adobe coldfusion citrix netscaler langflow

Adobe e Citrix correggono vulnerabilità critiche, exploit Langflow diffonde miner Monero

🛡️ Executive Summary

  • Adobe corregge sette vulnerabilità critiche in ColdFusion e Campaign Classic, tutte classificate come Priority 1 per l’elevato rischio di compromissione.
  • Citrix distribuisce aggiornamenti per sei vulnerabilità in NetScaler ADC e Gateway, tra memory corruption, disclosure di file e denial of service.
  • Una campagna attiva sfrutta la CVE-2026-33017 di Langflow per installare un miner Monero che disabilita difese di sicurezza e si propaga lateralmente.

L’inizio di luglio porta con sé una nuova ondata di aggiornamenti di sicurezza destinati a infrastrutture enterprise particolarmente diffuse. Adobe ha pubblicato patch urgenti per ColdFusion e Campaign Classic, correggendo vulnerabilità che possono consentire l’esecuzione di codice remoto da parte di attaccanti non autenticati. Contemporaneamente Citrix ha rilasciato un aggiornamento per sei vulnerabilità che interessano NetScaler ADC e NetScaler Gateway, appliance spesso collocate al perimetro delle reti aziendali. A rendere il quadro ancora più delicato contribuisce una campagna osservata tra marzo e aprile che ha sfruttato una vulnerabilità critica di Langflow per distribuire un miner di Monero su server esposti a Internet. Sebbene Adobe e Citrix non abbiano segnalato exploit pubblici per le rispettive vulnerabilità, il caso Langflow dimostra quanto rapidamente gli attori malevoli riescano a trasformare una falla critica in uno strumento di compromissione delle infrastrutture.

Adobe corregge vulnerabilità critiche in ColdFusion e Campaign Classic

Il bollettino pubblicato da Adobe riguarda sette vulnerabilità considerate di massima gravità. Sei interessano ColdFusion, mentre la settima coinvolge Campaign Classic. Tutti i difetti sono stati classificati Priority 1, la categoria riservata ai problemi che presentano un elevato rischio di essere presi di mira da attori malevoli. Le versioni vulnerabili di ColdFusion comprendono la 2025.9 e la 2023.20 e precedenti, dove un utente privo di privilegi può arrivare a ottenere Remote Code Execution sfruttando difetti accessibili con bassa complessità e senza alcuna interazione da parte della vittima. Per Campaign Classic, la vulnerabilità interessa la versione 7.4.3 build 9396 e precedenti nelle installazioni on-premise o ibride. Le istanze ospitate direttamente da Adobe risultano invece già protette. Lo sfruttamento consentirebbe l’esecuzione di codice arbitrario nel contesto dell’utente che esegue il servizio, con potenziali conseguenze sull’intera infrastruttura di marketing e gestione campagne.

Adobe accelera il ciclo degli aggiornamenti

Pur dichiarando di non essere a conoscenza di exploit attivi contro queste specifiche vulnerabilità, Adobe invita le organizzazioni ad applicare gli aggiornamenti entro poche decine di ore dalla pubblicazione. La società ha inoltre annunciato un’importante modifica nella gestione dei bollettini di sicurezza: dal 14 luglio 2026 gli advisory non seguiranno più una cadenza mensile ma verranno pubblicati due volte al mese, il secondo e il quarto martedì. Secondo Adobe, l’aumento della velocità con cui vengono individuate nuove vulnerabilità, favorito anche dall’impiego dell’intelligenza artificiale nelle attività di ricerca, rende necessario un ritmo di aggiornamento più frequente. Il processo dedicato alle vulnerabilità zero-day sfruttate attivamente continuerà invece a seguire il tradizionale modello out-of-band, con pubblicazione immediata delle patch quando necessario. Il contesto resta particolarmente delicato: negli ultimi cinque anni la Cybersecurity and Infrastructure Security Agency (CISA) ha inserito 79 vulnerabilità Adobe nel catalogo Known Exploited Vulnerabilities, e almeno dieci di queste sono state utilizzate da gruppi ransomware durante campagne di compromissione contro organizzazioni pubbliche e private.

Citrix aggiorna NetScaler con sei correzioni di sicurezza

Annuncio

Anche Citrix ha distribuito un aggiornamento importante per NetScaler ADC e NetScaler Gateway, correggendo sei vulnerabilità che interessano le versioni 14.1-72.61, 13.1-63.18 e successive, comprese le varianti FIPS e NDcPP. Le vulnerabilità spaziano da errori di gestione della memoria fino alla lettura arbitraria di file e al denial of service. Tra quelle con impatto più elevato figura la CVE-2026-8451 (CVSS 8.8), causata da una validazione insufficiente dell’input durante l’elaborazione delle richieste SAML quando l’appliance opera come Identity Provider. La CVE-2026-8452, anch’essa con punteggio 8.8, provoca un memory overflow che può determinare comportamenti imprevedibili o blocchi del sistema nelle configurazioni Gateway e AAA Virtual Server. La CVE-2026-8655 introduce ulteriori condizioni di overflow che interessano servizi di load balancing Oracle, DNS Proxy e resolver DNS ricorsivi.

Disclosure di file e problemi con HTTP/2

Tra le vulnerabilità corrette compare anche la CVE-2026-10816 (CVSS 7.7), che permette la lettura arbitraria di file quando risultano accessibili indirizzi di gestione come NSIP, Cluster Management IP o SNIP con privilegi amministrativi. La CVE-2026-10817 interessa invece la gestione del protocollo TCP TimeStamp, provocando un memory overread in alcune configurazioni di bilanciamento del traffico. Particolare attenzione merita la CVE-2026-13474 (CVSS 8.7), che può causare un denial of service attraverso richieste HTTP/2 appositamente costruite. Oltre all’installazione della patch, Citrix richiede agli amministratori di impostare manualmente il parametro Http2SmallWndTimeout a 30 secondi nei profili HTTP standard, poiché soltanto i profili HTTP Strict utilizzano già questo valore come configurazione predefinita. Anche se non risultano campagne di sfruttamento attive, la storia recente di NetScaler, frequentemente preso di mira da ransomware e gruppi APT, suggerisce di considerare questi aggiornamenti ad alta priorità.

Langflow diventa vettore per il cryptomining

Diverso è il caso di Langflow, framework open source utilizzato per costruire workflow basati su modelli linguistici. La vulnerabilità CVE-2026-33017, con punteggio CVSS 9.3, è stata sfruttata attivamente tra il 27 marzo e il 15 aprile 2026 per compromettere istanze esposte direttamente su Internet. La falla permette l’esecuzione remota di codice Python attraverso un endpoint API non autenticato. Una volta ottenuto l’accesso, gli attaccanti scaricano uno script shell che installa un eseguibile denominato lambsys, variante personalizzata del miner XMRig sviluppata in Go per estrarre Monero. L’operazione rappresenta soltanto la prima fase dell’attacco: il malware elimina miner concorrenti appartenenti a campagne come Kinsing, WatchDog, Rocke e Outlaw, stabilisce persistenza tramite cron, rimuove log di sistema e modifica gli attributi dei file con chattr per ostacolare le attività di bonifica.

Un malware progettato per mantenere il controllo dell’infrastruttura

Il comportamento del malware va ben oltre il semplice cryptomining. lambsys disabilita numerosi meccanismi di sicurezza, tra cui AppArmor, SELinux, iptables, Uncomplicated Firewall, il kernel NMI watchdog e l’agente Alibaba Cloud Aliyun. Successivamente raccoglie informazioni sull’indirizzo IP pubblico della vittima tramite ipinfo.io, selezionando automaticamente il pool di mining geograficamente più vicino per massimizzare le prestazioni. L’infrastruttura compromessa viene inoltre utilizzata come punto di partenza per movimenti laterali attraverso chiavi SSH già presenti sul sistema, ampliando progressivamente il numero di host controllati. L’attacco conferma come gli strumenti dedicati ai workflow di intelligenza artificiale stiano diventando bersagli privilegiati dei gruppi criminali, non soltanto per distribuire malware ma anche come punto di accesso iniziale alle reti enterprise.

Patch tempestive restano la difesa principale

Le tre vicende mostrano scenari differenti ma accomunati dallo stesso elemento: piattaforme largamente diffuse che operano in contesti critici. ColdFusion continua a rappresentare un obiettivo privilegiato per gli attaccanti interessati all’accesso iniziale ai server applicativi, NetScaler rimane uno dei componenti più esposti nelle infrastrutture di rete aziendali, mentre Langflow dimostra come anche gli strumenti dedicati all’intelligenza artificiale possano diventare rapidamente vettori di compromissione. Per le organizzazioni che utilizzano queste tecnologie, la verifica immediata delle versioni installate, l’applicazione delle patch disponibili e il monitoraggio di eventuali indicatori di compromissione rappresentano le misure più efficaci per ridurre il rischio di compromissioni, movimenti laterali e utilizzo illecito delle risorse infrastrutturali.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto