Sommario
Tra vulnerabilità critiche, exploit pubblici, campagne attive di attacco e interruzioni di servizi cloud, emergono nuovi rischi per infrastrutture, sistemi IA, dispositivi di rete e ambienti governativi.
La combinazione di exploit resi pubblici, violazioni già confermate e segnalazioni ufficiali da enti come CISA e Cisco indica una fase di intensificazione delle minacce, con attori malevoli sempre più pronti a colpire. Dalle falle in Apache Parquet e Langflow ai problemi emersi nei server Samsung MagicINFO e Microsoft 365, fino agli avvisi CISA per sistemi industriali, la superficie d’attacco è sempre più vasta e interconnessa.
Apache Parquet: vulnerabilità critica nel modulo Avro con PoC pubblica
Il primo allarme arriva da F5 Labs, che ha pubblicato uno strumento dimostrativo per testare la vulnerabilità CVE-2025-30065, un bug di deserializzazione nel modulo Parquet-Avro di Apache Parquet Java. Sebbene non si tratti di un RCE pienamente generalizzato, in determinate condizioni può portare all’esecuzione di codice tramite oggetti con effetti collaterali, come richieste HTTP verso server controllati da attaccanti.
La falla riguarda tutte le versioni fino alla 1.15.0 ed è stata identificata come sfruttabile quando Parquet viene utilizzato per caricare file Avro provenienti da fonti esterne non affidabili. Il tool di F5 Labs, disponibile su GitHub, permette di simulare una chiamata GET istanziando una classe Java vulnerabile e serve a verificare l’esposizione dei sistemi.
L’aggiornamento alla versione 15.1.1 di Apache Parquet è raccomandato insieme alla configurazione di filtri per la deserializzazione selettiva tramite SERIALIZABLE_PACKAGES.
Langflow: attacchi attivi contro un endpoint vulnerabile alle RCE
Il progetto open source Langflow, noto per il suo approccio low-code allo sviluppo di pipeline IA basate su LangChain, è stato colpito da una grave vulnerabilità identificata come CVE-2025-3248. Si tratta di una RCE non autenticata sfruttabile attraverso l’endpoint /api/v1/validate/code, che non valida né isola correttamente il codice utente, permettendo l’esecuzione arbitraria lato server.
L’exploit è già attivamente utilizzato, secondo la Cybersecurity & Infrastructure Security Agency (CISA), che ha aggiunto la CVE al suo Catalogo delle Vulnerabilità Sfruttate Conosciute. Horizon3 ha confermato almeno 500 istanze esposte online, rendendo urgente l’aggiornamento a Langflow 1.3.0 o superiore. Versioni successive, come la 1.4.0, includono ulteriori correzioni strutturali.
Per chi non può aggiornare immediatamente, è consigliato limitare l’accesso all’endpoint vulnerabile tramite VPN, reverse proxy autenticato o firewall.
Samsung MagicINFO 9 Server: vulnerabilità RCE ora attivamente sfruttata
Il CMS per display digitali Samsung MagicINFO 9 Server è finito sotto attacco dopo la pubblicazione di un PoC per la CVE-2024-7399, che consente l’esecuzione remota di codice senza autenticazione. La falla, dovuta a un difetto nella gestione del path traversal durante l’upload dei file, permette di caricare uno script .jsp e eseguirlo tramite richiesta web, ottenendo pieno controllo del server.
Il malware Mirai e altri payload sono già stati osservati in azione, secondo Arctic Wolf e il ricercatore Johannes Ullrich. Gli attacchi sono stati confermati pochi giorni dopo la pubblicazione del PoC, indicando un rapido adattamento da parte degli attori malevoli. Il vendor ha risolto il problema con la versione 21.1050, il cui deployment è ora considerato prioritario.
UK Legal Aid Agency: possibile violazione di dati finanziari
Nel Regno Unito, l’agenzia governativa Legal Aid Agency (LAA) ha segnalato un incidente informatico in corso, che potrebbe aver compromesso i dati di pagamento di oltre 2.000 fornitori di servizi legali. L’organismo, responsabile della gestione dei fondi pubblici per l’assistenza legale, ha avviato un’indagine in collaborazione con la National Crime Agency e il National Cyber Security Centre.
L’attacco si inserisce in un contesto più ampio, che ha visto recentemente le catene britanniche Co-op, Harrods e Marks & Spencer colpite da ransomware e campagne di ingegneria sociale. Il gruppo DragonForce ha rivendicato alcune di queste azioni, e gli esperti del settore parlano di una campagna coordinata contro target strategici nel Regno Unito.
Interruzioni su Microsoft 365 e Teams: problemi ai nodi Azure AFD
Il 6 maggio, Microsoft ha segnalato una nuova interruzione critica nei servizi Microsoft 365, che ha interessato utenti di Teams, SharePoint e OneDrive in Nord America. La causa è stata individuata in un’anomalia nei nodi Azure Front Door, caratterizzata da consumo anomalo di CPU e degrado delle performance.
Microsoft ha mitigato il problema ridistribuendo il traffico su nodi alternativi, ma l’impatto è stato definito “significativo”. È il terzo disservizio simile in due mesi, dopo quelli registrati a marzo e aprile, che hanno interessato Outlook, Exchange Online e il centro di amministrazione di Exchange. La società promette di pubblicare un Post-Incident Report dettagliato.
Cisco segnala RCE non autenticata in Erlang/OTP su prodotti di rete e orchestratori
Cisco ha pubblicato un advisory di sicurezza relativo a una vulnerabilità critica derivante da Erlang/OTP, il componente utilizzato per gestire le connessioni SSH su vari prodotti di rete. Il difetto, che consente la ricezione non autenticata di richieste channel SSH, non comporta necessariamente un’esecuzione remota di codice su tutti i dispositivi vulnerabili, ma in specifiche configurazioni può permettere l’esecuzione di codice malevolo.
La falla è presente in prodotti come ConfD, Smart PHY, NSO, Ultra Cloud Core, dispositivi di orchestrazione e componenti di rete mobile come ASR 5000. Cisco ha fornito dettagli su oltre dieci componenti affetti, con corrispondenti Cisco Bug ID e versioni correttive già disponibili o in arrivo.
Alcuni prodotti, come il Cisco iNode Manager e i router Small Business RV Series, non riceveranno aggiornamenti correttivi. Per questi, l’unica protezione resta l’isolamento di rete e l’applicazione di firewall e ACL. L’advisory sottolinea inoltre che exploit pubblici sono già disponibili, pur senza conferme al momento di utilizzi malevoli documentati.
Due nuove CVE aggiunte da CISA al catalogo di minacce attivamente sfruttate
La Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto due nuove vulnerabilità al suo Known Exploited Vulnerabilities Catalog, il registro che raccoglie le CVE confermate come attivamente sfruttate in attacchi reali. Le aggiunte, datate 5 e 6 maggio 2025, includono exploit in ambienti cloud e strumenti di sviluppo software critici.
CVE-2025-27363 FreeType Out-of-Bounds Write Vulnerability
CVE-2025-3248 Langflow Missing Authentication Vulnerability
In base alla Binding Operational Directive 22-01, tutte le agenzie federali statunitensi devono correggere immediatamente le vulnerabilità inserite nel catalogo, ma CISA raccomanda lo stesso livello di attenzione anche alle aziende private e infrastrutture critiche. Le nuove vulnerabilità inserite, se non corrette, potrebbero permettere l’esfiltrazione di dati, movimenti laterali e compromissioni complete di sistemi in produzione.
Tre nuovi alert per sistemi di controllo industriale
Sempre da parte di CISA, il 6 maggio sono stati rilasciati tre nuovi avvisi ICS (Industrial Control Systems). Gli alert, pubblicati senza specifiche tecniche pubbliche ma disponibili per consultazione privata dai team ICS-CERT, riguardano sistemi industriali impiegati in ambienti critici come energia, manifattura e trasporti.
- ICSA-25-126-01 Optigo Networks ONS NC600
- ICSA-25-126-02 Milesight UG65-868M-EA
- ICSA-25-126-03 BrightSign Players
CISA invita gli operatori a consultare immediatamente i bollettini, applicare le mitigazioni raccomandate e verificare la configurazione dei dispositivi potenzialmente esposti. I rischi legati a vulnerabilità nei sistemi ICS sono particolarmente elevati per via del potenziale impatto operativo e della scarsa tolleranza all’interruzione in ambienti industriali.
Un ecosistema esposto: correlazioni e punti critici da rafforzare
La sequenza di eventi analizzati mostra una chiara convergenza di minacce su più livelli della catena tecnologica: software open source (Langflow, Apache Parquet), infrastrutture cloud (Microsoft Azure), dispositivi di visualizzazione (Samsung MagicINFO), orchestratori di rete (Cisco), applicazioni AI e ambienti di produzione industriale.
Tre fattori ricorrono:
- Presenza di exploit pubblici o PoC prontamente disponibili
- Esposizione a Internet non filtrata
- Ritardi nell’applicazione delle patch o aggiornamenti non previsti
In questo contesto, diventa essenziale adottare una strategia di sicurezza che includa:
- Verifiche proattive di esposizione per servizi non aggiornati
- Segmentazione della rete per limitare i danni di un eventuale attacco
- Monitoraggio costante delle CVE in cataloghi ufficiali, come quelli CISA
- Automazione del patch management per software e firmware
Le indicazioni degli advisory ufficiali convergono su una direzione: la rapidità di aggiornamento, l’adozione di controlli di accesso più rigorosi e la consapevolezza che anche componenti apparentemente secondari possono rappresentare vettori d’attacco primari.
