Uno sciame di Agenti AI trovano uno 0day da CVSS 10 nel firmware dei dispositivi Xspeeder

Quando si parla di sicurezza informatica, è facile cadere nella trappola di pensare che i problemi siano sempre lontani, che riguardino solo gli altri. Ma la realtà è che la vulnerabilità è sempre dietro l’angolo, pronta a colpire.

Uno sciame di agenti di intelligenza artificiale autonomi ha scoperto una falla critica nei dispositivi di rete utilizzati in tutto il mondo, e questo dovrebbe far suonare un campanello d’allarme per tutti.

Il rapporto di pwn.ai descrive nei dettagli la scoperta di una falla di esecuzione remota di codice (RCE) pre-autenticazione nei dispositivi prodotti da Xspeeder, un fornitore cinese noto per i suoi router e dispositivi SD-WAN. La falla, tracciata come CVE-2025-54322, ha un punteggio CVSS di 10, il che significa che è praticamente una bomba a tempo pronta a esplodere. Ecco perché è fondamentale prendere atto di questa vulnerabilità e capire le implicazioni.

Sebbene gli scanner automatici esistano da tempo, pwn.ai sostiene che questa scoperta rappresenti un balzo in avanti in termini di capacità. La loro piattaforma ha emulato autonomamente il firmware del dispositivo, identificato la superficie di attacco e progettato un modo per accedere senza l’intervento umano. “A nostra conoscenza, questo è il primo RCE 0day scoperto da un agente e sfruttabile da remoto pubblicato“, afferma il rapporto .

I dispositivi SD-WAN di Xspeeder, alimentati dal firmware principale SXZOS, sono stati presi di mira dagli agenti di intelligenza artificiale. Questi ultimi, spesso collocati in ambienti industriali e sedi remote, rappresentano nodi cruciali all’interno delle reti aziendali. Con l’obiettivo di emulare i dispositivi e acquisire un controllo non autorizzato, agli agenti fu assegnata una direttiva basilare. Ne derivarono risultati rapidi e dalle conseguenze devastanti. “Hanno identificato rapidamente un punto di ingresso RCE pre-auth completo e ci ha comunicato di aver trovato un modo per entrare”, hanno spiegato i ricercatori.

La vulnerabilità consente a un aggressore di eseguire comandi di sistema arbitrari senza mai effettuare l’accesso. Manipolando specifiche intestazioni HTTP, utilizzando in particolare uno User-Agent SXZ/2.3 e un’intestazione calcolata basata sul tempo X-SXZ-R, gli agenti sono riusciti a bypassare i controlli di sicurezza nel middleware Nginx del dispositivo.

La vulnerabilità è attualmente zero-day, il che significa che non esiste alcuna patch. Si dice che pwn.ai abbia tentato di contattare Xspeeder per oltre sei mesi per rivelare la falla in modo responsabile, ma non ha ricevuto risposta. “Abbiamo scelto questa come prima segnalazione perché, a differenza di altri fornitori, non siamo riusciti a ottenere alcuna risposta da XSpeeder nonostante oltre sette mesi di contatto”, si legge nel rapporto. “Di conseguenza, al momento della pubblicazione, questa rimane purtroppo una vulnerabilità zero-day”.

La mancanza di risposta da parte del fornitore risulta particolarmente preoccupante, considerando l’ampia diffusione di questi dispositivi. Secondo servizi di fingerprinting come Fofa, sono stati individuati numerosi sistemi esposti. In diverse aree geografiche del mondo, sono accessibili al pubblico decine di migliaia di sistemi che si basano su SXZOS, circostanza che rende questo firmware, e qualunque potenziale vulnerabilità che possa esporre, un’ampia superficie di rischio.

Fino al rilascio di una patch, le organizzazioni che utilizzano dispositivi Xspeeder SD-WAN sono invitate a isolare tali dispositivi dalla rete Internet pubblica per impedire potenziali compromissioni da parte di autori di minacce che potrebbero ora tentare di sfruttare i risultati.

Va evidenziato che la rivelazione del bug 0day risale a molti mesi fa; tuttavia, solo oggi l’azienda decide di parlarne ufficialmente, in base alla logica della divulgazione coordinata delle vulnerabilità, in modo da permettere al produttore di rilasciare la patch in totale sicurezza. E’ opportuno considerare che gli agenti intelligenti stanno progressivamente acquisendo importanza e saranno presto utilizzati per automatizzare le attività di scansione; nondimeno, è fondamentale tenere sempre presente i possibili impatti che potrebbero verificarsi in ambienti operativi.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks