Quest’anno, numerose grandi aziende di tutto il mondo si troveranno a dover affrontare le conseguenze di attacchi informatici. Molte vulnerabilità conosciute costituiscono canali privilegiati per accedere a risorse di rete sensibili. Nel nostro primo Threat Report del 2025 analizziamo le principali violazioni del 2024, oltre ai data breach più importanti di gennaio 2025.
Un dato interessante: le vulnerabilità qui riportate rappresentano solo la punta dell’iceberg. A gennaio 2025 sono state pubblicate oltre 4.000 nuove CVE (Common Vulnerabilities and Exposures), di cui 22 hanno ottenuto un punteggio CVSS massimo di 10 e 375 e sono quindi considerate ad alto rischio. La crescente ondata di vulnerabilità critiche in dispositivi di edge networking persiste, con nuove falle scoperte nei prodotti di aziende leader del settore tecnologico come Microsoft, Apple, Cisco, Fortinet, Palo Alto Networks, Ivanti e Oracle. Queste esposizioni sono state aggiunte al catalogo KEV (Known Exploited Vulnerabilities) della CISA (Cybersecurity and Infrastructure Security Agency).
Mitigazione dei rischi nella supply chain: responsabilità condivise
Nell’era digitale, la dipendenza quotidiana da software di terze parti rende imprescindibile un rapporto di fiducia con questi strumenti. Tuttavia, quando questa fiducia viene compromessa, sia per negligenza, intenti malevoli o errori umani, la responsabilità della sicurezza informatica grava inevitabilmente sull’utente finale. La capacità di mitigare i rischi è strettamente legata alle competenze tecniche e alla collaborazione tra le parti coinvolte. Nel 2025, i professionisti della cybersecurity devono essere pienamente consapevoli di questa complessa realtà.
In caso di compromissione della sicurezza nella catena di approvvigionamento, condurre un’indagine approfondita sulle cause scatenanti diventa un imperativo. Valuta se il fornitore del software ha messo a disposizione gli strumenti necessari per gestire autonomamente i risultati delle tue misure di sicurezza. È necessario valutare se il fornitore del software ha reso disponibili gli strumenti essenziali per gestire in autonomia i risultati delle misure di sicurezza adottate. Inoltre, occorre verificare che i responsabili della sicurezza informatica sanno identificare ed eliminare le vulnerabilità. Oppure se i dipendenti sono stati adeguatamente formati per riconoscere gli attacchi di phishing e se sono state implementate altre misure di cybersecurity appropriate. Le aziende devono rafforzare le proprie difese contro i ransomware, valutando regolarmente il rischio e dando priorità alla gestione delle patch. Infine, devono verificare l’esistenza di strategie di backup affidabili che soddisfino gli obiettivi di recupero e implementare ulteriori controlli di sicurezza di base per salvaguardare i dati sensibili e prevenire interruzioni operative.
La soluzione? L’approccio proattivo
Il report annuale 2024 del National Cyber Security Center britannico offre un quadro preoccupante: il numero di attacchi informatici significativi è triplicato rispetto al 2023. Parallelamente, il CSIS (Center for Strategic and International Studies) ha pubblicato un elenco dettagliato dei principali incidenti informatici del 2024, fornendo una visione d’insieme del panorama globale delle minacce. Il conflitto Russia-Ucraina ha contribuito a influenzare questo scenario. Inoltre, la rapida transizione globale da cooperazione internazionale a una crescente ostilità ha ulteriormente aggravato i rischi, delineando un contesto sempre più complesso e instabile.
Secondo il rapporto di sicurezza 2024 di Check Point Research, il 96% delle vulnerabilità sfruttate nel 2024 aveva più di un anno. Questo dato risulta incoraggiante per i difensori proattivi, perché dimostra che le aziende che adottano un approccio di gestione delle vulnerabilità sono meglio preparate contro attacchi ransomware mirati e attacchi di massa. Una cosa è chiara: la sicurezza informatica proattiva si rivela fondamentale nel ridurre i costi associati alle violazioni della sicurezza.
Analizziamo due delle violazioni della sicurezza più significative del 2024:
- La violazione dei dati di Change Healthcare: nonostante una generale diminuzione delle violazioni nel settore sanitario rispetto al picco del 2023, l’attacco ransomware contro Change Healthcare ha stabilito un nuovo primato, coinvolgendo 190 milioni di persone. I costi associati hanno raggiunto la cifra astronomica di 2,457 miliardi di dollari. In seguito all’incidente, lo stato del Nebraska ha intrapreso un’azione legale contro l’azienda, accusandola di gestire sistemi IT obsoleti non conformi agli standard di sicurezza aziendali. Secondo le stime di IBM, le violazioni nel settore sanitario sono le più onerose, con un costo medio di 9,77 milioni di dollari nel 2024.
- I Typhoon fanno irruzione nelle aziende americane: il suffisso “Typhoon” è utilizzato nella nomenclatura di Microsoft per indicare gruppi di minacce di origine cinese. Il gruppo cinese Salt Typhoon, sostenuto dallo stato, si è infiltrato nelle reti di almeno nove grandi società di telecomunicazioni statunitensi, ottenendo accesso ai metadati delle chiamate e dei messaggi degli utenti, nonché alle registrazioni audio di alti funzionari governativi. Volt Typhoon ha compromesso le reti di Singapore Telecommunications (SingTel) e di altri operatori di telecomunicazioni a livello globale. Questi gruppi hanno sfruttato vulnerabilità in dispositivi di rete obsoleti, inclusi server Microsoft Exchange non aggiornati, router Cisco, firewall Fortinet e Sophos, e applicazioni VPN Ivanti. Greenbone è in grado di rilevare tutte le vulnerabilità software note associate agli attacchi di Salt Typhoon e Volt Typhoon.
[1][2].
Il Regno Unito e il divieto alle organizzazioni pubbliche di pagare riscatti ransomware
Nell’ambito della lotta al ransomware, il governo britannico ha proposto di vietare alle organizzazioni pubbliche e alle infrastrutture critiche il pagamento di riscatti con l’obiettivo di disincentivare i criminali informatici dal prenderle di mira. Tuttavia, un recente rapporto del National Audit Office (NAO) sottolinea che “la minaccia informatica per il governo del Regno Unito è grave e in rapida evoluzione”.
L’FBI, la CISA e l’NSA sconsigliano il pagamento dei riscatti in caso di attacchi ransomware. Pagare non garantisce il recupero dei dati crittografati né impedisce la diffusione di informazioni sottratte; al contrario, potrebbe incentivare ulteriori attività criminali. D’altro canto, secondo alcune analisi, molte piccole e medie imprese potrebbero non essere in grado di sostenere finanziariamente i tempi di inattività causati da un attacco ransomware. Questo solleva un dilemma: è accettabile che i criminali informatici traggano profitto, mentre le risorse che potrebbero essere destinate allo sviluppo di talenti locali vengono invece utilizzate per pagare riscatti?
Vulnerabilità in SonicWall SMA 1000 sfruttata in modo attivo
Microsoft Threat Intelligence ha scoperto che la vulnerabilità CVE-2025-23006 con un punteggio di 9.8 (Critico) secondo il Common Vulnerability Scoring System (CVSS), è attivamente sfruttata nei gateway SonicWall SMA 1000. Questa falla deriva dalla deserializzazione [CWE-502] di dati non affidabili. Un aggressore remoto non autenticato con accesso alle console di gestione Appliance Management Console (AMC) e Central Management Console (CMC) potrebbe eseguire comandi arbitrari sul sistema operativo del dispositivo. SonicWall ha rilasciato l’hotfix versione 12.4.3-02854 per risolvere questa vulnerabilità.
Sebbene non sia stato identificato alcun codice exploit pubblicamente disponibile, numerose agenzie governative hanno emesso avvisi riguardanti la vulnerabilità CVE-2025-23006, tra cui la Confederazione tedesca BSI CERT, il Centro canadese per la sicurezza informatica, il CISA e il NHS (National Health Service) del Regno Unito. Greenbone è in grado di rilevare sistemi SonicWall interessati da questa vulnerabilità verificando da remoto la versione indicata nel banner di servizio.
CVE-2024-44243 per rootkit persistenti in macOS
Gennaio 2025 è stato un mese pieno di sfide per la sicurezza Apple. Microsoft Threat Intelligence ha condotto un test di sicurezza su macOS, individuando una vulnerabilità che potrebbe consentire alle applicazioni installate di alterare il System Integrity Protection (SIP) del sistema operativo. Questa falla potrebbe permettere agli aggressori di installare rootkit e malware persistenti, nonché di eludere Transparency, Consent and Control (TCC), il meccanismo che gestisce i permessi di accesso delle applicazioni alle cartelle. Nonostante l’assenza di segnalazioni di attacchi attivi, Microsoft ha reso disponibili dettagli tecnici sulla vulnerabilità.
Alla fine di gennaio 2025, sono stati identificati 88 nuovi CVE, di cui 17 con livello di gravità critica (CVSS), che interessano l’intera gamma di prodotti Apple. Una di queste, CVE-2025-24085, è stata rilevata in attacchi attivi ed è stata aggiunta al catalogo KEV della CISA. Inoltre, sono state scoperte due vulnerabilità potenzialmente sfruttabili nei chip delle serie M di Apple, denominate SLAP e FLOP, per le quali non sono ancora stati assegnati CVE. Con SLAP i ricercatori hanno sfruttato le vulnerabilità del chip per manipolare le tecniche di allocazione dell’heap nel Safari WebKit e alterare i metadati delle stringhe JavaScript. Questo ha permesso loro di eseguire letture speculative fuori dai limiti, estraendo contenuti sensibili del DOM da altre schede del browser. Per quanto riguarda FLOP, gli esperti hanno dimostrato che è possibile rubare dati sensibili da Safari e Google Chrome bypassando la verifica del tipo JavaScript nel Safari WebKit e l’isolamento del sito in Chrome tramite WebAssembly.
Inoltre, sono state identificate cinque vulnerabilità critiche che interessano Microsoft Office per macOS, tutte con potenziali exploit che potrebbero portare all’esecuzione remota di codice (RCE). I prodotti coinvolti includono Microsoft Word (CVE-2025-21363), Excel (CVE-2025-21354 e CVE-2025-21362) e OneNote (CVE-2025-21402) per macOS. Sebbene al momento manchino dettagli tecnici specifici su queste vulnerabilità, è altamente consigliato aggiornare i software interessati il prima possibile per mitigare i rischi associati.
Il Greenbone Enterprise Feed rileva gli aggiornamenti di sicurezza mancanti per macOS e identifica numerose vulnerabilità (CVE) che interessano le applicazioni macOS, inclusi i cinque CVE recentemente scoperti in Microsoft Office per Mac.
6 vulnerabilità in Rsync consentono la compromissione di server e client
La combinazione die due vulnerabilità recentemente identificate può consentire l’esecuzione remota di codice su server Rsyncd vulnerabili, mantenendo un accesso anonimo in sola lettura. CVE-2024-12084, è un overflow del buffer heap e CVE-2024-12085 riguarda una perdita di informazioni. I mirror pubblici che utilizzano Rsyncd sono particolarmente a rischio, poiché non dispongono di propri controlli di accesso.
Inoltre, i ricercatori hanno rilevato che un server Rsyncd compromesso può leggere e scrivere qualsiasi file sui client collegati, consentendo il furto di informazioni sensibili e, potenzialmente, l’esecuzione di codice dannoso attraverso la modifica di file eseguibili.
Ecco un riepilogo delle nuove vulnerabilità, ordinate per gravità CVSS:
- CVE-2024-12084 (CVSS 9.8 Critical): una gestione impropria della lunghezza del checksum può causare un overflow del buffer heap, portando potenzialmente all’esecuzione remota di codice.
- CVE-2024-12085 (CVSS 7.5 High): la presenza di contenuti non inizializzati nello stack può esporre informazioni sensibili.
- CVE-2024-12087 (CVSS 6.5 Medium): la vulnerabilità Path Traversal in Rsync consente di accedere a file non autorizzati sul client.
- CVE-2024-12088 (CVSS 6.5 High): la vulnerabilità di Path Traversal attraverso l’opzione –safe-links può consentire la scrittura arbitraria di file al di fuori della directory prevista.
- CVE-2024-12086 (CVSS 6.1 High): i server Rsync possono esporre file sensibili dei client durante le operazioni di copia, potenzialmente rivelando dati riservati.
- CVE-2024-12747 (CVSS 5.6 High): una gestione inadeguata dei collegamenti simbolici in Rsync può causare una condizione di gara che, se sfruttata, consente l’escalation dei privilegi quando un utente malintenzionato controlla il processo Rsyncd.
Nel complesso, queste vulnerabilità rappresentano un serio rischio di esecuzione di codice remoto (RCE), esfiltrazione di dati e installazione di malware persistenti sia sui server Rsyncd che su client ignari.Gli utenti devono installare la patch di Rsync, eseguire una scansione approfondita degli Indicators of Compromise (IoC) su tutti i sistemi che hanno utilizzato Rsync e, se necessario, rivedere l’infrastruttura per la condivisione dei file. Greenbone è in grado di rilevare tutte le vulnerabilità note in Rsync e di identificare l’assenza di aggiornamenti di sicurezza critici.
CVE-2025-0411: 7-Zip consente l’aggiramento di MotW
Il 25 gennaio 2025 è stata resa nota la vulnerabilità CVE-2025-0411 (punteggio CVSS 7.5 – High), che interessa il software di archiviazione 7-Zip. Questa falla permette di aggirare il meccanismo di sicurezza “Mark of the Web” (MotW) di Windows tramite archivi appositamente predisposti. MotW contrassegna i file scaricati da Internet con un identificatore di zona (ADS), avvisando l’utente quando alcuni contenuti sono potenzialmente non sicuri. Tuttavia, nelle versioni di 7-Zip precedenti alla 24.09, il meccanismo MotW veniva eliminato nei file estratti da tali archivi, esponendo il sistema a rischi. Per sfruttare questa vulnerabilità, un attaccante necessita dell’interazione dell’utente, che dovrebbe aprire un archivio infetto e successivamente eseguire un file dannoso in esso contenuto.
Una ricerca di Cofense ha rilevato che i siti web governativi di tutto il mondo vengono utilizzati in modo improprio tramite CVE-2024-25608, una vulnerabilità nella piattaforma digitale Liferay che viene sfruttata per il credential phishing, malware e operazioni di comando e controllo (C2). Questa falla consente agli aggressori di reindirizzare gli utenti da URL .gov affidabili verso siti di phishing malevoli. La combinazione dei reindirizzamenti da domini .gov con la vulnerabilità di 7-Zip presenta il rischio elevato per la diffusione nascosta di malware.
Per mitigare questa vulnerabilità, è essenziale aggiornare manualmente 7-Zip alla versione 24.09, disponibile dalla fine del 2024. Come accennato nell’introduzione, la sicurezza della supply chain del software spesso si colloca in una zona grigia, poiché tutti dipendiamo da software al di fuori del nostro controllo. È interessante notare che, prima della divulgazione della vulnerabilità CVE-2025-0411, 7-Zip non aveva avvisato gli utenti riguardo a tale problema. Sebbene 7-Zip sia un software open source, il repository Github del prodotto non fornisce dettagli o informazioni di contatto per una divulgazione responsabile.
Inoltre, la vulnerabilità CVE-2025-0411 ha attivato notifiche da parte di DFN-CERT e BSI CERT-Bund[1][2]. Greenbone è in grado di individuare le versioni vulnerabili di 7-Zip.
Per riassumere
Questa edizione del nostro report mensile sulle minacce informatiche si concentra su significative violazioni della sicurezza avvenute nel 2024 e sulle nuove vulnerabilità critiche scoperte a gennaio 2025. La supply chain del software rappresenta un rischio crescente per aziende di ogni dimensione e interessa sia prodotti open source che proprietari. Tuttavia, il software open source offre trasparenza e la possibilità per le parti interessate di impegnarsi proattivamente per migliorare la sicurezza tramite un approccio collaborativo o indipendente. Sebbene i costi della sicurezza informatica siano elevati, il progresso delle competenze tecniche diventerà sempre più un fattore decisivo per la protezione di aziende e stati. La fortuna sta dalla parte di chi si fa trovare preparato.
