La CISA (Cybersecurity and Infrastructure Security Agency) ha emesso un avviso urgente per diverse vulnerabilità critiche che interessano F5 Big-IP, Adobe Experience Manager (AEM) e Microsoft Windows Server 2025. Le falle identificate includono un nuovo CVE con punteggio CVSS 10.0, sfruttato attivamente in rete, e un bug che compromette la sincronizzazione dei gruppi Active Directory. L’agenzia statunitense inserisce tali vulnerabilità nel catalogo KEV (Known Exploited Vulnerabilities) e impone tempistiche stringenti per la mitigazione da parte delle agenzie federali, evidenziando la gravità e l’urgenza delle patch.
Cosa leggere
Vulnerabilità critiche e exploit rubati nei dispositivi F5 Big-IP
Le vulnerabilità sui dispositivi F5 Big-IP derivano da un incidente di sicurezza che ha coinvolto codice proof-of-concept rubato dal repository GitHub di un ricercatore. L’attacco, condotto da un attore cyber affiliato a uno Stato-nazione, ha portato alla esfiltrazione del codice sorgente Big-IP proprietario e di informazioni riservate su falle non ancora corrette, fornendo un vantaggio tecnico per exploit avanzati. F5 ha rilasciato un advisory di sicurezza (K04512330) e patch correttive per le versioni 13.1.0-17.1.1.2, raccomandando l’aggiornamento immediato alle release 17.1.1.3 o superiori. Le vulnerabilità principali includono: CVE-2023-4674, che causa crash remoti tramite pacchetti ICMP malevoli (CVSS 7.5); CVE-2023-4675, che consente esaurimento di risorse via richieste HTTP/2 malformate (CVSS 7.5); CVE-2023-4676, che abilita esecuzione di codice arbitrario in configurazioni specifiche (CVSS 8.8); CVE-2023-4677, che provoca disclosure di dati sensibili (CVSS 5.3). Ulteriori CVE minori, come CVE-2023-4678 e CVE-2023-4679, espongono a cross-site scripting. F5 ha precisato che, pur non essendoci evidenze di exploit attivi, la pubblicazione del codice aumenta notevolmente la probabilità di attacchi, invitando clienti e agenzie a verificare l’integrità delle patch tramite checksum ufficiali.
Direttiva emergente CISA ED 26-01 sui dispositivi F5
Il 15 ottobre 2025 la CISA ha emanato la direttiva emergente ED 26-01, ordinando a tutte le agenzie federali statunitensi di mitigare immediatamente le vulnerabilità nei dispositivi F5 Big-IP. La direttiva copre l’intero ecosistema F5: F5OS, Big-IP TMOS, Virtual Edition, Big-IQ, Big-IP Next e BNK/CNF, richiedendo la validazione MD5 delle immagini software e la chiusura di tutte le interfacce di gestione esposte a Internet. Le agenzie devono aggiornare entro il 22 ottobre 2025 i sistemi F5OS e TMOS, e entro il 31 ottobre 2025 gli altri dispositivi, oltre a inviare l’inventario dei sistemi vulnerabili alla CISA entro il 29 ottobre. Il documento impone anche la disconnessione dei dispositivi end-of-support, la rimozione di cookie non sicuri e l’applicazione delle misure di hardening ufficiali fornite da F5. CISA sottolinea che gli attori statali che hanno sottratto il codice sorgente possiedono ora conoscenze privilegiate per sfruttare vulnerabilità ancora non divulgate, innalzando la minaccia verso le reti federali e i sistemi di infrastruttura critica.
Falla critica in Adobe Experience Manager Forms
La vulnerabilità CVE-2025-54253, aggiunta da CISA al catalogo KEV, colpisce Adobe Experience Manager (AEM) Forms su JEE nelle versioni 6.5.23.0 e precedenti. Si tratta di un bug di misconfigurazione critica nel servlet /adminui/debug, che consente la valutazione di espressioni OGNL non filtrate come codice Java, aprendo la strada a esecuzione di comandi arbitrari da remoto senza autenticazione. Con un punteggio CVSS 10.0, rappresenta la massima severità possibile. Adobe ha corretto il problema con la release 6.5.0-0108 distribuita ad agosto 2025, che include anche la patch per CVE-2025-54254 (CVSS 8.6). Sono già disponibili proof-of-concept pubblici, e la CISA segnala evidenze di sfruttamento attivo, imponendo alle agenzie federali di aggiornare entro il 5 novembre 2025.
CVE-2025-54253 Adobe Experience Manager Forms Code Execution Vulnerability
La vulnerabilità permette a un attore remoto di inviare richieste HTTP malevoli e ottenere controllo completo dell’istanza AEM, con possibilità di furto dati e movimenti laterali all’interno di ambienti enterprise. In parallelo, CISA ha incluso anche CVE-2016-7836 che riguarda SKYSEA Client View, software di monitoraggio giapponese vulnerabile a esecuzione di codice remoto via TCP, attivo sin dal 2016.
Catalogo KEV e priorità di remediation
Il catalogo KEV resta lo strumento centrale per la gestione delle vulnerabilità note e sfruttate attivamente. In base alla direttiva BOD 22-01, le agenzie FCEB (Federal Civilian Executive Branch) sono obbligate a correggere le falle entro le date specificate, mentre le organizzazioni private vengono invitate a prioritizzare la remediation per ridurre il rischio di compromissioni derivanti da exploit già disponibili pubblicamente. CISA ricorda che le vulnerabilità del catalogo rappresentano vettori di attacco ricorrenti, spesso impiegati in catene di compromissione multi-stadio, e che il mancato aggiornamento espone a rischio operativo e reputazionale.
Problemi di sincronizzazione su Windows Server 2025
Microsoft ha confermato un bug di sincronizzazione in Active Directory Domain Services (AD DS) su Windows Server 2025 causato dagli aggiornamenti di sicurezza di settembre 2025 (KB5065426). L’anomalia colpisce gruppi di sicurezza con oltre 10.000 membri, provocando sincronizzazione incompleta e malfunzionamenti nei processi di replica. Il problema coinvolge anche Microsoft Entra Connect Sync, con impatti su ambienti enterprise che utilizzano DirSync per sincronizzare identità cloud e locali. Microsoft suggerisce temporaneamente un workaround via registry key, creando il valore DWORD 2362988687 in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides e impostandolo su 0. Tuttavia, la società avverte dei rischi legati a modifiche manuali del registro, che possono richiedere la reinstallazione completa del sistema operativo in caso di errore. Parallelamente, è emerso un secondo problema che blocca gli aggiornamenti da share di rete tramite Windows Update Standalone Installer su Windows 11 24H2 e Windows Server 2025, per cui è stato attivato un Known Issue Rollback automatico. Microsoft è al lavoro su una soluzione permanente e prevede di integrarla nel prossimo ciclo di patch.
Implicazioni e raccomandazioni operative
Il quadro delineato da CISA e Microsoft evidenzia come le falle critiche nei prodotti infrastrutturali e le anomalie nei sistemi enterprise rappresentino fattori di rischio convergenti per la resilienza IT. L’esfiltrazione del codice sorgente F5, lo sfruttamento attivo delle falle Adobe AEM e i bug non ancora risolti in Windows Server impongono un approccio coordinato di vulnerability management. È essenziale validare i checksum ufficiali delle patch, limitare le interfacce di management esposte, aggiornare tempestivamente i sistemi e monitorare i log per attività anomale su processi critici come HTTP/2, servlet JEE e DirSync. Le organizzazioni dovrebbero inoltre adottare policy di segmentazione di rete, revisione dei privilegi e test periodici delle patch su ambienti di staging prima del rilascio in produzione.
