Uno sciame di Agenti AI trovano uno 0day da CVSS 10 nel firmware dei dispositivi Xspeeder

Quando si parla di sicurezza informatica, è facile cadere nella trappola di pensare che i problemi siano sempre lontani, che riguardino solo gli altri. Ma la realtà è che la vulnerabilità è sempre dietro l’angolo, pronta a colpire.

Uno sciame di agenti di intelligenza artificiale autonomi ha scoperto una falla critica nei dispositivi di rete utilizzati in tutto il mondo, e questo dovrebbe far suonare un campanello d’allarme per tutti.

Il rapporto di pwn.ai descrive nei dettagli la scoperta di una falla di esecuzione remota di codice (RCE) pre-autenticazione nei dispositivi prodotti da Xspeeder, un fornitore cinese noto per i suoi router e dispositivi SD-WAN. La falla, tracciata come CVE-2025-54322, ha un punteggio CVSS di 10, il che significa che è praticamente una bomba a tempo pronta a esplodere. Ecco perché è fondamentale prendere atto di questa vulnerabilità e capire le implicazioni.

Sebbene gli scanner automatici esistano da tempo, pwn.ai sostiene che questa scoperta rappresenti un balzo in avanti in termini di capacità. La loro piattaforma ha emulato autonomamente il firmware del dispositivo, identificato la superficie di attacco e progettato un modo per accedere senza l’intervento umano. “A nostra conoscenza, questo è il primo RCE 0day scoperto da un agente e sfruttabile da remoto pubblicato“, afferma il rapporto .

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

I dispositivi SD-WAN di Xspeeder, alimentati dal firmware principale SXZOS, sono stati presi di mira dagli agenti di intelligenza artificiale. Questi ultimi, spesso collocati in ambienti industriali e sedi remote, rappresentano nodi cruciali all’interno delle reti aziendali. Con l’obiettivo di emulare i dispositivi e acquisire un controllo non autorizzato, agli agenti fu assegnata una direttiva basilare. Ne derivarono risultati rapidi e dalle conseguenze devastanti. “Hanno identificato rapidamente un punto di ingresso RCE pre-auth completo e ci ha comunicato di aver trovato un modo per entrare”, hanno spiegato i ricercatori.

La vulnerabilità consente a un aggressore di eseguire comandi di sistema arbitrari senza mai effettuare l’accesso. Manipolando specifiche intestazioni HTTP, utilizzando in particolare uno User-Agent SXZ/2.3 e un’intestazione calcolata basata sul tempo X-SXZ-R, gli agenti sono riusciti a bypassare i controlli di sicurezza nel middleware Nginx del dispositivo.

La vulnerabilità è attualmente zero-day, il che significa che non esiste alcuna patch. Si dice che pwn.ai abbia tentato di contattare Xspeeder per oltre sei mesi per rivelare la falla in modo responsabile, ma non ha ricevuto risposta. “Abbiamo scelto questa come prima segnalazione perché, a differenza di altri fornitori, non siamo riusciti a ottenere alcuna risposta da XSpeeder nonostante oltre sette mesi di contatto”, si legge nel rapporto. “Di conseguenza, al momento della pubblicazione, questa rimane purtroppo una vulnerabilità zero-day”.

La mancanza di risposta da parte del fornitore risulta particolarmente preoccupante, considerando l’ampia diffusione di questi dispositivi. Secondo servizi di fingerprinting come Fofa, sono stati individuati numerosi sistemi esposti. In diverse aree geografiche del mondo, sono accessibili al pubblico decine di migliaia di sistemi che si basano su SXZOS, circostanza che rende questo firmware, e qualunque potenziale vulnerabilità che possa esporre, un’ampia superficie di rischio.

Fino al rilascio di una patch, le organizzazioni che utilizzano dispositivi Xspeeder SD-WAN sono invitate a isolare tali dispositivi dalla rete Internet pubblica per impedire potenziali compromissioni da parte di autori di minacce che potrebbero ora tentare di sfruttare i risultati.

Va evidenziato che la rivelazione del bug 0day risale a molti mesi fa; tuttavia, solo oggi l’azienda decide di parlarne ufficialmente, in base alla logica della divulgazione coordinata delle vulnerabilità, in modo da permettere al produttore di rilasciare la patch in totale sicurezza. E’ opportuno considerare che gli agenti intelligenti stanno progressivamente acquisendo importanza e saranno presto utilizzati per automatizzare le attività di scansione; nondimeno, è fondamentale tenere sempre presente i possibili impatti che potrebbero verificarsi in ambienti operativi.

Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.