Le recenti vulnerabilità di sicurezza mettono sotto pressione infrastrutture digitali strategiche, dal cloud enterprise fino ai sistemi industriali. Una falla critica è stata scoperta in OneLogin, con rischio di esposizione di client secrets OIDC, mentre un bug software interessa il Media Creation Tool di Microsoft su Windows 11 ARM64. In parallelo, la CISA ha pubblicato dieci advisories che coinvolgono diversi vendor di sistemi ICS, tra cui Rockwell Automation e Festo. Questi incidenti, di natura diversa ma ugualmente gravi, evidenziano la necessità di applicare patch tempestive, eseguire audit regolari e adottare strategie di mitigazione basate sul principio del least privilege.
Cosa leggere
Falla critica in OneLogin espone secrets
Clutch Security ha identificato la vulnerabilità CVE-2025-59363 in OneLogin, con punteggio CVSS 7.7. Il problema risiede nell’endpoint /api/2/apps, che restituiva risposte contenenti secrets OIDC in chiaro. Un attaccante con credenziali valide poteva enumerare applicazioni e sottrarre i secrets, aprendo la strada a impersonazioni di app legittime e a potenziali attacchi supply chain. Con oltre 5.500 clienti e circa 110.000 applicazioni potenzialmente esposte, la portata del rischio era notevole. OneLogin ha rilasciato la versione 2025.3.0 con un fix e ha raccomandato la revoca e rigenerazione dei secrets. Le imprese devono inoltre monitorare i log per individuare accessi anomali e limitare i permessi API in linea con i principi di sicurezza granulare.
Bug blocca tool Microsoft su ARM64
Un bug nel Media Creation Tool di Windows 11 ARM64 ha bloccato la possibilità di creare supporti di installazione dopo il rollout della versione 25H2. Gli utenti su dispositivi Arm64 visualizzano messaggi di errore che impediscono l’esecuzione del tool, identificato nella build 26100.6584. Microsoft ha confermato l’anomalia, spiegando che la funzione di generazione cross-architettura non funziona correttamente. L’impatto è limitato, ma interessa dispositivi come Surface Pro X, riducendo la flessibilità nelle installazioni. L’azienda suggerisce come workaround l’utilizzo del tool su dispositivi AMD64, mentre indaga per una correzione definitiva. Il bug evidenzia carenze di testing sull’architettura ARM e pone interrogativi sulla maturità del supporto in scenari enterprise.
CISA avvisa su dieci falle ICS
Il 30 settembre 2025 la CISA ha emesso dieci advisories ICS che colpiscono vendor come Festo, Rockwell Automation, Keysight Technologies e National Instruments. Le vulnerabilità riguardano PLC, SCADA e componenti di automazione industriale, con rischi di accessi non autorizzati e potenziali downtime. Gli exploit potrebbero essere sfruttati per sabotaggi o interruzioni delle linee produttive.
- ICSA-25-273-01 MegaSys Enterprises Telenium Online Web Application
- ICSA-25-273-02 Festo SBRD-Q/SBOC-Q/SBOI-Q
- ICSA-25-273-03 Festo CPX-CEC-C1 and CPX-CMXX
- ICSA-25-273-04 Festo Controller CECC-S,-LK,-D Family Firmware
- ICSA-25-273-05 OpenPLC_V3
- ICSA-25-273-06 National Instruments Circuit Design Suite
- ICSA-25-273-07 LG Innotek Camera Multiple Models
- ICSA-25-063-02 Keysight Ixia Vision Product Family (Update A)
- ICSA-22-298-02 HEIDENHAIN Controller TNC (Update A)
- ICSA-25-226-26 Rockwell Automation FLEX 5000 I/O (Update A)
CISA raccomanda di applicare gli aggiornamenti firmware, rafforzare la segmentazione di rete e monitorare attivamente anomalie comportamentali nei sistemi. Le organizzazioni industriali sono invitate a dare priorità assoluta al patching, in quanto le vulnerabilità toccano processi critici in settori come energia, manifattura e trasporti. La collaborazione con i CERT internazionali e i vendor coinvolti ha permesso la pubblicazione di mitigazioni dettagliate.
