Benvenuto su Hacking News Live 24h, la fonte in tempo reale per tutte le news di hacking, cybercrime e cybersecurity.
Aggiorniamo costantemente le notizie 24 ore su 24 con report tecnici, indagini digitali e analisi sugli attacchi più recenti.
I ricercatori di Cyble Vulnerability Intelligence hanno monitorato 591 vulnerabilità la scorsa settimana e più di 30 dispongono già di una Proof-of-Concept (PoC) disponibile al pubblico, aumentando significativamente la probabilità di attacchi reali a tali vulnerabilità.
In totale, 69 vulnerabilità sono state classificate come critiche secondo il sistema di punteggio CVSS v3.1, mentre 26 hanno ricevuto una valutazione di gravità critica in base al più recente sistema di punteggio CVSS v4.0.
Ecco alcune delle vulnerabilità IT e ICS più critiche segnalate da Cyble nei recenti report ai clienti.
Le principali vulnerabilità IT della settimana
CVE-2025-60854 è una vulnerabilità critica di command injection riscontrata nel firmware 1.20.01 e precedenti del router D-Link R15 (AX1500). La falla ha un punteggio di gravità di 9,8 e non richiede autenticazione o interazione da parte dell'utente per essere sfruttata, il che la rende estremamente pericolosa per i sistemi interessati.
La scorsa settimana la CISA ha aggiunto cinque vulnerabilità al suo catalogo delle vulnerabilità note sfruttate (KEV):
CVE-2025-55182 è una vulnerabilità critica di esecuzione di codice remoto (RCE) pre-autenticazione nelle versioni 19.0.0, 19.1.0, 19.1.1 e 19.2.0 dei componenti di React Server, inclusi i seguenti pacchetti: react-server-dom-parcel, react-server-dom-turbopack e react-server-dom-webpack. La vulnerabilità è stata segnalata come obiettivo da gruppi di minacce informatiche legati alla Cina.
CVE-2021-26829 è una vulnerabilità di cross-site scripting (XSS) che colpisce OpenPLC ScadaBR ed è stata presa di mira in recenti attacchi da parte del gruppo di hacktivisti filorusso TwoNet su un honeypot che simulava un impianto di trattamento delle acque, in cui gli autori della minaccia hanno utilizzato credenziali predefinite per l'accesso iniziale, sfruttato la falla per deturpare la pagina di accesso HMI e disabilitato registri e allarmi in poco più di un giorno.
Cinque giorni dopo aver aggiunto CVE-2021-26829 al catalogo KEV, CISA ha aggiunto CVE-2021-26828, una vulnerabilità di gravità elevata che impedisce il caricamento illimitato di file con tipo pericoloso e che interessa OpenPLC ScadaBR fino alla versione 0.9.1 su Linux e fino alla versione 1.12.4 su Windows. La falla potrebbe consentire a utenti autenticati remoti di caricare ed eseguire file JSP arbitrari tramite view_edit.shtm.
La CISA ha inoltre aggiunto due vulnerabilità Android al catalogo KEV, entrambe di gravità elevata per il framework Android. CVE-2025-48572 è una vulnerabilità di tipo Privilege Escalation, mentre CVE-2025-48633 è una vulnerabilità di tipo Information Disclosure. Nessuna delle due vulnerabilità è stata ancora aggiunta al National Vulnerability Database (NVD).
Tra le vulnerabilità più importanti discusse nelle comunità open source figurano:
CVE-2025-13223, una vulnerabilità di confusione di tipo nel motore JavaScript e WebAssembly V8 di Google Chrome, che consente ad aggressori remoti di sfruttare il danneggiamento dell'heap tramite una pagina HTML contraffatta, portando potenzialmente all'esecuzione di codice arbitrario.
CVE-2025-11001, una vulnerabilità di esecuzione di codice remoto durante l'attraversamento di directory in 7-Zip, derivante dalla gestione impropria dei collegamenti simbolici nei file ZIP, che consente potenzialmente agli aggressori di uscire dalle directory di estrazione ed eseguire codice arbitrario nel contesto di un account di servizio in seguito all'interazione dell'utente con archivi contraffatti.
CVE-2025-58034, una vulnerabilità di iniezione di comandi del sistema operativo nei firewall per applicazioni web Fortinet FortiWeb.
CVE-2025-41115, una vulnerabilità critica di escalation dei privilegi e impersonificazione degli utenti nella funzionalità di provisioning SCIM di Grafana Enterprise, che potrebbe consentire agli aggressori di creare account impersonando utenti privilegiati, modificare dashboard, accedere a database, alterare avvisi e passare a sistemi connessi.
CVE-2025-59366, una vulnerabilità critica di bypass dell'autenticazione nei router ASUS AiCloud, che consente potenzialmente l'esecuzione non autorizzata di specifiche funzioni del router tramite attraversamento del percorso e iniezione di comandi del sistema operativo.
Vulnerabilità in discussione sul Dark Web
I ricercatori del dark web di Cyble hanno osservato numerosi attori delle minacce (TA) sui forum del dark web e della criminalità informatica che discutevano di vari exploit e sfruttavano molteplici vulnerabilità, tra cui:
CVE-2025-60709: una vulnerabilità di elevazione dei privilegi del driver CLFS (Common Log File System) di Windows che potrebbe consentire a un aggressore autorizzato di elevare i privilegi localmente tramite una falla di lettura fuori dai limiti. La falla specifica è presente nel driver clfs.sys e deriva da una convalida non corretta dei dati forniti dall'utente, che può portare a una lettura oltre la fine di una regione di memoria allocata.
Gli aggressori locali possono divulgare informazioni sensibili sulle installazioni di Microsoft Windows interessate e potenzialmente sfruttare questa vulnerabilità insieme ad altre vulnerabilità per eseguire codice arbitrario nel contesto del kernel, con conseguente escalation dei privilegi.
CVE-2025-5931: una vulnerabilità di escalation dei privilegi di elevata gravità nel plugin WordPress Dokan Pro, che deriva da una convalida non corretta dell'identità dell'utente durante la procedura di reimpostazione della password dello staff, consentendo agli aggressori con accesso a livello di fornitore di aumentare i propri privilegi a livello di membro dello staff e quindi modificare password utente arbitrarie, comprese quelle degli amministratori, portando potenzialmente al controllo completo dell'account.
CVE-2025-64446: una vulnerabilità critica di attraversamento del percorso non autenticato in Fortinet FortiWeb WAF che potrebbe consentire la completa compromissione amministrativa delle appliance interessate tramite richieste HTTP(S) contraffatte. La falla è un problema di attraversamento del percorso relativo (talvolta chiamato "confusione del percorso") nell'interfaccia utente grafica (GUI)/API di gestione di FortiWeb che potrebbe consentire a un aggressore di raggiungere un gestore CGI interno ed eseguire operazioni privilegiate senza credenziali valide. In pratica, questo diventa un bypass dell'autenticazione che consente il controllo remoto a livello di amministratore e, di fatto, l'esecuzione di codice remoto sul WAF.
Vulnerabilità ICS
Oltre alle vulnerabilità OpenPLC ScadaBR segnalate da CISA, i ricercatori di intelligence sulle minacce di Cyble hanno segnalato altre quattro vulnerabilità del sistema di controllo industriale (ICS) in recenti report ai clienti.
CVE-2024-3871 è una vulnerabilità critica di tipo Stack-Based Buffer Overflow che interessa Emerson Appleton UPSMON-PRO, versioni 2.6 e precedenti. Lo sfruttamento della vulnerabilità potrebbe consentire ad aggressori remoti di eseguire codice arbitrario sulle installazioni interessate di Appleton UPSMON-PRO.
CVE-2025-13483 è una vulnerabilità di tipo "Mancanza di autenticazione per funzioni critiche" che interessa SiRcom SMART Alert (SiSA), versione 3.0.48. Lo sfruttamento di questa vulnerabilità potrebbe consentire a un aggressore di attivare o manipolare da remoto le sirene di emergenza.
CVE-2025-13658 è una vulnerabilità di tipo Command Injection che interessa le versioni di Longwatch dalla 6.309 alla 6.334. Lo sfruttamento potrebbe consentire a un aggressore non autenticato di ottenere l'esecuzione di codice remoto con privilegi elevati.
CVE-2025-13510 è una vulnerabilità di tipo "Mancanza di autenticazione per funzioni critiche" che interessa Iskra iHUB e iHUB Lite, tutte le versioni. Uno sfruttamento riuscito potrebbe consentire a un aggressore remoto di riconfigurare i dispositivi, aggiornare il firmware e manipolare i sistemi connessi senza credenziali.
Conclusione
L'ampia gamma di vulnerabilità critiche e sfruttate nel report di questa settimana evidenzia l'ampiezza delle minacce affrontate dai team di sicurezza, che devono rispondere con azioni rapide e mirate per difendere con successo l'IT e le infrastrutture critiche. Un programma di gestione delle vulnerabilità basato sul rischio dovrebbe essere al centro di questi sforzi difensivi.
Altre best practice di sicurezza informatica che possono aiutare a proteggersi da un'ampia gamma di minacce includono la segmentazione delle risorse critiche; la rimozione o la protezione delle risorse rivolte al web; i principi di accesso Zero-Trust; i backup resistenti al ransomware; endpoint, infrastrutture e configurazioni rafforzati; il monitoraggio di rete, endpoint e cloud; e piani di risposta agli incidenti ben collaudati.
Le soluzioni complete di gestione della superficie di attacco di Cyble possono aiutare a scansionare le risorse di rete e cloud per individuare eventuali esposizioni e dare priorità alle correzioni, oltre a monitorare le credenziali trapelate e altri segnali di allarme precoce di importanti attacchi informatici.
Ottieni il rapporto di valutazione delle minacce
Guida del CISO all'intelligence sulle minacce 2024: best practice
Anticipa le minacce informatiche con approfondimenti e strategie di esperti. Scarica subito l'e-book gratuito.
Post correlati
Seguici anche su:
- 📖 eBook Italiano
- 🌎 eBook English version
- 🎥 YouTube