🛡️ Executive Summary
- Progress Software invita a spegnere immediatamente i controller ShareFile Storage Zone dopo l’individuazione di una minaccia esterna ritenuta credibile.
- Binarly scopre sei vulnerabilità nel bootloader U-Boot, due delle quali consentono l’esecuzione di codice prima dell’avvio del sistema operativo.
- Entrambe le situazioni richiedono interventi rapidi da parte degli amministratori per ridurre il rischio di compromissione di infrastrutture enterprise e dispositivi embedded.
Due nuovi avvisi di sicurezza richiamano l’attenzione degli amministratori su componenti fondamentali dell’infrastruttura IT. Da una parte Progress Software ha ordinato lo spegnimento immediato dei server ShareFile Storage Zone Controllers dopo aver rilevato una minaccia esterna ritenuta credibile, una misura preventiva particolarmente rara che evidenzia la gravità della situazione. Dall’altra, i ricercatori di Binarly hanno individuato sei vulnerabilità nel bootloader U-Boot, uno dei componenti più diffusi nel panorama dei dispositivi embedded, che potrebbero consentire l’esecuzione di codice arbitrario o causare il blocco del processo di avvio. Sebbene i due casi riguardino tecnologie completamente differenti, condividono un elemento comune: colpiscono componenti critici che operano ai livelli più sensibili dell’infrastruttura e richiedono un’immediata valutazione del rischio da parte delle organizzazioni interessate.
Cosa leggere
Progress ordina lo spegnimento dei controller ShareFile
L’allarme riguarda i Storage Zone Controllers di ShareFile, server Windows installati on-premise che permettono alle organizzazioni di mantenere i propri file all’interno dello storage aziendale utilizzando comunque le funzionalità cloud della piattaforma per sincronizzazione e condivisione. Dopo aver individuato una minaccia esterna definita credibile, Progress ha deciso di disabilitare temporaneamente l’accesso agli account che utilizzano questi controller e ha chiesto ai clienti di spegnere manualmente i server coinvolti fino a nuove indicazioni.

L’azienda ha precisato di non avere al momento evidenze di accessi non autorizzati ai dati dei clienti, ma la scelta di richiedere lo shutdown dei sistemi evidenzia la volontà di ridurre al minimo qualsiasi superficie di attacco mentre proseguono le attività di analisi insieme a specialisti interni ed esperti di sicurezza esterni.
Un richiamo che riporta alla memoria il caso MOVEit
La decisione di Progress richiama inevitabilmente quanto accaduto nel 2023, quando la vulnerabilità di MOVEit Transfer provocò una delle campagne di compromissione più estese degli ultimi anni. Anche in quell’occasione il produttore intervenne rapidamente limitando l’accesso ai sistemi vulnerabili prima della distribuzione delle correzioni definitive. Nel caso di ShareFile, tuttavia, non è ancora disponibile una patch e gli amministratori sono invitati a mantenere offline i controller anche se aggiornati alla versione 5.12.4 o successive, poiché tale release non garantisce automaticamente la mitigazione della minaccia attuale. Progress raccomanda inoltre di preservare tutti i log di sistema, verificare l’eventuale presenza di file .aspx non riconosciuti all’interno delle directory web e avviare, se necessario, le procedure di risposta agli incidenti per individuare eventuali indicatori di compromissione.
Binarly scopre sei vulnerabilità nel bootloader U-Boot
Parallelamente, i ricercatori di Binarly hanno pubblicato un’analisi dedicata a sei vulnerabilità individuate nel bootloader U-Boot, componente open source largamente utilizzato da router, telecamere IP, sistemi industriali, server e numerosi dispositivi embedded. I problemi interessano il codice incaricato di elaborare le immagini FIT (Flattened Image Tree) prima che venga completata la verifica della firma digitale. Due vulnerabilità consentono l’esecuzione di codice arbitrario, mentre le altre quattro possono provocare il blocco del bootloader durante il caricamento di immagini appositamente costruite. Secondo i ricercatori, il codice vulnerabile è presente fin dalla versione 2013.07 e interessa oltre cinquanta release ufficiali del progetto, oltre a numerosi firmware personalizzati sviluppati dai produttori hardware.
Le vulnerabilità compromettono la catena di avvio
Le due vulnerabilità più gravi derivano da una gestione non corretta del valore restituito dalla funzione fdt_get_name(), che può restituire un puntatore nullo insieme a una lunghezza negativa. In determinate condizioni questo comportamento può generare un buffer overflow nello stack oppure consentire la sovrascrittura dell’indirizzo di ritorno della funzione, aprendo la strada all’esecuzione di codice durante il processo di boot. Le altre quattro vulnerabilità comprendono letture oltre i limiti della memoria, dereferenziazioni di puntatori nulli e ricorsioni incontrollate che terminano con l’esaurimento dello stack e il blocco del dispositivo. Poiché gli attacchi avvengono prima del caricamento del sistema operativo, eventuali compromissioni potrebbero risultare invisibili agli strumenti di sicurezza installati successivamente, rendendo queste vulnerabilità particolarmente rilevanti per la protezione della chain of trust.
Router, telecamere e server sono tra i dispositivi interessati
L’impatto potenziale delle vulnerabilità si estende a una vasta gamma di dispositivi embedded che utilizzano U-Boot come bootloader. Tra questi figurano router domestici, telecamere di sorveglianza, apparati industriali, sistemi IoT e controller di gestione remota presenti nei server enterprise. In alcuni scenari gli attacchi potrebbero essere condotti anche senza accesso fisico, qualora il dispositivo supporti meccanismi di aggiornamento firmware remoto. Binarly ha già pubblicato proof of concept e dettagli tecnici che dimostrano la riproducibilità dei problemi, mentre le correzioni sono state accettate nel repository ufficiale del progetto. Tuttavia la release stabile 2026.07 non includerà le patch a causa del congelamento del codice avvenuto nei mesi precedenti e gli utenti dovranno attendere la successiva versione prevista per ottobre oppure gli aggiornamenti distribuiti direttamente dai rispettivi produttori hardware.
Due casi che evidenziano l’importanza della risposta rapida agli incidenti
Le vicende che coinvolgono ShareFile e U-Boot mostrano come le minacce più critiche continuino a interessare componenti infrastrutturali spesso invisibili agli utenti finali ma fondamentali per la sicurezza complessiva dei sistemi. Nel primo caso la priorità consiste nello spegnimento dei controller esposti a Internet e nella conservazione delle evidenze utili alle attività forensi, mentre nel secondo è essenziale monitorare la disponibilità degli aggiornamenti firmware rilasciati dai produttori e verificare quali dispositivi utilizzino versioni vulnerabili del bootloader. Entrambi gli episodi confermano inoltre l’importanza di procedure di risposta agli incidenti già definite e di una gestione tempestiva delle patch, soprattutto quando vengono coinvolti componenti che operano ai livelli più privilegiati dell’infrastruttura e che, se compromessi, possono sfuggire ai tradizionali controlli di sicurezza.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









