protobuf.js introduce una vulnerabilità RCE critica identificata come GHSA-xq3m-2v4x-88gg con impatto diretto sulle applicazioni Node.js che utilizzano schemi dinamici. La falla consente esecuzione arbitraria di codice durante il parsing dei descriptor Protocol Buffers non fidati. Il problema si inserisce in un contesto più ampio in cui AWS corregge una vulnerabilità nel driver EFS CSI e la botnet Mirai Nexcorium colpisce dispositivi IoT sfruttando CVE note. L’insieme di questi eventi evidenzia un aumento della superficie di attacco tra supply chain software, ambienti Kubernetes e infrastrutture connesse.
Cosa leggere
Protobuf.js consente esecuzione di codice tramite schemi malevoli non sanificati
La vulnerabilità in protobuf.js nasce dalla gestione non sicura dei metadati nei descriptor caricati dinamicamente. Quando un’applicazione utilizza funzioni come Root.fromJSON o elabora schemi provenienti da registri condivisi, il nome del tipo può contenere codice arbitrario che viene inserito all’interno di una funzione generata tramite il costruttore Function. L’assenza di sanitizzazione consente all’attaccante di chiudere la firma della funzione e iniettare payload eseguibile. L’esecuzione avviene al primo decode o alla creazione dell’oggetto, senza necessità di autenticazione, rendendo l’exploit particolarmente efficace in ambienti multi-tenant o servizi gRPC con reflection attiva. Le versioni vulnerabili includono tutte le release fino alla 8.0.0 e fino alla 7.5.4, con patch rilasciate nelle versioni 8.0.1 e 7.5.5. Gli impatti possono estendersi oltre il processo Node.js, includendo accesso a credenziali, lettura di variabili di ambiente e movimento laterale verso database o code interne. In ambienti moderni dove i microservizi condividono schemi e definizioni, il rischio aumenta significativamente perché il payload può propagarsi attraverso pipeline automatizzate e ambienti di sviluppo condivisi.
AWS corregge vulnerabilità EFS CSI che permette iniezione di opzioni di mount
Nel contesto cloud, AWS ha pubblicato una patch per la vulnerabilità CVE-2026-6437 che colpisce il driver Amazon EFS CSI utilizzato nei cluster Kubernetes. Il problema deriva dalla mancata sanitizzazione di parametri come Access Point ID e mounttargetip, che possono essere manipolati inserendo delimitatori per trasformarli in opzioni di mount aggiuntive. Questa tecnica consente a un attore con capacità di creare PersistentVolume di influenzare il comportamento del mount, potenzialmente ottenendo accesso non previsto a risorse o alterando la configurazione del filesystem condiviso. La vulnerabilità interessa tutte le versioni del driver fino alla 3.0.0, con fix introdotto nella versione 3.0.1. In ambienti Kubernetes multi-tenant, questo scenario può tradursi in escalation di privilegi o accesso a dati sensibili tra namespace differenti. AWS raccomanda di limitare l’uso delle risorse di storage tramite policy RBAC, impedendo a utenti non autorizzati di definire parametri critici. Il caso evidenzia come componenti apparentemente infrastrutturali possano diventare vettori di attacco quando non vengono applicate restrizioni granulari sui permessi.
Mirai Nexcorium evolve attacchi botnet sfruttando vulnerabilità IoT note
Parallelamente, la variante Mirai Nexcorium dimostra come le botnet continuino a sfruttare vulnerabilità note per costruire infrastrutture DDoS su larga scala. Il malware prende di mira dispositivi come DVR esposti su internet, sfruttando CVE-2024-3721 e altre falle storiche come CVE-2017-17215 su router domestici. Una volta compromesso il dispositivo, il sistema scarica payload multi-architettura compatibili con ambienti ARM, MIPS e x86-64, aumentando la capacità di infezione su hardware eterogeneo. Il bot implementa moduli watchdog, scanner e attacco, permettendo operazioni coordinate come UDP flood, TCP SYN e altre varianti di traffico malevolo. La comunicazione con il server di comando e controllo avviene tramite domini dinamici, mentre la persistenza viene garantita modificando configurazioni di sistema come cron, systemd, rc.local e inittab. L’uso di credenziali di default tramite brute-force Telnet conferma che molte infezioni derivano ancora da configurazioni deboli piuttosto che da exploit sofisticati.
Scribus 1.6.6 migliora stabilità e affidabilità nel desktop publishing
Nel panorama software, Scribus 1.6.6 rappresenta un aggiornamento meno critico ma rilevante per la stabilità operativa. La nuova versione introduce correzioni di bug e ottimizzazioni che migliorano la gestione di documenti complessi, soprattutto in scenari con layout avanzati e contenuti grafici intensivi. Gli interventi riguardano il rendering, la compatibilità dei formati e la gestione di testi lunghi, elementi fondamentali per utenti professionali che utilizzano il software in contesti editoriali o di stampa. L’aggiornamento contribuisce a ridurre crash e comportamenti anomali, migliorando l’affidabilità complessiva dell’applicazione. Anche se non si tratta di una vulnerabilità di sicurezza, la stabilità resta un fattore critico, perché errori o crash in software di produzione possono causare perdita di dati o interruzioni nei flussi di lavoro. La manutenzione costante del progetto open source dimostra l’importanza di aggiornamenti regolari anche al di fuori delle patch di sicurezza.
Supply chain software e IoT aumentano la superficie di attacco globale
L’insieme delle vulnerabilità e degli aggiornamenti evidenzia una convergenza tra rischi applicativi, infrastrutturali e hardware. Protobuf.js mostra come una libreria diffusa possa diventare un punto di ingresso critico nella supply chain software, soprattutto quando gestisce input dinamici. Il caso AWS EFS CSI sottolinea invece la complessità della sicurezza nei sistemi containerizzati, dove configurazioni errate o non sanificate possono aprire scenari di escalation. La botnet Nexcorium conferma che dispositivi IoT non aggiornati continuano a rappresentare una base ideale per attacchi distribuiti. Per mitigare questi rischi, le organizzazioni devono adottare un approccio multilivello che includa aggiornamenti tempestivi, controllo delle dipendenze e gestione rigorosa dei permessi. Le librerie devono essere trattate come componenti critici, con audit regolari e limitazione dell’uso di input non fidati. Nei cluster Kubernetes è essenziale applicare policy di accesso granulari e monitorare costantemente le configurazioni di storage. Sul fronte IoT, l’aggiornamento dei firmware e la disabilitazione di servizi non necessari come Telnet rappresentano misure fondamentali per ridurre l’esposizione.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
