Sommario
Il 15 aprile 2025, la Cybersecurity and Infrastructure Security Agency (CISA) ha rilasciato nove advisory critici relativi ai sistemi di controllo industriale (ICS), segnalando vulnerabilità attive in componenti utilizzati in ambienti produttivi, energetici e infrastrutturali. Nello stesso momento, MITRE annuncia l’imminente interruzione del programma CVE, a causa della scadenza dei fondi federali destinati alla sua gestione. Due eventi apparentemente scollegati che invece rivelano una fragilità strutturale profonda nel sistema globale di sicurezza informatica, in particolare nel settore delle infrastrutture critiche.
CISA emette nove advisory ICS: vulnerabilità attive in componenti industriali essenziali
Gli advisory pubblicati da CISA riguardano prodotti software e firmware impiegati in impianti di automazione, sistemi SCADA, controllori logici programmabili e dispositivi di interfaccia uomo-macchina (HMI). Queste tecnologie costituiscono l’ossatura di impianti critici in settori come energia, trasporti, produzione, trattamento delle acque e raffinerie. Ogni vulnerabilità identificata espone tali sistemi a interruzioni operative, manomissione dei processi fisici, o escalation di privilegi da parte di attaccanti remoti.
- ICSA-25-105-01 Siemens Mendix Runtime
- ICSA-25-105-02 Siemens Industrial Edge Device Kit
- ICSA-25-105-03 Siemens SIMOCODE, SIMATIC, SIPLUS, SIDOOR, SIWAREX
- ICSA-25-105-04 Growatt Cloud Applications
- ICSA-25-105-05 Lantronix Xport
- ICSA-25-105-06 National Instruments LabVIEW
- ICSA-25-105-07 Delta Electronics COMMGR
- ICSA-25-105-08 ABB M2M Gateway
- ICSA-25-105-09 Mitsubishi Electric Europe B.V. smartRTU
CISA invita gli amministratori e gli integratori a consultare i bollettini tecnici aggiornati per ciascun prodotto, e ad attuare le mitigazioni pubblicate per prevenire scenari di sfruttamento attivo. Le raccomandazioni includono aggiornamenti firmware, segmentazione della rete ICS rispetto all’IT aziendale, e restrizione dell’accesso alle interfacce di configurazione.
Sebbene i dettagli specifici delle vulnerabilità non siano elencati direttamente nel comunicato di sintesi, CISA sottolinea che la tempestività dell’analisi e della reazione sarà determinante per impedire incidenti che potrebbero compromettere la continuità operativa e la sicurezza fisica degli impianti.
MITRE rischia di fermare il programma CVE: vulnerabilità senza catalogazione ufficiale
Nella stessa giornata, MITRE Corporation lancia un’allerta senza precedenti: il finanziamento per i programmi CVE e CWE scade il 16 aprile 2025, e non è garantita la continuità contrattuale. Lo scenario descritto dal vicepresidente Yosry Barsoum è grave: in assenza di un contratto operativo con il Department of Homeland Security (DHS), il programma CVE potrebbe cessare di funzionare, con conseguenze globali per la sicurezza informatica.
BREAKING. From a reliable source. MITRE support for the CVE program is due to expire tomorrow. The attached letter was sent out to CVE Board Members.
— Tib3rius (@tib3rius.bsky.social) 15 aprile 2025 alle ore 19:23
[image or embed]
Il programma CVE (Common Vulnerabilities and Exposures), gestito da MITRE per conto del governo degli Stati Uniti, rappresenta lo standard di riferimento mondiale per l’identificazione e la catalogazione delle vulnerabilità. Ogni nuova falla di sicurezza scoperta viene associata a un CVE ID univoco, assegnato da un’autorità di numerazione (CNA), e archiviato in modo che produttori, enti governativi, ricercatori e aziende di sicurezza possano parlare la stessa lingua, integrando i riferimenti nei propri strumenti e processi.
Se il servizio venisse sospeso, verrebbero compromessi:
- I database nazionali e internazionali che raccolgono i bollettini di sicurezza.
- Gli strumenti di gestione delle vulnerabilità come scanner automatici, SIEM e EDR.
- I processi di incident response coordinati a livello intersettoriale.
- L’intero sistema di attribuzione e monitoraggio delle vulnerabilità nelle infrastrutture critiche.
Reazioni dalla comunità di sicurezza: si teme un effetto domino
La risposta della comunità cyber è stata immediata. Jean Easterly, ex direttrice di CISA, ha dichiarato che la perdita del CVE sarebbe come “strappare il catalogo da ogni biblioteca informatica mondiale”, lasciando la comunità a confrontarsi con vulnerabilità sconosciute e strumenti inefficaci. Anche Casey Ellis, fondatore di Bugcrowd, ha parlato apertamente di rischio per la sicurezza nazionale, sottolineando come il CVE sia integrato in ogni livello operativo della cybersecurity moderna.
Il programma non solo permette la standardizzazione delle informazioni, ma abilita anche la comunicazione transfrontaliera tra team di sicurezza, che altrimenti parlerebbero linguaggi differenti. I CVE vengono usati da aziende, governi e organismi internazionali per applicare patch, redigere advisory, coordinare risposte a incidenti e istruire sistemi automatizzati di prevenzione.
Secondo la lettera interna inviata ai membri del CVE Board, la scadenza del contratto colpirebbe anche i programmi CWE (Common Weakness Enumeration) e altre iniziative legate alla classificazione e al contrasto delle vulnerabilità.
Un sistema sotto pressione: vulnerabilità non gestite e strumenti ciechi
La combinazione dei due eventi – la pubblicazione dei nove advisory ICS da parte di CISA e l’imminente sospensione del CVE – rappresenta un cortocircuito strategico. Da una parte, vengono segnalate falle critiche in sistemi industriali; dall’altra, potrebbe venire a mancare il sistema ufficiale per tracciarle, analizzarle e condividerle in modo standardizzato. In mancanza dei CVE, ogni vendor e ogni security team potrebbe adottare nomenclature differenti, generando confusione e ritardi nella risposta.
La situazione è ulteriormente aggravata dal backlog già accumulato da NIST, che non riesce a mantenere aggiornato il National Vulnerability Database (NVD). I due sistemi – CVE e NVD – operano in sinergia: il primo assegna l’identificativo e descrive il problema, il secondo arricchisce i dati con metriche come la CVSS, informazioni di exploitabilità, contesto operativo e metodi di mitigazione. Se CVE si blocca, NVD perde la materia prima per lavorare.
Senza CVE, nessuna cybersecurity industriale è possibile
Il rischio delineato in queste ore è che il sistema di protezione delle infrastrutture critiche, fondato su comunicazione e standardizzazione delle vulnerabilità, possa cedere proprio mentre gli attacchi ICS diventano sempre più sofisticati. Se MITRE non potrà più assegnare e mantenere i CVE, e se CISA continuerà a pubblicare advisory senza riferimenti universali, il risultato sarà una perdita di visibilità per chi deve proteggere reti operative, impianti industriali e sistemi nazionali sensibili.
La comunità della sicurezza chiede ora un intervento immediato da parte del DHS e del Congresso, per evitare che un elemento invisibile ma fondamentale dell’infrastruttura cyber – il sistema CVE – venga disattivato per una mera questione contrattuale. La sicurezza, infatti, non si costruisce solo con firewall e antivirus, ma anche con il linguaggio condiviso che permette di comprendere e reagire alle minacce.
