L’intelligenza artificiale e le infrastrutture di rete mostrano nuove vulnerabilità critiche, con rischi che spaziano dall’esfiltrazione di dati sensibili al remote code execution. Il 25 settembre 2025 emergono due fronti distinti ma convergenti: ForcedLeak in Salesforce AgentForce, che sfrutta debolezze intrinseche dei sistemi IA enterprise, e una serie di exploit remoti in prodotti Cisco con CVE a gravità fino a 9.9 che hanno richiesto l’intervento urgente della CISA a cui si si aggiunge un advisory sui sistemi di controllo industriali, che sottolinea la portata trasversale di queste minacce.
Cosa leggere
Rischi esposti in Salesforce AgentForce
I ricercatori di Noma Labs hanno scoperto ForcedLeak, una vulnerabilità CVSS 9.4 in Salesforce AgentForce che permette esfiltrazione dati CRM attraverso prompt injection indirette. Gli aggressori possono sfruttare campi utente come Description (fino a 42.000 caratteri) per inserire istruzioni maligne in moduli Web-to-Lead. Quando i dipendenti elaborano i lead, il modello IA processa anche istruzioni fraudolente, eseguendo query non autorizzate e inviando dati sensibili verso URL controllati.
La falla è amplificata da policy CSP permissive, che includevano domini scaduti come my-salesforce-cms.com, e da mancate restrizioni nel contesto IA. Proof of concept hanno dimostrato che payload con snippet HTML potevano causare richieste HTTP a server esterni, aprendo la strada a violazioni di compliance, furti di intelligence competitiva e danni reputazionali.
Dettagli tecnici e mitigazioni
l flusso d’attacco prevede: inserimento del payload → trigger umano in azienda → esecuzione query IA → esfiltrazione dati tramite richieste immagine verso server malevoli. Salesforce ha corretto il problema imponendo URL fidati per AgentForce ed Einstein, riassicurando domini scaduti e raccomandando sanitizzazione dei campi utente, revisione delle policy CSP e disabilitazione del Web-to-Lead non essenziale.
Parallelamente, Cisco ha pubblicato tre advisory critici.
– cisco-sa-http-code-exec-WmfP3h3O: CVE-2025-20363, CVSS 9.0, esecuzione codice remoto nei servizi web di Secure Firewall ASA/FTD, IOS, IOS XE, IOS XR. Exploit complesso ma senza necessità di privilegi o interazione utente.
– cisco-sa-asaftd-webvpn-z5xP8EUB: CVE-2025-20333, CVSS 9.9, esecuzione codice remoto sui server VPN web di ASA/FTD. Exploit a bassa complessità con privilegi minimi.
– cisco-sa-asaftd-webvpn-YROOTUW: CVE-2025-20362, CVSS 6.5, consente accesso non autorizzato a server VPN web. Gravità media, ma sfruttabile da remoto senza autenticazione.
In tutti i casi mancano workaround: le organizzazioni devono applicare immediatamente le patch per evitare compromissioni, furti dati e interruzioni di servizio.
CISA impone mitigazione vulnerabilità Cisco
La CISA ha emesso la direttiva d’emergenza ED 25-03 per contrastare due vulnerabilità zero-day in Cisco ASA e Firepower, sfruttate in campagne di spionaggio cibernetico da attori avanzati. I difetti, identificati come CVE-2025-20333 (CVSS 9.9) e CVE-2025-20362 (CVSS 6.5), riguardano i server VPN web delle piattaforme Adaptive Security Appliance e Threat Defense. Gli attaccanti possono ottenere esecuzione di codice remoto e accesso non autenticato a endpoint sensibili, compromettendo la sicurezza delle reti aziendali e governative. La direttiva obbliga le agenzie federali a inventariare i dispositivi vulnerabili, raccogliere dump di memoria per analisi forense e trasmettere i risultati entro le 23:59 EST del 26 settembre 2025.
Vulnerabilità CVE-2025-20333 e CVE-2025-20362
Il difetto CVE-2025-20333 deriva da validazioni improprie delle richieste HTTP/S nei server VPN web. Un attaccante con credenziali VPN valide può inviare richieste craftate ed eseguire codice arbitrario con privilegi root. La criticità è massima, con punteggio CVSS 9.9 e impatti gravi su confidenzialità, integrità e disponibilità. La CVE-2025-20362, invece, consente a un attaccante non autenticato di accedere a endpoint ristretti attraverso richieste HTTP manipolate. La gravità (CVSS 6.5) è inferiore ma resta significativa, poiché apre la strada a possibili chaining di exploit per bypass di autenticazione e successiva esecuzione di codice. Cisco ha confermato che entrambi i difetti sono stati sfruttati in the wild e che non esistono workaround, rendendo il patching immediato l’unica misura efficace.
Campagna ArcaneDoor e attori UAT4356
La direttiva si inserisce nel contesto della campagna ArcaneDoor, condotta da attori avanzati identificati come UAT4356 (alias Storm-1849). Questi gruppi manipolano la ROM dei dispositivi Cisco fin dal 2024, ottenendo persistenza anche dopo riavvii e aggiornamenti. Distribuiscono malware come Line Runner e Line Dancer, progettati per vivere solo in memoria, evitando i sistemi di rilevamento tradizionali. Gli impianti includono meccanismi anti-forensics in grado di sopprimere log e cancellare evidenze durante i dump. Secondo i rapporti condivisi da CISA e partner internazionali (tra cui ASD, ACSC, CCCS e NCSC UK), la campagna colpisce dispositivi perimetrali multi-vendor e si concentra su obiettivi di espionage-focused, sfruttando le funzionalità WebVPN per esfiltrare informazioni sensibili.
Azioni imposte dalla direttiva ED 25-03
Le agenzie federali devono:
– inventariare tutti i dispositivi Cisco ASA e Firepower, indipendentemente dalla versione;
– raccogliere dump di memoria e output diagnostici (show checkheaps, show tech-support, binary grep);
– eseguire controlli per identificare impianti come Line Runner e Line Dancer;
– trasmettere i file raccolti al portale Malware Next-Gen di CISA entro le scadenze fissate.
La direttiva è obbligatoria per tutte le agenzie civili federali, ma la CISA raccomanda anche alle organizzazioni private di applicare patch urgenti, seguire le guide di mitigazione e implementare controlli avanzati di monitoraggio e logging.
Indicatori di compromissione e mitigazioni
Gli IoC includono accessi sospetti a endpoint VPN, esecuzioni di comandi remoti, anomalie nei log ASA e attività denominate LINE VIPER. La rilevazione richiede dump di memoria, poiché gli impianti sono memory-resident. Cisco ha già rilasciato aggiornamenti correttivi nelle versioni successive alla 9.17.1.40 e nelle release 9.18.4.41, 9.19.1.32 e 9.20+, che risultano protette dall’overflow e dalle tecniche di path-normalization usate negli exploit.
Le mitigazioni includono:
– aggiornare immediatamente i dispositivi alle versioni sicure;
– limitare l’uso delle funzionalità WebVPN e Remote Access VPN se non essenziali;
– implementare logging dettagliato e monitoraggio continuo delle anomalie;
– adottare il principio del least privilege sugli accessi di rete;
– verificare l’integrità della ROM tramite Secure Boot.
Impatto e raccomandazioni
Queste vulnerabilità espongono le reti a compromissioni persistenti e a furti di dati di valore strategico. La campagna ArcaneDoor mostra come attori avanzati possano integrare zero-day e manipolazioni firmware per ottenere vantaggi di lungo termine nelle operazioni di spionaggio. Le agenzie federali hanno obblighi legali immediati, mentre le organizzazioni private, pur non vincolate dalla direttiva, sono fortemente incoraggiate ad adottare lo stesso livello di urgenza.
Advisory CISA su sistemi industriali
La CISA ha diffuso nello stesso giorno un avviso per sistemi di controllo industriale (ICS), invitando amministratori e utenti a rivedere le configurazioni e implementare mitigazioni.
ICSA-25-268-01 Dingtian DT-R002
Pur senza dettagli tecnici approfonditi, l’avviso segnala la crescente attenzione delle agenzie di sicurezza verso il rischio che exploit simili possano colpire infrastrutture critiche.
Implicazioni aziendali
La concomitanza di vulnerabilità in IA enterprise e in firewall di rete rivela una superficie d’attacco sempre più ampia: l’IA può diventare un canale di esfiltrazione invisibile, mentre le infrastrutture di rete restano bersagli privilegiati per l’esecuzione remota di codice. Le aziende devono adottare un approccio difensivo multilivello:
– patch immediate e monitoraggio costante,
– sanitizzazione dei campi input,
– policy di sicurezza più restrittive,
– logging e auditing avanzato su interazioni IA e traffico di rete.
Convergenza di rischi
Gli eventi del 25 settembre 2025 mostrano come i sistemi IA e i firewall critici rappresentino entrambi un punto di ingresso per gli attaccanti. Se le patch Cisco chiudono exploit con impatto immediato, la vulnerabilità ForcedLeak rivela un problema più strutturale: l’affidabilità degli agenti IA enterprise. La difesa richiede patching rapido, hardening delle policy CSP e soprattutto la capacità di trattare l’IA come un nuovo perimetro di sicurezza, soggetto a controlli e auditing allo stesso livello delle infrastrutture di rete.
