Cyber Trend Maggio 2025: Inizio di mese caldo per le vulnerabilità (e gli hacker)

15/05/2025
Cyber Trend Maggio 2025: Inizio di mese caldo per le vulnerabilità (e gli hacker)

Maggio è iniziato prepotentemente nel mondo della cybersecurity. Dalle patch di routine a vere e proprie falle critiche già sfruttate attivamente dai cybercriminali, è stato un inizio mese da tenere d’occhio per chiunque gestisca sistemi IT, a prescindere dalle dimensioni.

Ma cosa sta succedendo davvero? E quali sono le vulnerabilità che preoccupano di più?

Tendenza del mese: vulnerabilità critiche già in uso dagli attaccanti

Uno dei segnali più chiari di questo mese è che gli attaccanti non aspettano: appena viene scoperta una vulnerabilità, la sfruttano subito. Vediamo di seguito in dettaglio i casi più gravi:

Commvault Command Center – CVE-2025-34028

Gravità: Critica
Stato: Sfruttamento attivo

Questa falla interessa il Command Center, cioè la dashboard usata dagli amministratori IT per gestire i backup e i dati. In parole semplici: un hacker da remoto può sfruttare questa falla per entrare nella console di controllo e comandare il sistema come se fosse un admin. Pensiamo ai backup, ai dati aziendali, alle carte di credito salvate, e tutto nelle mani sbagliate.

Annotiamo che anche se è già stata corretta, gli attacchi continuano a colpire sistemi non aggiornati. Ovviamente, patchare subito.

Craft CMS e Yii Framework – CVE-2025-32432 e CVE-2024-58136

Gravità: Alta
Stato: Sfruttamento attivo

Fosse un videogioco sarebbe da considerare una combo letale: due falle concatenate che colpiscono siti web realizzati con Craft CMS e framework Yii.
I cybercriminali stanno già sfruttando queste debolezze per:

  • iniettare codice malevolo nei siti
  • accedere a dati sensibili
  • e in certi casi persino ottenere il controllo del server web.

Chiunque gestisca un sito con Craft CMS o Yii, ha il fondamentale obbligo di aggiornare immediatamente.

Brocade Fabric OS – CVE-2025-1976

Gravità: Alta
Stato: Sfruttamento attivo

Sebbene il prodotto abbia diffusione quasi esclusiva in ambienti enterprise, la falla potrebbe essere passata inosservata in funzione dei periodi festivi e troviamo essenziale segnalarla.
La vulnerabilità permette a un attaccante di entrare nei dispositivi di rete e potenzialmente manipolare o interrompere il traffico dati, il che inibisce il senso dei sistemi Brocade, usati per la gestione delle reti di storage.

Patch già rilasciata, ma viene segnalata ancora in sfruttamento continuo.
Le infrastrutture critiche sono avvisate.

Microsoft Patch Tuesday: 78 vulnerabilità corrette, 7 zero-day

Continuiamo con Microsoft che ha pubblicato il classico pacchetto mensile di aggiornamenti
In questo caso si tratta di uno degli update più importanti da tempo, considerando che include 78 falle corrette, tra cui 7 zero-day, 5 delle quali già sfruttate attivamente in rete.

Qui il testo completo:

https://msrc.microsoft.com/update-guide/releaseNote/2023-May

Zero-Day, ecco le più preoccupanti:

CVE-2025-32701 – Common Log File System Driver

Vulnerabilità use after free: consente a un attaccante locale di raggiungere ed ottenere privilegi SYSTEM, ovvero il massimo possibile su una macchina Windows.

CVE-2025-32706 – Common Log File System Driver (di nuovo!)

Altro bug nello stesso componente, ma stavolta causato da un input mal validato. Anche qui l’attaccante ottiene SYSTEM.

CVE-2025-32709 – WinSock Auxiliary Function Driver

Permette a un utente locale malintenzionato di escalare i privilegi fino a SYSTEM.

CVE-2025-30397 – Microsoft Scripting Engine (Edge/IE)

L’attacco parte da un link malevolo o alterato in Edge o Internet Explorer. Se il malcapitato utente clicca, l’attaccante può eseguire un codice da remoto sul sistema sfruttando un bug di tipologia type confusion.

CVE-2025-30400 – DWM Core Library

Altro attacco per ottenere SYSTEM. Basta che il malintenzionato abbia accesso alla macchina.

Le due zero-day pubbliche (ufficialmente non ancora sfruttate):

  • CVE-2025-26685 – Microsoft Defender: spoofing d’identità sulla rete LAN, anche da utenti non autenticati.
  • CVE-2025-32702 – Visual Studio: command injection da remoto, anche da parte di utenti non autenticati.

Altri trend importanti di maggio

Oltre agli exploit attivi, abbiamo visto un’ondata di patch su prodotti molto usati, con decine di CVE a rischio:

  • Cisco: ben 13 vulnerabilità, tra cui una critica. Potenziale esecuzione di codice da remoto.
  • Google Android e Pixel: più di 40 falle corrette, molte con impatto su privacy e accesso a livello di sistema.
  • F5 BIG-IP e F5OS: 12 vulnerabilità, 11 delle quali ad alta criticità per chi gestisce applicazioni in cloud.
  • OpenCTI: piattaforma per la gestione delle minacce compromessa da una falla critica che consente di eseguire comandi da remoto tramite webhook.

Osservazioni in merito al primo quarto di maggio:

  1. La velocità degli attaccanti è aumentata: le vulnerabilità vengono sfruttate subito in maniera continuativa.
  2. Gli attaccanti sembrano mappare in maniera continua i sistemi esposti, in modo da usufruire delle vulnerabilità che non sono ancora state sanate per ritardi nell’applicazione delle patch.
  3. I bersagli sono sistemi di gestione, CMS e strumenti di sicurezza: in pratica, i “nodi centrali” della rete.
  4. Si evidenzia una tendenza a rischiare ritardando le operazioni di patching in azienda: seppur vero che molti attacchi si concentrino su versioni vecchie di tool e prodotti, e quindi basti poco per risolvere le vulnerabilità applicando semplicemente gli aggiornamenti, sembra che la tendenza sia quella di sottovalutare l’importanza dell’update.
  5. Connesso a questa tendenza e parzialmente a farne da giustificativo, il fatto che molti sistemi abbiano customizzazioni rigide ed interdipendenze con altri sistemi o macchinari, da cui consegue che aggiornare senza una analisi accurata o un workaround idoneo possa compromettere le attività tanto quanto un blocco di produzione.

Patchate gente, patchate!

#update #patch #malware #zeroday #cybersecurity #cybercrime #patching #observere

#cybercrime #cybereducation #cybersecurity #cyberthreat #zeroday

Potrebbe interessarti anche...

Falla in WhatsApp e 127 Aggiornamenti Windows
10/04/2025
Falla in WhatsApp e 127 Aggiornamenti Windows

Altra settimana densa di aggiornamenti nel panorama della cybersecurity. I principali vendor — tra cui...

Leggi di più
Marzo in pillole: le patch che potresti esserti perso
1/04/2025
Marzo in pillole: le patch che potresti esserti perso

Il recap delle più importanti patch che potresti aver perso del mese di marzo

Leggi di più
Urgent Patching Time: Un triste febbraio 2025
17/02/2025
Urgent Patching Time: Un triste febbraio 2025

Aggiornamenti di Sicurezza di Febbraio: Zero-Day e Vulnerabilità Critiche Per tenerci impegnati a Febbraio e...

Leggi di più
L’istruzione: un bersaglio ransomware facile per i cybercriminali
10/02/2025
L’istruzione: un bersaglio ransomware facile per i cybercriminali

Negli ultimi anni, il settore dell’istruzione, sia pubblico che privato, è diventato una fonte di...

Leggi di più