La sicurezza informatica globale affronta una nuova ondata di minacce: Amazon ha scoperto campagne di attacco che sfruttano vulnerabilità zero-day in Cisco Identity Services Engine (ISE) e Citrix NetScaler, due componenti critici delle infrastrutture enterprise. Questi exploit, identificati come CVE-2025-20337 e CVE-2025-5777, consentono rispettivamente esecuzione di codice remoto e bypass dell’autenticazione, con potenziali impatti devastanti su reti aziendali e sistemi di accesso remoto. Parallelamente, Microsoft ha rilasciato una patch per un bug di Task Manager che degrada le prestazioni di Windows 11, mentre la CISA (Cybersecurity and Infrastructure Security Agency) ha aggiunto entrambe le vulnerabilità al catalogo Known Exploited Vulnerabilities (KEV), imponendo patch immediate a tutte le agenzie federali statunitensi.
Cosa leggere
Vulnerabilità CVE-2025-20337 in Cisco ISE
Gli esperti di Amazon Threat Intelligence hanno individuato attività malevole che sfruttano la vulnerabilità CVE-2025-20337 in Cisco Identity Services Engine (ISE), valutata con punteggio CVSS 10.0, il massimo livello di gravità. Il bug permette esecuzione di codice remoto non autenticata con privilegi root, tramite una logica di deserializzazione Java vulnerabile. Secondo le analisi, un attore avanzato ha utilizzato la falla per distribuire una web shell personalizzata denominata IdentityAuditAction, operante interamente in memoria per evitare tracce forensi. L’exploit sfrutta meccanismi di reflection Java per iniettare codice nel thread di Apache Tomcat, monitorando tutte le richieste HTTP dirette al server. Il traffico è mascherato da crittografia DES e encoding Base64 non standard, accessibile solo tramite specifici header HTTP. Cisco ha confermato l’exploitation in-the-wild a fine luglio 2025, rilasciando una patch correttiva per tutte le branch del software ISE. Gli analisti di Amazon, tramite la rete di honeypot MadPot, hanno rilevato centinaia di tentativi di intrusione su istanze esposte in rete, segno di una campagna attiva e sofisticata. L’attore mostra una profonda conoscenza dell’architettura di Cisco ISE e delle sue API interne, evidenziando accesso a informazioni tecniche non pubbliche. Amazon raccomanda patching immediato e analisi dei log per identificare richieste anomale, mentre Cisco invita a implementare segmentazione di rete e controlli d’accesso dinamici per mitigare l’impatto potenziale.
Exploit CVE-2025-5777 su Citrix NetScaler
La seconda vulnerabilità scoperta, CVE-2025-5777, riguarda Citrix NetScaler ADC e Gateway. Classificata con CVSS 9.3, è già nota tra gli analisti come Citrix Bleed 2, evoluzione della precedente falla sfruttata da APT e gruppi ransomware nel 2023. Il bug consente un bypass dell’autenticazione pre-accesso, sfruttando una validazione insufficiente degli input che causa letture fuori dai limiti (out-of-bounds read). Gli attaccanti possono così esfiltrare dati sensibili dalla memoria del sistema, tra cui token di sessione e chiavi di autenticazione, consentendo il dirottamento delle sessioni (session hijacking). Amazon ha rilevato che, dopo lo sfruttamento iniziale, vengono installati malware customizzati con funzioni di comando remoto. Citrix ha corretto la falla il 17 giugno 2025 e, dopo la conferma degli attacchi attivi a luglio, ha emesso un advisory di emergenza. La CISA ha inserito la vulnerabilità nel catalogo KEV, obbligando le agenzie governative statunitensi ad applicare la patch entro 24 ore. Gli esperti raccomandano la limitazione dell’accesso ai portali AAA e il monitoraggio costante del traffico anomalo su dispositivi NetScaler esposti su Internet. Amazon sottolinea che la campagna appare indiscriminata, colpendo tanto infrastrutture pubbliche quanto sistemi privati, con una particolare attenzione ai dispositivi edge e alle VPN aziendali. L’attore dimostra competenze avanzate di reverse engineering e un approccio modulare nella catena di attacco, combinando exploit multipli per massimizzare la persistenza.
Aggiornamenti CISA e obblighi di remediation
La CISA ha aggiunto tre nuove vulnerabilità al suo catalogo delle vulnerabilità note sfruttate (KEV) , sulla base di prove di sfruttamento attivo.
- CVE-2025-9242 Vulnerabilità di scrittura fuori dai limiti di WatchGuard Firebox
- CVE-2025-12480 Vulnerabilità di controllo di accesso improprio di Gladinet Triofox
- Vulnerabilità di race condition di Microsoft Windows CVE-2025-62215
Questi tipi di vulnerabilità sono frequenti vettori di attacco per i malintenzionati e rappresentano rischi significativi per l’impresa federale.
Bug in Task Manager di Windows 11 e fix Microsoft
In parallelo, Microsoft ha risolto un bug critico in Task Manager su Windows 11 build 25H2 (26200.7019). Il problema, introdotto con l’update KB5067036, provocava la persistenza dei processi in background anche dopo la chiusura dell’applicazione, con conseguente rallentamento del sistema e consumo eccessivo di risorse. Gli utenti avevano segnalato su Reddit e nei forum ufficiali casi di molteplici istanze attive di taskmgr.exe, che degradavano sensibilmente le prestazioni. Microsoft ha rilasciato la correzione tramite l’update KB5068861 di novembre 2025, che elimina le istanze fantasma e ottimizza la gestione dei thread di sistema. In attesa della patch, l’azienda aveva fornito un workaround temporaneo tramite il comando taskkill.exe /im taskmgr.exe /f da eseguire come amministratore. Il bug, pur non legato a vulnerabilità di sicurezza, ha dimostrato l’importanza del testing nelle versioni preview degli aggiornamenti Windows.
Raccomandazioni di sicurezza
Gli esperti di Amazon Threat Intelligence invitano amministratori e aziende a implementare un approccio di difesa multilivello, che combini patch management, threat hunting e segmentazione di rete. È raccomandato:
l’aggiornamento immediato dei sistemi Cisco e Citrix; la verifica dei log di accesso e la ricerca di indicatori di compromissione; l’uso di honeypot e sistemi di early detection come MadPot; e l’attivazione del multi-factor authentication (MFA) sui portali sensibili.
La CISA sollecita inoltre la comunicazione tempestiva delle violazioni e la condivisione di indicatori di attacco tra settore pubblico e privato. L’obiettivo comune è prevenire lo sfruttamento delle finestre temporali tra la scoperta e la pubblicazione delle patch, periodo in cui gli attori malevoli massimizzano l’impatto delle loro campagne. Amazon ribadisce che gli exploit odierni dimostrano una tendenza crescente alla ricerca proattiva di falle nei dispositivi edge e nei sistemi di autenticazione enterprise, aree sempre più esposte nel panorama della cybersecurity globale.
