Sommario
Negli ultimi giorni, il panorama della sicurezza informatica globale ha registrato un’intensificazione delle attività di patching e allerta da parte di aziende leader del settore e di agenzie governative. In particolare, Adobe ha risolto 11 vulnerabilità critiche in ColdFusion, Fortinet ha richiesto aggiornamenti urgenti su FortiSwitch, mentre Amazon ha corretto una pericolosa falla nel proprio agente EC2 SSM. A questi eventi si aggiungono nuovi inserimenti nel catalogo CISA delle vulnerabilità note ed attivamente sfruttate, delineando uno scenario di rischio in rapido mutamento per imprese e organizzazioni.
Adobe corregge 11 vulnerabilità critiche in ColdFusion
Adobe ha rilasciato una patch di sicurezza che affronta 11 vulnerabilità classificate come critiche all’interno del proprio software ColdFusion. Secondo quanto riportato, le falle correvano il rischio di permettere l’esecuzione di codice arbitrario remoto e l’escalation di privilegi su sistemi compromessi. Il bollettino ufficiale conferma che le versioni interessate erano ColdFusion 2023 update 5 e ColdFusion 2021 update 11. Le falle sono state identificate con i codici CVE-2024-20767 fino a CVE-2024-20777 e CVE-2024-20784.
| APSB25-14: Aggiornamento di sicurezza disponibile per Adobe Acrobat Reader | 11/03/2025 | 11/03/2025 |
| APSB25-16: Aggiornamento di sicurezza disponibile per Adobe Substance 3D Sampler | 11/03/2025 | 11/03/2025 |
| APSB25-17: Aggiornamento di sicurezza disponibile per Adobe Illustrator | 11/03/2025 | 11/03/2025 |
| APSB25-18: Aggiornamento di sicurezza disponibile per Adobe Substance 3D Painter | 11/03/2025 | 11/03/2025 |
| APSB25-19: Aggiornamento di sicurezza disponibile per Adobe InDesign | 11/03/2025 | 11/03/2025 |
| APSB25-21: Aggiornamento di sicurezza disponibile per Adobe Substance 3D Modeler | 11/03/2025 | 11/03/2025 |
| APSB25-22: Aggiornamento di sicurezza disponibile per Adobe Substance 3D Designer | 11/03/2025 | 11/03/2025 |
Le più gravi tra queste vulnerabilità (CVE-2024-20771, CVE-2024-20772 e CVE-2024-20773) avrebbero potuto essere sfruttate per eseguire codice da remoto senza necessità di autenticazione, rendendo prioritaria l’implementazione delle patch da parte di amministratori e responsabili IT. Adobe raccomanda l’installazione immediata delle versioni aggiornate, già disponibili tramite il proprio canale ufficiale.
Fortinet invita a un aggiornamento immediato dei dispositivi FortiSwitch
Parallelamente, Fortinet ha esortato gli utenti di FortiSwitch a installare l’ultima versione del firmware, dopo aver scoperto vulnerabilità che potrebbero essere sfruttate da attori malintenzionati. Le falle non sono state ancora pubblicamente descritte in dettaglio, ma l’azienda ha precisato che le versioni precedenti di FortiSwitchOS presentano difetti di sicurezza critici. La minaccia si estende all’intera gamma di dispositivi gestiti tramite FortiLink.
Il bollettino di Fortinet chiarisce che gli aggiornamenti riguardano numerose varianti hardware, tra cui modelli della serie 100, 200, 400 e 1000, e che l’aggiornamento mitigativo è disponibile per tutti i clienti titolari di contratti di supporto attivi. Fortinet ha ribadito che la mancata applicazione della patch espone l’infrastruttura a potenziali compromissioni.
Amazon corregge una vulnerabilità nel componente SSM agent di EC2
Un’altra importante segnalazione è arrivata da Amazon, che ha risolto una vulnerabilità scoperta nel suo agente EC2 SSM (AWS Systems Manager). La falla, sfruttabile localmente, avrebbe consentito a un utente non privilegiato di ottenere accesso root, bypassando i controlli di sicurezza del sistema. L’azienda ha collaborato con il ricercatore indipendente Mark Stanislav, il quale ha evidenziato la possibilità di escalation di privilegi attraverso il daemon SSM agent.
La vulnerabilità, non ancora identificata tramite codice CVE pubblico, è stata già corretta nei pacchetti aggiornati per le principali distribuzioni Linux compatibili con EC2, tra cui Amazon Linux, Ubuntu e Red Hat. Amazon ha comunicato che non risultano prove di un utilizzo malevolo attivo della falla prima della pubblicazione del fix.
CISA aggiorna il catalogo delle vulnerabilità note sfruttate
L’agenzia federale CISA (Cybersecurity and Infrastructure Security Agency) ha aggiunto tre nuove voci al proprio catalogo delle vulnerabilità conosciute e attivamente sfruttate. Le nuove entrate sono:
- CVE-2025-30406: vulnerabilità nella piattaforma Gladinet CentreStack che implica l’uso di chiavi crittografiche hardcoded, mettendo a rischio la riservatezza dei dati aziendali.
- CVE-2025-29824: grave falla nel driver Windows Common Log File System (CLFS), classificata come use-after-free, che permette l’esecuzione arbitraria di codice ed è attualmente sfruttata attivamente da gruppi ransomware.
- Un’ulteriore vulnerabilità (ancora in fase di analisi) è stata aggiunta il 7 aprile, anch’essa con prove di sfruttamento attivo.
Secondo la direttiva BOD 22-01, gli enti federali statunitensi sono obbligati a correggere le falle presenti nel catalogo CISA entro scadenze prefissate, ma l’agenzia invita anche le organizzazioni private a considerare queste indicazioni come priorità critica nel proprio piano di gestione delle vulnerabilità.
L’importanza strategica della rapidità di aggiornamento
Questi eventi, occorsi in rapida successione, sottolineano quanto la tempestività nel patching e nella gestione delle vulnerabilità sia fondamentale per ridurre la superficie d’attacco delle infrastrutture IT. In particolare, il crescente numero di exploit noti evidenzia che il tempo medio di weaponizzazione delle falle si sta riducendo, mettendo a rischio anche gli ambienti apparentemente sicuri.
Mentre Adobe e Fortinet affrontano problemi strutturali nei propri ambienti di esecuzione e gestione, il caso Amazon dimostra come anche servizi cloud sofisticati non siano esenti da errori di progettazione, e come le segnalazioni della comunità di ricerca rappresentino uno dei principali strumenti di difesa. Il contributo della CISA nel fornire un elenco attivo e continuamente aggiornato di minacce conferma la necessità di un approccio collaborativo tra enti pubblici, aziende e ricercatori indipendenti.
