Sommario
Sophos, SonicWall e Mitel hanno rilasciato aggiornamenti di sicurezza urgenti per risolvere vulnerabilità critiche che espongono le loro soluzioni a esecuzione di codice remoto (RCE), upload arbitrario e bypass di autenticazione, mentre una serie di attacchi informatici ha preso di mira sviluppatori, imprese e infrastrutture digitali strategiche. Gli hacker, sfruttando falle note e zero-day, hanno infettato repository GitHub, compromesso pacchetti npm e colpito server SharePoint con malware e ransomware, causando perdite economiche significative e downtime estesi. Secondo gli analisti, nel 2025 si registra un aumento del 20% negli exploit zero-day, con una crescita esponenziale degli attacchi alla supply chain e delle tecniche di doppia estorsione. In risposta, la Cybersecurity and Infrastructure Security Agency (CISA) ha inserito le vulnerabilità nei suoi elenchi di Known Exploited Vulnerabilities (KEV) e ha ordinato patch immediate per le agenzie federali statunitensi. La rapidità con cui i gruppi criminali sfruttano falle note impone alle imprese una tempestiva gestione delle patch, l’adozione di MFA e il monitoraggio costante dei log.
Vulnerabilità critiche nei firewall Sophos e nei gateway SonicWall SMA
Sophos ha corretto cinque vulnerabilità nei suoi firewall, tra cui CVE-2025-6704, una falla in Secure PDF Exchange (SPX) che permette la scrittura di file arbitrari in ambienti ad alta disponibilità (HA), con un punteggio CVSS di 9,8. Un attacco riuscito consente RCE pre-autenticato. Un’altra vulnerabilità, CVE-2025-7624, sfrutta un’SQL injection nel proxy SMTP legacy e consente esecuzione di codice remoto se la quarantena è attiva. Anche questa ottiene un punteggio CVSS di 9,8. CVE-2025-7382 riguarda una command injection nell’interfaccia WebAdmin, sfruttabile su nodi ausiliari in ambienti HA, se l’autenticazione OTP è abilitata (CVSS 8,8). Altri due bug, CVE-2024-13974 (problema nella logica di aggiornamento Up2Date, CVSS 8,1) e CVE-2024-13973 (SQL injection post-autenticata, CVSS 6,8), completano il quadro delle vulnerabilità sanate nella versione v21.0 GA. Le falle, sebbene richiedano configurazioni specifiche, sono state attivamente sfruttate per installare backdoor. Sophos ha rilasciato patch complete, invitando gli amministratori a eseguire gli aggiornamenti senza ritardi. Nel frattempo, SonicWall ha affrontato CVE-2025-40599, un bug critico in SMA 100 che consente upload arbitrari di file attraverso l’interfaccia web, sfruttabile con privilegi di amministratore. Il bug impatta SMA 210, 410 e 500v, ma non riguarda SMA 1000 o SSL-VPN su firewall. La vulnerabilità, con un CVSS di 9,1, non risulta ancora sfruttata in modo massivo, ma SonicWall avverte del rischio imminente. Il gruppo UNC6148 avrebbe già preso di mira istanze vulnerabili con il rootkit OVERSTEP, rubando dati sensibili e distribuendo il ransomware Abyss. Per mitigare il rischio, SonicWall ha rilasciato la build 10.2.2.1-90sv. Gli utenti di SMA 500v devono inoltre reinstallare la macchina virtuale OVA, esportare le configurazioni, rimuovere le vecchie VM e abilitare MFA, firewall applicativo (WAF) e reset OTP, come suggerito dal vendor.
Dettaglio tecnico: CVE-2025-40599 e il bug in SonicWall SMA
CVE-2025-40599, corretto da SonicWall, è una vulnerabilità che consente upload arbitrari attraverso l’interfaccia web dei dispositivi SMA 100. Gli attaccanti in possesso di credenziali admin compromesse possono caricare file malevoli, ottenendo così esecuzione di codice remoto. Il bug deriva dalla mancanza di restrizioni sui file caricati. Il gruppo UNC6148 ha sfruttato questa falla per installare il rootkit OVERSTEP, rubare dati sensibili e distribuire ransomware Abyss. SonicWall ha corretto la vulnerabilità nella versione 10.2.2.1-90sv. Gli utenti di SMA 500v devono reinstallare le VM OVA, esportando la configurazione e rimuovendo le vecchie macchine virtuali. Le mitigazioni consigliate includono: limitare l’accesso remoto, resettare le password, reinizializzare OTP, abilitare MFA e attivare un WAF per rafforzare la protezione. Queste misure, se attuate correttamente, bloccano l’exploitation del bug e riducono drasticamente la superficie d’attacco.
Mitel risolve bypass di autenticazione in MiVoice MX-ONE
Mitel ha annunciato una patch per una grave vulnerabilità non ancora tracciata con CVE, ma classificata critica, presente nel componente Provisioning Manager di MiVoice MX-ONE. Il bug permette accesso non autenticato ad account con privilegi di amministratore, senza interazione dell’utente e con bassa complessità di attacco. Le versioni interessate sono comprese tra 7.3 e 7.8 SP1. La vulnerabilità consente agli attaccanti di eseguire comandi arbitrari, compromettere i sistemi, accedere a dati sensibili e compromettere l’integrità dell’intera infrastruttura. Mitel ha distribuito patch nelle release MXO-15711_78SP0 e MXO-15711_78SP1, accessibili tramite partner autorizzati. Il vendor raccomanda di non esporre pubblicamente i servizi MiVoice, limitandone l’accesso a reti fidate e protette. Sebbene non siano stati ancora osservati exploit attivi, CISA ha già emesso allarmi su falle simili in altri prodotti Mitel, come MiCollab. Qui, CVE-2024-55550 permette lettura arbitraria di file, mentre CVE-2025-52914 è una SQL injection in grado di eseguire comandi nel database. Mitel invita le organizzazioni ad effettuare audit, monitorare i log e rafforzare la postura di sicurezza, soprattutto nei settori strategici come sanità, finanza e pubblica amministrazione, dove la piattaforma è ampiamente adottata da oltre 60.000 clienti e 75 milioni di utenti.
Toptal: pacchetti npm come vettore di attacco
Il 20 luglio 2025, hacker hanno compromesso l’account GitHub ufficiale di Toptal, rendendo pubblici 73 repository privati e pubblicando 10 pacchetti npm malevoli contenenti codice dannoso. I pacchetti, distribuiti tramite il namespace @toptal e @xene, includevano versioni apparentemente legittime di componenti del design system Picasso, tra cui @toptal/picasso-tailwind v3.1.0, @toptal/picasso-forms v73.3.2, @toptal/picasso-utils v3.2.0 e altri. I pacchetti sono stati scaricati circa 5.000 volte prima della rimozione da parte di npm, e includevano script preinstall e postinstall manipolati. Il primo rubava token CLI, inviandoli a un webhook controllato dagli attaccanti, mentre il secondo tentava la cancellazione del file system con comandi sudo rm -rf su Linux e comandi silenziosi su Windows. Gli esperti ritengono che l’attacco sia stato possibile tramite phishing o compromissione insider, e che il codice abbia infettato sviluppatori backend, ambienti di build e test. Toptal ha deprecato ufficialmente i pacchetti il 23 luglio, ripristinando versioni pulite ma senza rilasciare un comunicato pubblico ufficiale. Gli sviluppatori sono stati invitati a ripristinare versioni precedenti al 18 luglio, resettare i token GitHub e ruotare le credenziali. L’incidente mostra la fragilità della supply chain software e ricorda attacchi precedenti come l’hijack di ESLint.
