Vulnerabilità

Aws, Qnap e Cisco rilasciano patch urgenti per vulnerabilità zero-day sfruttate al Pwn2Own

di Redazione
scritto da Redazione 0 commenti

Le aziende AWS, Qnap e Cisco hanno rilasciato aggiornamenti di sicurezza urgenti per correggere una serie di vulnerabilità zero-day già sfruttate in attacchi attivi, che hanno colpito infrastrutture critiche e dispositivi di rete in tutto il mondo. Le falle, individuate sia durante il concorso Pwn2Own Ireland 2025 che in contesti operativi reali, esponevano NAS Qnap e firewall Cisco ASA/FTD a rischi di intrusione remota e denial of service. Ion-C di Amazon, invece, è una libreria per il linguaggio C utilizzata per leggere e scrivere dati Amazon Ion. I ricercatori di sicurezza hanno dimostrato sette exploit funzionanti sui dispositivi Qnap, mentre due vulnerabilità nei firewall Cisco, già sotto osservazione dal 2024 per la campagna ArcaneDoor, hanno portato a nuovi casi di riavvii forzati e blocchi di rete. Entrambe le aziende raccomandano l’applicazione immediata delle patch, evidenziando come questi zero-day possano compromettere reti aziendali, data center e sistemi di backup.

Panoramica sulle vulnerabilità Qnap

Durante Pwn2Own Ireland 2025, i ricercatori hanno individuato sette vulnerabilità zero-day che affliggono i sistemi operativi QTS e QuTS hero, oltre a diverse applicazioni integrate nei NAS Qnap. Le falle, identificate come CVE-2025-62847, CVE-2025-62848 e CVE-2025-62849, consentono l’esecuzione di codice remoto non autenticato. Altri bug critici colpiscono Hyper Data Protector (CVE-2025-59389), Malware Remover (CVE-2025-11837) e HBS 3 Hybrid Backup Sync (CVE-2025-62840, CVE-2025-62842). I team Summoning Team, Devcore, Team Ddos e un ricercatore interno di Cycraft hanno dimostrato exploit in grado di compromettere completamente dispositivi NAS connessi online. Gli esperti di sicurezza hanno ricevuto oltre 939.800 euro in premi per 73 zero-day scoperti durante l’evento, di cui una parte significativa riguardava Qnap. A seguito delle dimostrazioni, Qnap ha pubblicato un advisory ufficiale confermando la vulnerabilità e invitando gli utenti a installare gli aggiornamenti firmware e applicativi per prevenire accessi non autorizzati. L’azienda ha ricordato che dispositivi non aggiornati restano esposti a intrusioni, furti di dati e installazione di malware, come dimostrato in precedenti edizioni del Pwn2Own.

Dettagli sulle patch Qnap

Le patch rilasciate da Qnap introducono versioni correttive per sistemi operativi e applicazioni chiave.

  • QTS è aggiornato alla versione 5.2.7.3297 build 20251024 o successive.
  • QuTS hero viene corretto nelle versioni h5.2.7.3297 e h5.3.1.3292 build 20251024.
  • Hyper Data Protector passa alla versione 2.2.4.1, mentre Malware Remover è aggiornato a 6.6.8.20251023.
  • HBS 3 Hybrid Backup Sync riceve la versione 26.2.0.938 o successive.

Gli amministratori possono aggiornare i sistemi direttamente da Pannello di controllo → Sistema → Aggiornamento firmware, o tramite App Center per le applicazioni. Qnap ha inoltre risolto una vulnerabilità critica SQL injection (CVE-2025-52425) in QuMagie 2.7.0, che permetteva a un attaccante remoto di eseguire comandi arbitrari. Il produttore consiglia inoltre di cambiare le password di amministrazione, limitare l’esposizione Internet dei dispositivi e attivare autenticazione a due fattori, per ridurre ulteriormente i rischi.

Impatto delle vulnerabilità Qnap

Le falle presentate al Pwn2Own dimostrano che un attacco può avvenire senza autenticazione e con minimo intervento utente, consentendo l’accesso remoto e la manipolazione dei dati archiviati. Gli exploit più gravi consentivano l’esecuzione di codice a livello di sistema operativo e l’intercettazione dei flussi di backup. I ricercatori hanno mostrato che dispositivi NAS esposti online potevano essere compromessi in pochi secondi. Qnap ha confermato che le patch eliminano la possibilità di exploit dimostrati e che i dispositivi aggiornati non risultano vulnerabili. Tuttavia, i NAS non patchati possono ancora subire downtime, furti di dati o installazione di backdoor.

Panoramica sulle vulnerabilità Cisco

Parallelamente, Cisco ha pubblicato aggiornamenti di sicurezza per correggere due zero-day attivamente sfruttate nei firewall ASA e FTD. Le vulnerabilità, tracciate come CVE-2025-20362 e CVE-2025-20333, permettono rispettivamente accesso non autenticato a URL riservate e esecuzione di codice remoto da parte di attaccanti autenticati. In combinazione, queste falle possono fornire controllo completo del dispositivo. Gli exploit sono collegati alla campagna di spionaggio ArcaneDoor, attribuita a un gruppo statale avanzato che nel 2024 aveva già impiantato malware come Line Dancer e Line Runner sui firewall Cisco compromessi. Il 5 novembre 2025, Cisco ha inoltre rilevato una variante di attacco DoS che provoca riavvii ripetuti e perdita di connettività, confermata come nuovo zero-day correlato. Secondo Shadowserver, oltre 34.000 dispositivi Cisco vulnerabili risultano ancora esposti online, sebbene in calo rispetto ai 50.000 di settembre.

Dettagli sulle patch Cisco

Cisco ha risolto le falle principali con gli aggiornamenti di settembre 2025 e ha rilasciato nuove patch per:

  • CVE-2025-20358 e CVE-2025-20354, vulnerabilità nel Contact Center che consentivano bypass dell’autenticazione e comandi con privilegi root.
  • CVE-2025-20363, falla critica in IOS e firewall ASA/FTD per esecuzione di codice remoto.
  • CVE-2025-20352, che permetteva l’installazione di un rootkit su sistemi Linux embedded.

Cisco raccomanda di applicare gli aggiornamenti immediatamente e di verificare la versione software rispetto alle tabelle PSIRT. La CISA statunitense ha emesso una direttiva di emergenza ordinando alle agenzie federali di patchare entro 24 ore o disconnettere i dispositivi end-of-support.

Impatto delle vulnerabilità Cisco

Gli attacchi legati a ArcaneDoor hanno già portato a breach in reti governative e a downtime estesi in infrastrutture critiche. Le catene di exploit combinate permettono esecuzione di codice, furto dati e disattivazione dei firewall, aprendo la strada a ulteriori compromissioni interne. Il gruppo STORM-1849 (UAT4356), tracciato da Microsoft, utilizza loader Line Dancer e backdoor Line Runner per mantenere la persistenza. Gli analisti ritengono che le varianti DoS più recenti siano un’evoluzione delle tattiche impiegate nel 2024.

Misure di mitigazione comuni

Sia Qnap che Cisco sottolineano la necessità di aggiornamenti tempestivi e audit di sicurezza regolari.
Gli amministratori dovrebbero:

  • Verificare le versioni firmware e software installate;
  • Isolare i dispositivi non aggiornati in VLAN dedicate;
  • Abilitare autenticazione multifattore e accesso VPN;
  • Monitorare i log di sistema per rilevare attività anomale;
  • Utilizzare strumenti come Shadowserver per verificare l’esposizione online.

Entrambe le aziende collaborano attivamente con le autorità di sicurezza e con le community di ricerca per condividere intelligence e accelerare il rilascio dei fix. Le vulnerabilità dimostrano che la velocità di patching resta un elemento cruciale nella difesa dalle minacce zero-day.

Legami con campagne avanzate

Le due ondate di exploit mostrano come le campagne di cyber-spionaggio e i contest di sicurezza convergano nel ciclo di scoperta e correzione delle vulnerabilità. Mentre Pwn2Own consente la segnalazione etica e premia la ricerca responsabile, operazioni come ArcaneDoor rivelano l’uso offensivo delle stesse falle da parte di attori statali. Secondo gli esperti, la collaborazione tra vendor, ricercatori e agenzie di sicurezza sarà determinante per anticipare le prossime minacce, soprattutto nei settori energetico, governativo e industriale, dove dispositivi Qnap e Cisco rappresentano nodi critici.

CVE-2025-12829 – Problema di overflow di interi in Amazon Ion-C

Ion-C di Amazon è una libreria per il linguaggio C utilizzata per leggere e scrivere dati Amazon Ion. Identificato  come CVE-2025-12829 , che descrive un problema di lettura dello stack non inizializzato nelle versioni di Ion-C <v1.1.4 che potrebbe consentire a un agente della minaccia di creare dati e serializzarli in testo Ion in modo tale che i dati sensibili in memoria possano essere esposti tramite sequenze di escape UTF-8. Amazon ha risolto il problema nella  versione 1.1.4 di Ion-C . Si consiglia di accettare dati solo da fonti attendibili, scritte utilizzando una libreria Ion supportata.

La redazione di Matrice Digitale è specializzata in cybersecurity, OSINT, intelligenza artificiale e geopolitica tecnologica. Con inchieste indipendenti e analisi approfondite, raccontiamo come privacy, sorveglianza e innovazione digitale plasmano la società, anticipando i rischi e le sfide ignorate dai media tradizionali.