La sicurezza digitale globale vive un periodo di forte pressione, con incidenti sempre più frequenti, infrastrutture open source sotto stress, registri di pacchetti presi di mira e vulnerabilità critiche che faticano a essere chiuse definitivamente. In questo scenario, quattro eventi recenti offrono spunti fondamentali: l’advisory della CISA con le lezioni apprese da un engagement di incident response, l’allarme dell’OpenSSF sul futuro delle infrastrutture open source, le nuove misure di sicurezza adottate da GitHub per npm e la terza patch rilasciata da SolarWinds per una falla persistente in Web Help Desk.
Cosa leggere
Lezioni apprese da CISA negli incident response
La Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato un advisory in cui condivide le lezioni chiave tratte da attività di incident response dopo aver rilevato comportamenti maligni tramite strumenti di endpoint detection and response (EDR). Tra gli aspetti più rilevanti emersi figura l’exploitation di una vulnerabilità critica, GeoServer CVE-2024-36401, sfruttata dagli attaccanti per ottenere accesso iniziale ai sistemi bersaglio. Un episodio che ribadisce l’urgenza di una gestione tempestiva delle patch, soprattutto per le falle presenti nel catalogo Known Exploited Vulnerabilities (KEV) mantenuto dalla stessa agenzia.
La CISA invita le organizzazioni a:
- dare priorità al patching dei sistemi esposti a Internet, riducendo la superficie di attacco,
- mantenere piani di incident response aggiornati e testati regolarmente, comprensivi di procedure per ingaggiare rapidamente fornitori terzi e distribuire tool di sicurezza senza ritardi,
- rafforzare le capacità di monitoraggio tramite logging centralizzato out-of-band, così da individuare attività anomale anche in caso di compromissione degli strumenti interni.
Il messaggio è chiaro: migliorare la preparazione e la resilienza non è più opzionale, ma una necessità per ridurre i rischi di compromissione futura.
L’allarme dell’OpenSSF sulle infrastrutture open source
Mentre le agenzie governative spingono verso maggiore resilienza, l’ecosistema open source lancia un grido d’allarme. L’Open Source Security Foundation (OpenSSF), insieme ad altre sette fondazioni, ha pubblicato una dichiarazione congiunta che denuncia l’insostenibilità del modello attuale. Registri di pacchetti fondamentali come Maven Central, PyPI, crates.io, npm e Packagist gestiscono miliardi di download al mese, ma operano grazie a donazioni e risorse limitate. Una contraddizione che rischia di mettere in ginocchio la supply chain software globale. Secondo l’OpenSSF, il settore vive nell’illusione che tali infrastrutture siano “gratuite e infinite”, mentre i costi di banda, storage, compliance e personale crescono a ritmi vertiginosi. A complicare la situazione, il comportamento di alcuni attori peggiora ulteriormente lo scenario: sistemi di continuous integration, container build massivi e ora anche agenti AI saturano i registri con richieste automatiche, scaricando i costi sugli enti gestori. La proposta delle fondazioni è quella di avviare partnership formali con gli utilizzatori commerciali, adottare modelli di accesso “tiered” che offrano performance premium ai consumatori ad alto volume, introdurre servizi a valore aggiunto e maggiore trasparenza sui costi. Un cambio di paradigma che diventa urgente anche alla luce di nuove normative, come l’EU Cyber Resilience Act, che aumenteranno le responsabilità legali e operative di chi gestisce queste infrastrutture.
GitHub stringe la sicurezza su npm
A settembre, il registro npm ha vissuto uno dei periodi peggiori della sua storia recente, con campagne di phishing mirate ai maintainer e centinaia di pacchetti infetti da malware ruba-segreti. In risposta, GitHub ha annunciato un rafforzamento radicale delle misure di sicurezza.
Le principali novità includono:
- l’eliminazione dei token legacy e delle one-time password come metodi di autenticazione,
- l’adozione di token a vita breve e della two-factor authentication (2FA) come requisito obbligatorio,
- la spinta verso il modello di trusted publishing, già implementato da PyPI, basato su OpenID Connect e token short-lived per evitare il rischio di credenziali rubate.
In una prima fase, il trusted publishing è supportato solo tramite GitHub Actions e GitLab CI/CD, ma l’obiettivo è estendere progressivamente a più provider e repository. Nonostante le perplessità espresse da alcuni maintainer — che vedono in OIDC una misura non risolutiva — GitHub ha sottolineato la necessità di un cambiamento immediato, dato che gli attaccanti non attendono l’adozione graduale. Il risultato sarà un ecosistema npm più sicuro, ma anche più regolamentato, con implicazioni significative per gli sviluppatori che dovranno adattare i propri workflow.
SolarWinds: terzo tentativo di patchare la RCE in Web Help Desk
Infine, torna al centro delle cronache SolarWinds, già tristemente nota per vicende passate. L’azienda ha rilasciato un hotfix per la vulnerabilità critica CVE-2025-26399 in Web Help Desk (WHD), che consente l’esecuzione di codice remoto senza autenticazione. Questa falla è il terzo tentativo di correzione di un problema originato dalla CVE-2024-28986 e successivamente riemerso come bypass con altre due varianti (CVE-2024-28988 e ora CVE-2025-26399). L’origine della vulnerabilità risiede in una gestione insicura della deserializzazione nel componente AjaxProxy, e dimostra come patch incomplete possano lasciare le organizzazioni esposte per mesi. CISA aveva già inserito la CVE originale nel catalogo KEV, segnalando che fosse stata attivamente sfruttata in attacchi. Anche se al momento non ci sono evidenze pubbliche di exploitation della nuova variante, la gravità del bug impone un aggiornamento immediato. Il processo di installazione del fix richiede la sostituzione manuale di file JAR e l’aggiunta di nuove librerie, segno della complessità di una piattaforma adottata da numerose organizzazioni di medie e grandi dimensioni per la gestione dei ticket IT e dei flussi di supporto. Le quattro vicende, apparentemente diverse, raccontano la stessa storia: la cybersecurity moderna è fragile e interconnessa. Dalle vulnerabilità sfruttate sul campo alla sostenibilità economica delle infrastrutture, passando per i registri di pacchetti e i software aziendali, il messaggio è univoco: servono patch tempestive, modelli di supporto equi e misure di sicurezza strutturali. Se da un lato le agenzie come la CISA offrono linee guida pratiche per prepararsi meglio, dall’altro le fondazioni open source reclamano giustizia economica per sostenere un ecosistema da cui dipende l’intera industria tecnologica. Allo stesso tempo, provider come GitHub e vendor come SolarWinds devono affrontare attacchi concreti e vulnerabilità ricorrenti. Un quadro che rende evidente come la collaborazione, la trasparenza e l’innovazione nella difesa non siano più optional, ma pilastri imprescindibili della resilienza digitale globale.
