Il panorama della cybersecurity a novembre 2025 evidenzia una convergenza pericolosa tra vulnerabilità hardware, falle software critiche, breach nella supply chain dei vendor SaaS e campagne di social engineering che colpiscono servizi globali. Le analisi di Talos Intelligence, CERT/CC, NVD e i rapporti dei vendor coinvolti mostrano come minacce diverse – da Dell ControlVault 3 alla Forge library, fino agli incidenti che impattano Gainsight, Mixpanel e indirettamente OpenAI – compongano un quadro di rischio estremamente articolato. Il mese espone difetti profondi nei componenti trusted, lacune nelle implementazioni SSO, debolezze nei meccanismi di aggiornamento OTA, compromissioni tramite smishing mirato e carenze nella gestione della catena dei vendor. Le organizzazioni rispondono con patch, rotazione credenziali, validazioni più strette su API e controlli rafforzati sui servizi terzi, mentre i vendor accelerano fix e disclosure. Questo scenario dimostra come l’ecosistema digitale del 2025 sia esposto a rischi simultanei e multilivello che richiedono difese distribuite, audit continui e una cultura di sicurezza condivisa.
Cosa leggere
Vulnerabilità in Dell ControlVault
Talos Intelligence identifica una serie di vulnerabilità critiche in Dell ControlVault 3, componente hardware-software incaricato della gestione dell’autenticazione sicura su sistemi enterprise. Il problema nasce da un insieme di CVE che incidono direttamente sul firmware e sulle API Windows associate, tra cui CVE-2025-31649, che rivela l’esistenza di una password hard-coded nelle API ControlVault. Gli attaccanti possono inviare chiamate craftate per eseguire operazioni privilegiate su un componente considerato, in teoria, un pilastro della sicurezza. Ulteriori vulnerabilità come CVE-2025-31361, legata a escalation privilegi nella WinBioControlUnit API, e difetti come out-of-bounds read e write in CVE-2025-36460, espongono a corruzione memoria e a possibili esecuzioni arbitrarie di codice. Anche le vulnerabilità CVE-2025-32089 e CVE-2025-36553, responsabili di buffer overflow nelle API ControlVault, permettono l’iniezione di payload oversize che compromettono l’intero processo di autenticazione hardware. Il rischio principale emerge dal fatto che ControlVault è una componente classificata come trusted, spesso esente da audit frequenti. Le API esposte diventano vettori di attacco che consentono bypass, privilegi elevati e manipolazioni profonde del sistema. Dell rilascia patch secondo il processo di disclosure coordinata con Cisco, mentre Talos raccomanda verifiche periodiche su tutte le API sensibili, test in ambienti staging e validazioni input più rigide. Questa classe di falle dimostra la fragilità dei componenti che, per definizione, dovrebbero costituire lo strato più sicuro della piattaforma.
Issue in Entr’ouvert Lasso e gli impatti sull’identità federata
Le vulnerabilità identificate nella libreria Entr’ouvert Lasso, componente C utilizzata in sistemi SSO basati su SAML, mostrano come i protocolli di federazione delle identità possano diventare un punto debole significativo. La falla principale, CVE-2025-47151, introduce una condizione di type confusion nella gestione delle SAML responses craftate, consentendo l’esecuzione di codice arbitrario nelle applicazioni che integrano Lasso. Altre vulnerabilità correlate, tra cui CVE-2025-46404, CVE-2025-46784 e CVE-2025-46705, causano denial of service tramite pacchetti SAML manipolati ad arte. Il problema risiede nella validazione insufficiente delle strutture dati, che permette a un attaccante di inviare risposte SAML alterate capaci di interrompere l’intero flusso di autenticazione. Queste falle colpiscono direttamente i sistemi enterprise SSO, generando rischi per l’integrità e la disponibilità dei servizi che dipendono da Lasso per l’autenticazione federata. Talos fornisce istruzioni tecniche per reverse engineering e riproduzione controllata degli exploit, mentre il vendor rilascia patch che introducono controlli più rigidi sui campi SAML, prevenendo manipolazioni. Le organizzazioni vengono invitate a monitorare i log per tentativi anomali, aggiornare immediatamente la libreria e rivedere le proprie implementazioni SSO. L’episodio conferma l’urgenza di audit periodici sulle librerie open-source, spesso integrate senza sufficiente monitoraggio.
Flaw in GL.iNet Slate AX e rischi negli aggiornamenti OTA
Il router GL.iNet Slate AX, particolarmente diffuso tra utenti business e travel per le sue capacità di VPN e Wi-Fi 6, viene colpito da una vulnerabilità critica negli aggiornamenti firmware OTA. La vulnerabilità CVE-2025-44018 permette un man-in-the-middle sugli update, consentendo agli attaccanti di fornire un file .tar craftato che forza un downgrade a versioni precedenti e vulnerabili del firmware.
Questa classe di attacco è particolarmente pericolosa perché permette di sostituire silentemente una versione sicura con una obsoleta, riaprendo difetti già patchati e ripristinando configurazioni non più protette. Talos segnala la falla durante l’analisi della funzionalità update, mentre il vendor rilascia rapidamente un firmware corretto che introduce verifiche di integrità avanzate.
Utenti e aziende vengono invitati a evitare OTA su reti non affidabili, verificare manualmente la versione post-update e utilizzare VPN per minimizzare interferenze. Il caso Slate AX mostra come l’assenza di cifratura end-to-end negli aggiornamenti rimanga uno dei punti deboli dell’IoT moderno, con rischi che si propagano rapidamente a flotte di dispositivi distribuiti.
CVE-2025-12816 nella Forge library: rischio crittografico nelle firme ASN.1
La vulnerabilità CVE-2025-12816, che colpisce la popolare Forge library utilizzata in ecosistemi JavaScript per operazioni crittografiche, evidenzia un rischio sistemico nelle verifiche firma digitali. Il difetto deriva da un meccanismo di validazione ASN.1 incompleto, che permette a un attaccante di craftare strutture ASN.1 in grado di ingannare il parser e generare una divergenza semantica tra i dati analizzati e quelli validati downstream. Il risultato è un bypass delle verifiche di firma, con impatti su protocolli che utilizzano Forge per componenti come X.509, PKCS e MAC PKCS#12. CERT/CC pubblica un advisory dedicato, mentre il vendor Digital Bazaar corregge la falla nella versione 1.3.2. Gli sviluppatori sono chiamati a scansionare le codebase per individuare versioni vulnerabili, aggiornare i package e verificare tutte le dipendenze transitive. Questa vulnerabilità incarna perfettamente i rischi legati alle librerie crittografiche open-source, in cui piccoli difetti nei parser ASN.1 possono tradursi in falle gravi contro autenticazione e integrità.
Espansione del breach Gainsight e impatti sulla supply chain CRM
Il mese di novembre vede anche l’espansione del breach ai danni di Gainsight, dopo che Salesforce segnala attività sospette su diversi tenant. Inizialmente tre clienti risultano colpiti, ma il numero cresce progressivamente, con il gruppo ShinyHunters che rivendica il breach. Le attività sospette partono dall’IP 3.239.45.43 e includono accessi non autorizzati ai dati CRM. Gainsight reagisce con la revoca dei token, rotazione delle credenziali e disabilitazione delle integrazioni con vendor come Zendesk, Gong.io e HubSpot, mentre Google disabilita gli OAuth client con callback gainsightcloud.com.
L’incidente provoca la sospensione temporanea delle app Customer Success e Community, mentre le organizzazioni sono invitate a re-autorizzare connessioni, ruotare chiavi S3 e monitorare i log per tentativi simili. Questo episodio mette in luce la propagazione a catena di breach nelle piattaforme CRM, dove l’accesso di un singolo vendor può diventare vettore per esposizioni più ampie.
Incidente Mixpanel e impatto su OpenAI
L’incidente Mixpanel dell’8 novembre 2025 nasce da una campagna di smishing che consente l’accesso ai sistemi interni del vendor di analytics. Gli attaccanti esportano dataset limitati contenenti nomi, email, sistemi operativi, browser e location approssimative degli utenti delle OpenAI API.
Mixpanel notifica i clienti, blocca gli IP malevoli, resetta le password dei dipendenti e collabora con forensics e law enforcement. OpenAI viene informata il 25 novembre, rimuove Mixpanel dai servizi in produzione ed emette un avviso ufficiale agli utenti, sottolineando il rischio di phishing successivo.
OpenAI conferma che nessuna infrastruttura propria è stata compromessa, ma l’incidente rivela i rischi intrinseci dell’affidarsi a vendor terzi per attività di analytics. La società avvia una revisione della vendor security chain, eliminando Mixpanel come dipendenza attiva.
Mitigazioni generali per le minacce di novembre
I vendor coinvolti rilasciano patch e advisories dedicati, mentre le organizzazioni vengono invitate ad applicare aggiornamenti immediati per hardware e software esposti. Le raccomandazioni includono:
l’uso di zero-trust per tutte le API potenzialmente accessibili, verifiche sugli aggiornamenti OTA per prevenire attacchi MITM, rotazione regolare delle credenziali, abilitazione di MFA, audit periodici sui vendor SaaS, monitoraggio dei log per indicatori di attività sospette, validazione delle dipendenze open-source e simulazioni di attacco per testare la resilienza operativa. CERT/CC, NVD e Talos forniscono aggiornamenti di detection, mentre le aziende sono spinte a integrare controlli più avanzati e a investire in formazione sul social engineering, che rimane uno dei vettori più efficaci nelle campagne di compromissione.
Implicazioni più ampie per il settore cybersecurity
Gli incidenti e le vulnerabilità del mese mostrano come il settore sia esposto su molteplici livelli:
componenti hardware “trusted” come ControlVault rivelano difetti gravi; librerie open-source come Forge possono compromettere la fiducia nei meccanismi crittografici; la supply chain SaaS può amplificare gli impatti di un singolo breach; le vulnerabilità SSO evidenziano la fragilità dei protocolli di federazione; gli attacchi smishing continuano a confermarsi come uno dei vettori più efficaci. Il mese di novembre 2025 marca un punto critico per la cybersecurity: il settore deve affrontare vulnerabilità che spaziano dall’hardware al cloud, dai protocolli crittografici alle integrazioni API, imponendo un modello di sicurezza più distribuito, consapevole e proattivo.
