L’ecosistema delle infrastrutture digitali si trova oggi ad affrontare una delle più ampie e complesse superfici d’attacco mai osservate nel settore networking e enterprise. Il 7 maggio 2025, Cisco ha pubblicato 30 advisory di sicurezza ufficiali che interessano una gamma estesa di dispositivi e software, tra cui IOS, IOS XE, Catalyst SD-WAN, IOx, Wireless Controller, Industrial Ethernet e la suite Catalyst Center. Parallelamente, la CISA ha inserito nuove vulnerabilità nella catalogo KEV, mentre vengono attivamente sfruttati exploit nei plugin WordPress e nei sistemi SysAid, aprendo scenari critici per enti pubblici e privati.
Vulnerabilità sistemiche nei dispositivi Cisco: dall’accesso privilegiato al file overwrite
La vasta ondata di advisory pubblicati da Cisco tocca componenti chiave delle reti moderne, tra cui i protocolli di autenticazione, le interfacce web, i controller wireless e i meccanismi di accesso remoto. Alcuni tra i casi più critici includono:
- Cisco Catalyst SD-WAN Manager certificate validation: mancata validazione dei certificati TLS che può consentire attacchi man-in-the-middle all’interno di componenti interconnessi.
- Cisco IOS Software secure boot bypass: vulnerabilità su Catalyst 2960X/3560CX che permette il bypass del secure boot e l’avvio di firmware modificato.
- Cisco IOS XE software bootstrap arbitrary file write: un utente locale può scrivere file arbitrari sul filesystem di IOS XE durante la fase di avvio.
- Cisco IOS XE DHCP snooping DoS: pacchetti DHCP manipolati causano denial of service sul servizio di snooping DHCP.
- Cisco industrial ethernet device manager privilege escalation: nei dispositivi Industrial Ethernet, una sessione HTTP manipolata può ottenere accessi privilegiati.
- Cisco wireless controller user deletion: un utente malintenzionato può eliminare account autorizzati attraverso chiamate malformate all’interfaccia di gestione.
Inoltre, numerose vulnerabilità permettono scrittura e sovrascrittura arbitraria di file, come riportato nei seguenti advisory critici:
- Cisco SD-WAN arbitrary file overwrite
- Cisco SD-WAN arbitrary file creation
- Cisco IOS XE webui command injection
Il rischio più concreto in tutti questi scenari è la persistenza di codice malevolo all’interno dei dispositivi di rete stessi, spesso senza logging o alert, rendendo questi attacchi estremamente difficili da rilevare in tempo reale.
Escalation di privilegi e bypass delle autenticazioni nei controller e nella WebUI
Altre vulnerabilità colpiscono direttamente le interfacce web-based e i meccanismi di controllo distribuito:
- Cisco IOS XE web-based management interface escalation: colpisce IOS XE permettendo l’iniezione di comandi tramite interfaccia web con sessioni falsificate.
- Cisco SD-WAN manager stored XSS e reflected HTML injection: consentono l’inserimento di script persistenti nelle interfacce di gestione Catalyst.
- Cisco IOS XE privilege escalation: permette l’accesso a comandi amministrativi anche da sessioni utente standard.
- Cisco Catalyst Center API access without authentication: servizi REST esposti su Catalyst Center possono essere manipolati senza autenticazione, potenzialmente da remoto.
Queste falle, combinate con vulnerabilità che colpiscono l’interfaccia grafica, rappresentano un rischio concreto per le infrastrutture SD-WAN e wireless, specialmente in contesti enterprise e governativi dove la gestione centralizzata costituisce il cuore operativo della rete.
Vulnerabilità critiche in OttoKit e SysAid espongono migliaia di sistemi a rischio RCE
Le vulnerabilità recentemente rilevate nel plugin OttoKit per WordPress e nella piattaforma SysAid per la gestione dei servizi IT mostrano come errori strutturali nella progettazione del software possano compromettere migliaia di sistemi. Entrambe le piattaforme hanno subito attacchi che sfruttano falle di sicurezza pre-authenticate, portando rispettivamente all’escalation di privilegi su WordPress e all’esecuzione remota di comandi (RCE) su infrastrutture aziendali. La documentazione tecnica pubblicata da Patchstack e WatchTowr evidenzia l’urgenza di aggiornare le installazioni esistenti per evitare exploit già in corso.
Fallimento della logica di autenticazione in OttoKit per WordPress
Il plugin OttoKit, precedentemente noto come SureTriggers, è un componente di automazione per WordPress sviluppato da Brainstorm Force, installato su oltre 100.000 siti attivi. In aprile 2025, è stata identificata una vulnerabilità critica (CVE-2025-27007) che consente a un attaccante di ottenere privilegi di amministratore senza essere autenticato.
Il problema risiede nella funzione create_wp_connection, disponibile attraverso l’endpoint REST /wp-json/sure-triggers/v1/connection/create-wp-connection. La funzione non verifica adeguatamente la risposta della chiamata wp_authenticate_application_password, permettendo a chi conosce solo lo username dell’amministratore di inviare una richiesta malevola che consente la creazione di nuovi account amministrativi.
Questo difetto è aggravato dalla mancanza di una validazione solida dei token di accesso e dal comportamento permissivo dell’API, che riconosce come valido un token anche se generato senza l’autenticazione completa.
Risposta e aggiornamenti del vendor OttoKit
Patchstack ha ricevuto la segnalazione della vulnerabilità l’11 aprile 2025 e ha convalidato la segnalazione entro il giorno seguente. Il 17 aprile è stata predisposta una patch e il 21 aprile è stato rilasciato l’aggiornamento alla versione 1.0.83, distribuito anche forzatamente tramite WordPress.org.
Nella patch sono stati inseriti controlli aggiuntivi sui token sure-triggers-access-key e migliorata la logica di autorizzazione. Tuttavia, a meno di due ore dalla pubblicazione dei dettagli, sono già stati rilevati tentativi di sfruttamento in ambiente reale, dimostrando la velocità con cui gli attaccanti monitorano le disclosure pubbliche per avviare operazioni malevole.
SysAid: una catena di vulnerabilità XXE pre-auth su una piattaforma critica
SysAid è una piattaforma ITSM utilizzata per la gestione dei ticket di supporto, inventari IT e base di conoscenza. La versione on-premise 23.3.40 è risultata vulnerabile a una catena di attacchi XXE (XML External Entity injection), che consente l’accesso non autenticato e il successivo ottenimento di privilegi amministrativi fino all’esecuzione di codice sul server.
Gli endpoint coinvolti sono /mdm/checkin, /mdm/serverurl e /lshw. In ciascuno di essi, l’applicazione accetta e processa contenuti XML forniti dall’utente senza disabilitare le DTD esterne, violando le pratiche di sicurezza consigliate per il parsing XML in ambienti Java.
I ricercatori hanno potuto inviare payload contenenti entità esterne che si riferivano a file locali del server, ottenendone il contenuto. Una delle prove più significative è stata la lettura del file InitAccount.cmd, generato automaticamente durante l’installazione, che contiene in chiaro la password dell’amministratore nella prima riga.
Accesso al file InitAccount.cmd e presa di controllo dell’account admin
Il file InitAccount.cmd, localizzato in C:\\Program Files\\SysAidServer\\logs\\, è utilizzato per inizializzare l’account amministratore al primo avvio della piattaforma. Nonostante la sua funzione iniziale, il file rimane sul sistema anche dopo l’attivazione del software, rappresentando così un vettore di attacco persistente.
Attraverso le vulnerabilità XXE, i ricercatori sono riusciti a leggere il contenuto del file e ricavare la password in testo semplice, accedendo così all’interfaccia amministrativa della piattaforma.
Dal furto delle credenziali all’esecuzione di comandi: la chiusura della catena di attacco
L’accesso all’interfaccia di SysAid come amministratore ha permesso l’esplorazione di ulteriori superfici di attacco. Nei changelog della versione successiva (24.4.60), è stato individuato un fix per una vulnerabilità di command injection. Sebbene la falla non sia stata scoperta direttamente dal team di ricerca, è risultata funzionale alla completa compromissione del sistema, trasformando un attacco XXE in RCE pre-auth mediante catena.
L’iniezione di comandi si basa su endpoint esposti che accettano input non filtrato, passando direttamente a chiamate del sistema operativo, una pratica assolutamente da evitare in ambienti enterprise.
Gestione inadeguata della disclosure da parte di SysAid
La comunicazione con il team di sicurezza di SysAid è stata descritta come incoerente e lenta, con risposte parziali e mancato riconoscimento della gravità delle vulnerabilità segnalate. Il patching delle falle ha richiesto oltre due mesi, durante i quali l’ecosistema è rimasto vulnerabile a exploit gravi, potenzialmente sfruttabili da ransomware o gruppi APT.
Le vulnerabilità XXE nel contesto enterprise
Gli attacchi XXE sfruttano la possibilità di definire entità esterne all’interno di documenti XML, che possono essere utilizzate per leggere file locali, eseguire attacchi SSRF o addirittura avviare esecuzioni di comandi. In ambienti Java, l’uso di parser come SAXParser o PropertyListParser senza disabilitare le entità esterne è una cattiva pratica che continua a esporre le infrastrutture a rischi evitabili.
Nel caso SysAid, la complessità dell’infrastruttura e la mancanza di una configurazione sicura dei parser XML ha amplificato la superficie d’attacco, dimostrando che anche software classificati come “business-critical” possono soffrire di debolezze strutturali se la sicurezza non è integrata nel ciclo di sviluppo.
Minacce combinate a livello di rete, virtualizzazione e autenticazione
Un numero significativo di advisory Cisco rilasciati il 7 maggio coinvolge vulnerabilità che impattano su moduli critici come il sistema IOx, i protocolli di gestione SNMP, i meccanismi TWAMP e la virtualizzazione. Alcuni di questi advisory sono di particolare rilievo per ambienti altamente segmentati, data center e reti SD-WAN:
- Cisco IOx application hosting environment DoS: attacchi mirati possono causare un’interruzione dei servizi ospitati in ambienti IOx, compromettendo l’erogazione di applicazioni edge.
- Cisco IOS XE software Internet Key Exchange v1 DoS: manipolazioni nei pacchetti IKEv1 possono causare interruzioni nelle connessioni VPN.
- Cisco ASA, FTD, IOS e IOS XE software IKEv2 DoS: colpisce una gamma vasta di dispositivi con attacchi denial of service sfruttando pacchetti IKEv2 malformati.
- Cisco IOS software SNMPv3 configuration restriction e SNMP bypass SD-WAN: permettono la manipolazione delle policy SNMP v3, minando l’affidabilità della sorveglianza rete.
- Cisco IOS, IOS XE e IOS XR TWAMP DoS: l’utilizzo di pacchetti TWAMP non autenticati consente interruzioni nelle misurazioni di latenza e throughput.
- Cisco IOS XE webui multiple vulnerabilities: somma di più vulnerabilità critiche sull’interfaccia web di gestione.
Alcune vulnerabilità recenti legate all’autenticazione e ai privilegi sono state rese ancora più critiche dal fatto che non richiedono autenticazione, o lo fanno solo in ambienti limitati. Questi fattori rendono possibile la compromissione di dispositivi di classe enterprise senza la necessità di accesso privilegiato, mettendo in crisi segmenti di rete teoricamente isolati.
Conferme CISA: vulnerabilità sfruttate attivamente nei contesti reali
Parallelamente al bollettino Cisco, la Cybersecurity and Infrastructure Security Agency (CISA) ha aggiornato il proprio catalogo KEV (Known Exploited Vulnerabilities) il 7 maggio con ulteriori falle che risultano già sfruttate nel mondo reale. L’avviso ufficiale è disponibile a questo link:
- CVE-2024-6047 GeoVision Devices OS Command Injection Vulnerability
- CVE-2024-11120 GeoVision Devices OS Command Injection Vulnerability
Le due vulnerabilità aggiunte riguardano componenti software di uso comune in infrastrutture cloud e ambienti di gestione IT centralizzati. CISA ha imposto agli enti federali l’obbligo di remediation entro pochi giorni, sottolineando che questi vettori vengono attivamente utilizzati da gruppi APT e ransomware-as-a-service.
Cosa distingue un attacco pre-auth da uno post-auth?
Un attacco pre-auth avviene prima che l’utente sia autenticato, sfruttando endpoint o funzionalità pubblicamente accessibili. Questo tipo di exploit è estremamente critico, perché non richiede credenziali e può essere automatizzato su larga scala. Un post-auth attack, al contrario, richiede almeno un account con privilegi limitati.
La combinazione tra XXE pre-auth, file locali con password in chiaro e command injection forma una catena di exploit devastante, in grado di compromettere completamente un sistema partendo da zero.
Un attacco distribuito contro infrastrutture di gestione
La somma dei bollettini Cisco, degli alert CISA e delle campagne attive contro WordPress e SysAid dipinge un quadro chiaro: la superficie d’attacco si è spostata in modo definitivo verso la gestione, non solo verso i servizi. Gli attori malevoli non puntano più solo ai dati o ai ransomware immediati, ma cercano accessi laterali, controllo amministrativo e persistenza all’interno delle reti.
Questo approccio consente:
- movimento laterale senza rilevamento
- disattivazione o manipolazione dei log di rete
- gestione delle patch e dei backup dall’interno
- esfiltrazione silente tramite moduli legittimi (per esempio SNMP o API REST)
La pericolosità dell’attuale scenario risiede nella sua natura interconnessa. Le falle WebUI di Cisco, le API non autenticate di Catalyst Center, le API compromesse di SysAid e gli exploit via plugin WordPress si concatenano in catene di compromissione, rendendo inutile la protezione perimetrale se non supportata da isolamento dei ruoli, segmentazione logica e visibilità estesa sugli endpoint.
