Vulnerabilità

Cisa cataloga attacco storico Asus e vulnerabilità critica in n8n

di Redazione
scritto da Redazione 0 commenti

Il panorama della cybersecurity ci presenta due scenari distinti ma ugualmente significativi: da un lato, la formalizzazione di incidenti passati per rafforzare la memoria storica e la prevenzione; dall’altro, l’emergere di minacce attive che richiedono interventi immediati. La Cisa (Cybersecurity and Infrastructure Security Agency) ha recentemente aggiunto al suo catalogo delle vulnerabilità sfruttate note (KEV) una CVE relativa al software Asus Live Update, legata al famigerato attacco ShadowHammer del 2018-2019. Sebbene questa mossa sia retrospettiva e riguardi un software ormai giunto al termine del ciclo di vita (EoL), serve a documentare le tattiche sofisticate degli attacchi alla catena di fornitura. Parallelamente, una vulnerabilità critica scoperta nella piattaforma di automazione n8n mette a rischio oltre 100.000 istanze globali, permettendo l’esecuzione di codice arbitrario con un punteggio di gravità quasi massimo.

Il caso Asus Live Update: un’eredità di ShadowHammer

La Cisa ha catalogato la vulnerabilità CVE-2025-59374 con un punteggio CVSS di 9.3, classificandola come critica. Tuttavia, è fondamentale chiarire che questo non segnala una nuova ondata di attacchi, ma formalizza l’incidente ShadowHammer. Tra il 2018 e il 2019, un gruppo APT (Advanced Persistent Threat) è riuscito a compromettere i binari ufficiali di Asus Live Update, iniettando modifiche maligne che venivano distribuite attraverso i canali legittimi di aggiornamento.

L’attacco si distingueva per la sua precisione chirurgica: il codice malevolo si attivava solo su dispositivi che rispondevano a specifici criteri di targeting (basati sugli indirizzi MAC), limitando l’impatto a un numero ristretto di sistemi selezionati, pur infettandone potenzialmente migliaia. Asus aveva risposto nel 2019 rilasciando la versione 3.6.8 per mitigare il rischio. Oggi, con il software che ha raggiunto la fine del supporto nell’ottobre 2021 e la versione finale 3.6.15 rilasciata nel 2024, la classificazione “UNSUPPORTED WHEN ASSIGNED” della CVE conferma che nessun dispositivo attualmente supportato è a rischio, a patto che sia aggiornato.

L’inclusione nel catalogo KEV risponde alla direttiva operativa della Cisa che impone il tracciamento di tutte le vulnerabilità con storia di sfruttamento attivo, indipendentemente dalla loro età. Questo approccio migliora la consapevolezza sulle tecniche di supply chain attack, spingendo le organizzazioni a verificare anche i componenti software legacy.

Allarme rosso per n8n: 100.000 istanze a rischio RCE

Molto più urgente è la situazione riguardante n8n, la popolare piattaforma di automazione workflow open-source. Una vulnerabilità critica, identificata come CVE-2025-68613, ha ricevuto un punteggio CVSS di 9.9 su 10. Il difetto risiede nel modo in cui il software valuta le espressioni fornite dall’utente durante la configurazione dei workflow: queste vengono eseguite in un contesto non sufficientemente isolato dal runtime sottostante.

Ciò significa che un attaccante autenticato può iniettare codice arbitrario che verrà eseguito con gli stessi privilegi del processo n8n, portando potenzialmente alla compromissione totale dell’istanza, all’accesso a dati sensibili e alla modifica di automazioni aziendali critiche. Il problema affligge tutte le versioni dalla 0.211.0 fino alla 1.120.4. Fortunatamente, gli sviluppatori hanno rilasciato patch correttive nelle versioni 1.120.4, 1.121.1 e 1.122.0.

Secondo i dati di Censys al 22 dicembre 2025, ci sono ben 103.476 istanze di n8n esposte su internet e potenzialmente vulnerabili, con una concentrazione maggiore in Stati Uniti, Germania, Francia, Brasile e Singapore. Dato che il pacchetto npm registra circa 57.000 download settimanali, la superficie di attacco è vasta.

Mitigazione e gestione del rischio

Per gli utenti di Asus, la raccomandazione è semplice: verificare di non utilizzare versioni obsolete del software Live Update (precedenti alla 3.6.8) e considerare la disinstallazione dato lo stato EoL del prodotto. La pagina FAQ di Asus, aggiornata il 6 dicembre 2025, continua a fornire indicazioni storiche utili per chi gestisce hardware datato.

Per gli amministratori di n8n, l’azione deve essere immediata:

  1. Aggiornare: Passare subito a una versione patchata (1.120.4+).
  2. Restringere i permessi: Se l’aggiornamento non è possibile, limitare i diritti di creazione e modifica dei workflow solo a utenti fidati.
  3. Isolamento: Eseguire l’istanza in ambienti con privilegi minimi (principio del least privilege) e restrizioni di rete per contenere eventuali danni in caso di compromissione.

Questi due casi, seppur diversi per tempistica e natura, sottolineano un principio cardine della cybersecurity: la gestione delle vulnerabilità non riguarda solo il “nuovo”, ma richiede una visione olistica che abbracci il passato (legacy) e il presente (produzione) per garantire la resilienza delle infrastrutture.

Domande frequenti su Cisa CVE e vulnerabilità n8n

Perché la Cisa ha segnalato ora una vulnerabilità Asus del 2018?

La Cisa ha aggiunto la CVE relativa ad Asus Live Update al suo catalogo KEV (Known Exploited Vulnerabilities) per scopi di documentazione storica e conformità alle direttive operative. L’obiettivo è tracciare tutte le vulnerabilità che sono state sfruttate attivamente in passato, come nel caso dell’attacco ShadowHammer, per migliorare la consapevolezza sui rischi della catena di fornitura.

Il mio computer Asus è a rischio oggi a causa di questa CVE?

Molto probabilmente no. La vulnerabilità riguarda versioni molto vecchie del software Asus Live Update (precedenti alla 3.6.8) e il software stesso ha raggiunto la fine del supporto nel 2021. Se hai mantenuto il sistema aggiornato o hai un dispositivo recente, non sei a rischio.

Cos’è la vulnerabilità CVE-2025-68613 in n8n?

È una vulnerabilità critica (CVSS 9.9) che permette a un utente autenticato di eseguire codice arbitrario (RCE) sul server che ospita n8n. Questo accade perché le espressioni utente nei workflow non sono correttamente isolate dal sistema operativo sottostante.

Quali versioni di n8n sono vulnerabili e come posso risolvere?

Sono colpite le versioni dalla 0.211.0 fino a quelle inferiori alla 1.120.4. Per risolvere il problema, è necessario aggiornare immediatamente n8n alla versione 1.120.4, 1.121.1, 1.122.0 o successive, che contengono la patch di sicurezza.

La redazione di Matrice Digitale è specializzata in cybersecurity, OSINT, intelligenza artificiale e geopolitica tecnologica. Con inchieste indipendenti e analisi approfondite, raccontiamo come privacy, sorveglianza e innovazione digitale plasmano la società, anticipando i rischi e le sfide ignorate dai media tradizionali.