Sommario
Aprile 2025 si sta dimostrando un mese particolarmente intenso sul fronte della cybersicurezza software. Nel giro di pochi giorni sono emerse quattro vulnerabilità ad alto impatto, che hanno interessato settori molto diversi tra loro, ma accomunati da un elemento chiave: la velocità con cui i cybercriminali riescono a sfruttare le falle divulgate. Dalla creazione arbitraria di amministratori in siti WordPress alla persistenza di una falla nel container toolkit di NVIDIA, passando per problemi di crash e licensing su Microsoft Office 2016 e Microsoft 365, l’intero ecosistema informatico mostra segni evidenti di fragilità strutturale nella gestione dei rilasci e dei patch.
Autenticazione bypassata su WordPress: exploit attivo a quattro ore dalla divulgazione
Il plugin OttoKit (ex SureTriggers) per WordPress è stato colpito da una vulnerabilità critica di tipo authentication bypass, identificata con il codice CVE-2025-3102, che consente la creazione di account amministratore senza alcuna autenticazione. Il problema riguarda tutte le versioni fino alla 1.0.78 e deriva da una mancanza di controllo dei valori vuoti nella funzione _authenticate_user() all’interno delle API REST.
Il punto debole sfruttato risiede nel fatto che, in assenza di una chiave API configurata, il parametro secret_key rimane vuoto. Questo permette a un attaccante di inviare un header st_authorization vuoto e ottenere accesso privilegiato a endpoint protetti, eludendo completamente le verifiche previste.
L’aspetto più allarmante è rappresentato dalla tempestività dell’attacco: secondo i ricercatori di Patchstack, i primi tentativi di exploit sono stati rilevati quattro ore dopo la divulgazione pubblica della falla. Questo indica una sorveglianza costante da parte dei gruppi malevoli sulle vulnerabilità zero-day, pronti ad attivarsi prima ancora che gli amministratori dei siti possano procedere con l’aggiornamento. Il team di sviluppo ha rilasciato la versione corretta 1.0.79 il 3 aprile, ma numerosi siti non avevano ancora applicato il fix quando l’ondata di attacchi è iniziata.
Container escape e TOCTOU: la patch incompleta di NVIDIA mette a rischio gli host Linux
Una seconda vulnerabilità di rilievo è stata identificata nel NVIDIA Container Toolkit, già oggetto di una patch nel 2024. La falla CVE-2024-0132, di tipo Time-of-Check to Time-of-Use (TOCTOU), è stata inizialmente classificata con un punteggio CVSS di 9.0 per via della sua capacità di permettere l’evasione dai container e l’esecuzione di comandi sul sistema host con privilegi root.
A distanza di mesi dalla presunta risoluzione, i ricercatori di Trend Micro hanno scoperto che la patch era incompleta, e che in alcuni contesti – in particolare su sistemi Linux che utilizzano l’opzione allow-cuda-compat-libs-from-container – l’exploit resta attivo. Il problema è legato alla funzione mount_files, dove un mancato blocco dei processi concorrenti può essere sfruttato per alterare lo stato del filesystem durante le operazioni di montaggio.
Parallelamente, è stata rilevata anche una vulnerabilità di tipo denial-of-service legata alla crescita incontrollata della mount table quando vengono utilizzati mount condivisi in configurazioni Docker. In questo caso, i file descriptor si esauriscono rapidamente, impedendo la creazione di nuovi container e rendendo il sistema inaccessibile anche via SSH. La nuova CVE assegnata, CVE-2025-23359, ha riaperto il dibattito sulla necessità di auditing periodico delle configurazioni container, soprattutto in ambienti ad alta densità di carico.
Office 2016 bloccato da aggiornamenti errati: Microsoft rilascia una patch d’emergenza
Il 10 aprile, Microsoft ha dovuto pubblicare un aggiornamento fuori ciclo per correggere una grave regressione introdotta nei giorni precedenti, che aveva causato crash ripetuti di Office 2016 per numerosi utenti Windows. In particolare, l’errore è stato collegato a modifiche nelle DLL comuni utilizzate da Word, Excel e Outlook, che venivano caricate con conflitti tra versioni precedenti e componenti runtime recenti.
I sintomi riscontrati includevano chiusure forzate all’avvio, mancato caricamento di documenti e messaggi d’errore relativi a librerie mancanti, in alcuni casi anche su installazioni non aggiornate di recente. La situazione si è rivelata critica per numerosi utenti aziendali, ancora legati a Office 2016 per motivi di compatibilità o politiche interne di ciclo di vita.
Microsoft ha inizialmente riconosciuto il problema tramite il suo portale di stato, e in seguito ha rilasciato una correzione d’urgenza cumulativa per tutti i build coinvolti, consigliando un riavvio completo del sistema dopo l’installazione, per garantire la rimozione dei vecchi riferimenti in memoria. La correzione, secondo i primi riscontri, ha risolto il 90% dei casi segnalati, ma permangono alcune segnalazioni isolate su ambienti virtualizzati o configurazioni multiutente.
Microsoft 365 Family: utenti bloccati da un errore di licenza mai scaduta
A rendere ancora più teso il clima tra gli utenti Microsoft, è intervenuto un errore nei controlli di licensing del piano Microsoft 365 Family, che ha impedito l’accesso ai servizi a numerosi membri nonostante le sottoscrizioni fossero attive e regolarmente pagate.
I primi segnali del problema sono arrivati tramite thread di Reddit e post sul sito di supporto ufficiale, dove molti utenti hanno lamentato la scomparsa dell’abbonamento dalla propria pagina account, la disconnessione da Word, Outlook e Excel, e la ricezione di messaggi che li invitavano a rinnovare la sottoscrizione, sebbene questa non fosse mai scaduta.
Microsoft ha confermato la presenza dell’errore, specificando che il problema era legato a una modifica recente nei controlli di validità delle licenze che ha causato un errato rilevamento di stato scaduto, principalmente per gli utenti “condivisi” della famiglia. Secondo la società, la disfunzione è stata risolta revertendo la modifica incriminata, e i clienti sono stati invitati a riavviare le applicazioni o aggiornare la cache del browser per ripristinare l’accesso completo.
L’episodio ha riacceso il dibattito sulla gestione automatica dei diritti digitali nei servizi in abbonamento. Alcuni utenti hanno suggerito di fornire canali alternativi di verifica offline per evitare l’interruzione dei servizi in caso di disservizi temporanei sul lato server o nella sincronizzazione con il cloud.
L’importanza della reattività e della trasparenza nella sicurezza software
Questi quattro episodi rivelano una tendenza chiara: le minacce emergenti e gli errori sistemici nei processi di aggiornamento stanno aumentando in frequenza e impatto. Dalla gestione delle patch container ai bug nei plugin web, fino ai problemi con le licenze cloud, le organizzazioni si trovano a dipendere sempre più da tempi di risposta rapidi da parte dei fornitori.
Tuttavia, la velocità di rilascio non è sufficiente se non è accompagnata da trasparenza comunicativa, documentazione chiara e strumenti affidabili di verifica. Gli utenti, sia consumer che business, richiedono oggi una gestione proattiva del rischio, che includa notifiche immediate, rollback semplici, e la possibilità di tracciare ogni cambiamento introdotto in modo retroattivo.
La centralità dell’automazione nella distribuzione del software non può prescindere da una strategia di sicurezza che protegga anche gli anelli deboli del ciclo di rilascio: sviluppatori terzi, plugin community-based, repository container e servizi in cloud condivisi. Ogni falla non gestita tempestivamente diventa un varco per attori malevoli, come dimostrato nel caso WordPress.
La CISA pubblica dieci avvisi sui sistemi di controllo industriale
Il 10 aprile 2025, la CISA ha pubblicato dieci avvisi sui Sistemi di Controllo Industriale (ICS). Questi avvisi forniscono informazioni tempestive su attuali problemi di sicurezza, vulnerabilità ed exploit relativi agli ICS.
- ICSA-25-100-01 Server licenze Siemens
- ICSA-25-100-02 Siemens SIDIS Prime
- ICSA-25-100-03 Siemens Solid Edge
- ICSA-25-100-04 Dispositivi Edge industriali Siemens
- ICSA-25-100-05 Siemens Insights Hub Cloud privato
- ICSA-25-100-06 Siemens SENTRON 7KT PAC1260 Data Manager
- ICSA-25-100-07 Rockwell Automation Arena
- ICSA-25-100-08 Subnet Solutions PowerSYSTEM Center
- ICSA-25-100-09 Gateway wireless ABB Arctic
- ICSMA-25-100-01 INFINITT Healthcare INFINITT PACS
CISA incoraggia utenti e amministratori a leggere gli avvisi ICS appena pubblicati per dettagli tecnici e misure di mitigazione.
