre 1.000 server CrushFTP restano esposti ad attacchi che concedono accesso admin non autorizzato. Questi incidenti, rilevati a luglio 2025, derivano da codice debug residuo, configurazioni errate e validazioni AS2 mishandled. Gli utenti subiscono potenziali esposizioni di dati sensibili. ExpressVPN impatta gli utenti Windows con RDP attivo. Veeam colpisce amministratori disaster recovery. CrushFTP minaccia i trasferimenti file enterprise. Le organizzazioni affrontano disruption operative. Microsoft e HPE non risultano correlate direttamente, ma emergono pattern simili nei rispettivi ecosistemi software. Gli esperti sottolineano l’urgenza di un patching immediato. Veeam consiglia il contatto con il supporto per fix personalizzati. CrushFTP raccomanda l’uso di DMZ e whitelisting IP. ExpressVPN rilascia la versione 12.101.0.45 per risolvere. Queste vulnerabilità critiche evidenziano la fragilità di tool quotidiani. Gli utenti devono verificare gli aggiornamenti per mitigare i rischi. Le brecce accelerano le regolazioni cybersecurity globali e spingono le organizzazioni a rafforzare i protocolli per prevenire recidive.
Bug in ExpressVPN e leak IP
ExpressVPN identifica un bug critico nei client Windows che causa il bypass del tunnel VPN durante sessioni Remote Desktop Protocol. Il problema nasce da codice debug interno incluso per errore in build di produzione. Gli utenti stabiliscono connessioni RDP su porta 3389 senza routing protetto, esponendo così gli IP reali a osservatori come ISP o attaccanti in rete. Il bug non compromette la crittografia generale, ma impatta solo il traffico RDP e altri TCP su quella porta. Gli utenti colpiti sono per lo più consumer, non enterprise. Le versioni interessate vanno dalla 12.97 alla 12.101.0.2-beta. Il fix è rilasciato nella versione 12.101.0.45 il 18 giugno 2025. Il ricercatore Adam-X segnala la vulnerabilità il 25 aprile 2025 via bug bounty, venendo premiato da ExpressVPN. Il bug non interessa altri protocolli o piattaforme. Gli utenti con RDP attivo sono invitati a verificare eventuali IP esposti nei log. ExpressVPN consiglia l’upgrade immediato e rafforza i controlli sulle build per evitare problemi simili. Il caso solleva dubbi sulla qualità del testing nei client VPN, mentre il fix ottimizza il tunnel per rendere sicure le sessioni RDP. La società ha avviato audit interni sul codice e invita gli utenti a monitorare anomalie nelle connessioni. Il caso dimostra come un semplice codice debug possa avere conseguenze sulla sicurezza.
Problema MFA in Veeam Recovery Orchestrator
Veeam Recovery Orchestrator subisce un lockout della Web UI dopo l’attivazione del MFA nella build 7.2.1.286. Gli utenti, dopo aver abilitato l’autenticazione a più fattori, perdono completamente l’accesso all’interfaccia web. Il problema è dovuto a una configurazione errata nella gestione del rollout. Veeam pubblica un advisory il 17 luglio 2025, precisando che la build colpita è rimasta disponibile tra l’8 e il 17 luglio. L’azienda consiglia il contatto diretto con il supporto per ottenere un fix personalizzato e sconsiglia l’installazione della 7.2.1.290 o l’uso del rollback. Il lockout impatta la gestione dei piani di disaster recovery, rendendo impossibile l’orchestrazione delle attività. Veeam conferma che si tratta di un issue noto e circoscritto, che non interessa le altre componenti della suite. Gli amministratori IT subiscono disruption operative. Veeam lavora a un rollout MFA più stabile, suggerendo agli utenti di verificare le build prima dell’attivazione. Il blocco deriva da una validazione post-MFA errata. L’azienda sta preparando una guidance dettagliata per il recovery, suggerendo workaround temporanei come la disabilitazione del MFA. Il caso evidenzia i rischi legati ad aggiornamenti rapidi non sufficientemente testati. Veeam rafforza il controllo qualità e invita i clienti a testare in ambienti staging. Il problema non impatta i dati di backup ma riduce l’efficacia dell’orchestrator. La società raccomanda backup delle configurazioni pre-MFA.
Esposizione server CrushFTP a hijack
Oltre 1.000 server CrushFTP restano esposti a un attacco di tipo hijack causato dalla vulnerabilità CVE-2025-54309, derivante da una validazione AS2 errata. Secondo Shadowserver, sono 1.040 le istanze vulnerabili rilevate il 19 luglio 2025, con attacchi attivi già dal giorno precedente. Gli hacker hanno effettuato reverse engineering del codice per sviluppare l’exploit. Le versioni vulnerabili sono state corrette con il rilascio delle build 10.8.5 e 11.3.4_23, che risolvono il bug critico. La falla consente accesso admin non autenticato all’interfaccia web, permettendo il furto di dati sensibili. CrushFTP è un tool per il managed file transfer ampiamente usato in ambito enterprise, esposto a rischi ransomware. In passato, anche la gang Clop ha sfruttato vulnerabilità simili. Gli attacchi si focalizzano su gathering di intelligence. CrushFTP consiglia un patching immediato, l’uso di DMZ, la revisione dei log e l’abilitazione degli aggiornamenti automatici. È inoltre raccomandato il whitelisting IP per i server e l’accesso amministrativo. La vulnerabilità ha origine in una validazione AS2 incompleta e richiama l’attenzione sui rischi nei software legacy. CrushFTP avvia audit interni e collaborazioni con Shadowserver per notificare i clienti a rischio. L’adozione di firewall, il monitoraggio continuo e l’isolamento dei server rappresentano le contromisure suggerite. Il caso mostra come le minacce ai sistemi di trasferimento file possano compromettere settori sensibili. La fiducia nella piattaforma subisce un colpo, mentre la società invita a testare le patch in staging.
Rischi e impatti delle vulnerabilità
Le vulnerabilità critiche analizzate causano esposizioni di dati sensibili, disruption operative e rischi di compromissione per milioni di utenti e aziende. ExpressVPN espone IP reali durante connessioni RDP, sollevando preoccupazioni sulla privacy degli utenti remoti. Veeam blocca l’accesso alla Web UI, causando ritardi nei piani di disaster recovery. CrushFTP permette il furto di dati tramite accesso admin non autenticato. Le conseguenze includono downtime, fughe di dati, ransomware e costi di remediation elevati. Le organizzazioni rafforzano le proprie difese attraverso monitoring avanzato, patching regolare e audit interni. Gli utenti sono chiamati a verificare le versioni software, abilitare log, controllare connessioni anomale e utilizzare configurazioni sicure. Gli incidenti dimostrano l’impatto di codice debug non rimosso e errori nei rollout di sicurezza. ExpressVPN premia il report tramite bug bounty. Veeam rielabora il proprio processo di testing. CrushFTP migliora la validazione AS2. I casi evidenziano una crescente pressione per migliorare le policy cybersecurity globali.
Mitigazioni e consigli di sicurezza
Per ExpressVPN, la mitigazione prevede l’aggiornamento alla versione 12.101.0.45 e la verifica della protezione del traffico RDP. Veeam invita al contatto diretto con il supporto tecnico, evitando l’installazione di build successive non corrette. CrushFTP raccomanda l’aggiornamento alle versioni 10.8.5 o 11.3.4_23, l’uso della DMZ, il monitoraggio dei log e la limitazione degli accessi tramite whitelisting IP. Le aziende sono invitate ad adottare EDR, testing in staging, backup regolari e formazione per il personale. ExpressVPN integra i controlli di produzione. Veeam rafforza le pratiche MFA. CrushFTP implementa protocolli AS2 aggiornati. Il coordinamento tra vendor e community è essenziale per una risposta rapida ed efficace.
