CISA segnala tre vulnerabilità critiche sfruttate da hacker

La Cybersecurity and Infrastructure Security Agency (CISA) ha diramato un’allerta critica includendo tre nuove vulnerabilità nel suo catalogo delle minacce informatiche sfruttate (KEV), evidenziando che tali falle sono attualmente oggetto di sfruttamento attivo da parte degli hacker.

Tra queste, figura CVE-2025-20393, una vulnerabilità critica di tipo zero-day che interessa i dispositivi Secure Email Gateway (SEG) e Web Manager (SEWM) prodotti da Cisco, contraddistinta da un punteggio CVSS pari a 10/10.

Tale vulnerabilità, considerata di “massima gravità”, permette agli aggressori non autenticati di superare tutte le barriere di difesa e di eseguire comandi a loro scelta con i privilegi di root. L’origine del problema risiede in una procedura di convalida degli input errata nella funzione Spam Quarantine, che risulta esposta su Internet.

Gli hacker stanno quindi sfruttando attivamente una falla nelle appliance Secure Email Gateway (SEG) e Web Manager (SEWM) di Cisco, che consente loro di eseguire comandi arbitrari con privilegi di root a causa di una convalida errata degli input nella funzione Spam Quarantine quando questa è accessibile online.

Secondo Cisco Talos, un gruppo di minacce informatiche cinese-nexus, identificato come UAT-9686, sta già sfruttando questa falla, come visto nell’articolo precedente. Il gruppo sta implementando una suite di malware personalizzati, tra cui la backdoor persistente AquaShell e AquaPurge, uno strumento progettato per ripulire i log e nascondere le proprie tracce.

La CISA ha inoltre segnalato una situazione critica che coinvolge i dispositivi SonicWall SMA1000. Sebbene l’avviso evidenzi una vulnerabilità specifica (spesso collegata alla console di gestione), il vero pericolo deriva dal modo in cui gli aggressori la stanno collegando a una precedente falla, la CVE-2025-23006.

Gli aggressori stanno combinando queste vulnerabilità per ottenere un controllo completo del sistema. Il rapporto osserva che gli aggressori “hanno concatenato questa vulnerabilità con una falla di deserializzazione pre-autenticazione SMA1000 di gravità critica… per ottenere l’esecuzione di codice remoto non autenticato con privilegi di root”.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Questa “catena di exploit” trasforma il dispositivo in una porta aperta per gli intrusi. Alle agenzie federali è stata data una scadenza ravvicinata, il 24 dicembre 2025, per risolvere questa specifica minaccia.

La terza aggiunta è un tuffo nel passato con conseguenze moderne. CVE-2025-59374 (CVSS 9.3) riguarda il client ASUS Live Update, un’utilità che ha raggiunto la fine del supporto (EOS) nel 2021.

Nonostante sia obsoleto, il software viene sfruttato tramite una sofisticata “compromissione della supply chain”. Modifiche non autorizzate introdotte nel client di aggiornamento consentono agli aggressori di forzare i dispositivi a “eseguire azioni indesiderate” se soddisfano specifiche condizioni di targeting. Poiché il software non è più supportato, rappresenta un rischio “zombie”, in quanto non aggiornato e in agguato sui sistemi più vecchi.

Si evince quindi che le vulnerabilità informatiche sono sempre dietro l’angolo. La CISA ha segnalato ben tre nuove falle sfruttate attivamente dagli hacker. Questa falla permette agli aggressori di eseguire comandi a loro scelta con i privilegi di root.

Per non cadere dentro questi problemi, occorre prestare attenzione ad alcuni aspetti. Innanzitutto, è fondamentale aggiornare i sistemi e i software alle ultime versioni, come le falle scoperte nei dispositivi SonicWall SMA1000. Inoltre, è importante fare attenzione ai software obsoleti, come il client ASUS Live Update, che non sono più supportati ma possono ancora rappresentare un rischio.

In sintesi, la finestra tra pubblicazione degli exploit e sfruttamento attivo si sta sempre più riducendo, pertanto risulta importante effettuare il “patch management”, prima che gli aggressori possano sfruttare le falle di sicurezza all’interno delle nostre organizzazioni.

Solo con una grande attenzione e consapevolezza è possibile evitare di cadere nelle trappole tese dagli hacker.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli