Redazione RHC : 30 Agosto 2025 09:33
Secondo un report di Kaspersky Lab, nel secondo trimestre del 2025 l’utilizzo delle vulnerabilità è aumentato in modo significativo: quasi tutti i sottosistemi dei computer moderni sono stati attaccati, dal UEFI ai driver dei browser, ai sistemi operativi e alle applicazioni.
Come in precedenza, gli aggressori continuano a sfruttare tali vulnerabilità in attacchi reali per ottenere l’accesso ai dispositivi degli utenti e a combinarle attivamente con i framework C2 in complesse operazioni mirate. Un’analisi delle statistiche CVE degli ultimi 5 anni mostra un costante aumento del numero totale di vulnerabilità registrate. Se all’inizio del 2024 se ne contavano circa 2.600, a gennaio 2025 questa cifra ha superato le 4.000.
L’unica eccezione è stata maggio, altrimenti la dinamica ha continuato a prendere slancio. Allo stesso tempo, alcune CVE potrebbero essere registrate con identificatori degli anni precedenti, ma pubblicate solo nel 2025. Ciò che è particolarmente allarmante è che nella prima metà del 2025 anche il numero di vulnerabilità critiche con un punteggio CVSS superiore a 8,9 è aumentato significativamente. Sebbene non tutte le vulnerabilità siano valutate su questa scala, si osserva una tendenza positiva: i bug critici sono più spesso accompagnati da descrizioni dettagliate e diventano oggetto di analisi pubblica, il che può contribuire a una più rapida mitigazione del rischio.
 Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Le vulnerabilità più sfruttate in Windows nel secondo trimestre sono state ancora una volta vecchie vulnerabilità di Microsoft Office: CVE-2018-0802, CVE-2017-11882 e CVE-2017-0199, le quali interessano il componente Equation Editor.
Seguono exploit per WinRAR (CVE-2023-38831), una vulnerabilità in Windows Explorer (CVE-2025-24071), che consente il furto di hash NetNTLM, e un bug nel driver ks.sys (CVE-2024-35250), che consente a un aggressore di eseguire codice arbitrario. Tutte queste vulnerabilità vengono utilizzate sia per l’accesso primario che per l’escalation dei privilegi.
Per quanto riguarda Linux, gli exploit più comuni sono stati Dirty Pipe (CVE-2022-0847), CVE-2019-13272, relativo ai privilegi ereditati, e CVE-2021-22555 , una vulnerabilità heap nel sottosistema Netfilter che utilizza la tecnica Use-After-Free tramite manipolazioni con msg_msg. Ciò conferma la continua crescita dell’interesse degli aggressori per i sistemi Linux, principalmente dovuta all’espansione della base utenti.
Gli exploit del sistema operativo continuano a dominare le fonti pubbliche, mentre in questo trimestre non sono apparse nuove pubblicazioni sulle vulnerabilità di Microsoft Office. Per quanto riguarda gli attacchi mirati, le operazioni APT hanno spesso sfruttato vulnerabilità in strumenti di accesso remoto, editor di documenti e sottosistemi di logging. Strumenti low-code/no-code e persino framework per applicazioni di intelligenza artificiale sono al primo posto, il che indica un crescente interesse degli aggressori per i moderni strumenti di sviluppo. È interessante notare che i bug rilevati non riguardavano il codice generato, ma il software infrastrutturale stesso.
Secondo Kaspersky, i framework C2 nella prima metà del 2025, Sliver, Metasploit , Havoc e Brute Ratel C4 erano i leader e supportano direttamente gli exploit e offrono agli aggressori ampie opportunità di persistenza, controllo remoto e ulteriore automazione. Gli strumenti rimanenti venivano solitamente adattati manualmente per attacchi specifici.
Sulla base dell’analisi di campioni con exploit e agenti C2, sono state identificate le seguenti vulnerabilità chiave utilizzate nelle operazioni APT: CVE-2025-31324 in SAP NetWeaver Visual Composer Meta data Uploader (esecuzione di codice remoto, CVSS 10.0), CVE-2024-1709 in ConnectWise ScreenConnect (aggiramento dell’autenticazione, CVSS 10.0), CVE-2024-31839 e CVE-2024-30850 in CHAOS v5.0.1 (XSS e RCE) e CVE-2025-33053 in Windows, che consente l’esecuzione di codice arbitrario tramite l’elaborazione errata dei percorsi di scelta rapida.
Questi exploit hanno consentito sia l’introduzione immediata di codice dannoso sia un approccio graduale, a partire dalla raccolta delle credenziali.
Anche le vulnerabilità pubblicate di recente meritano particolare attenzione. CVE-2025-32433 è un bug RCE nel server SSH del framework Erlang/OTP, che consente l’esecuzione remota di comandi senza verifica anche da parte di utenti non autorizzati. CVE-2025-6218 è un’altra vulnerabilità di attraversamento delle directory in WinRAR , simile a CVE-2023-38831 : consente di modificare il percorso di decompressione dell’archivio ed eseguire codice all’avvio del sistema operativo o dell’applicazione.
CVE-2025-3052 in UEFI consente di bypassare Secure Boot tramite una gestione non sicura delle variabili NVRAM. La vulnerabilità CVE-2025-49113 in Roundcube Webmail è un classico problema di deserializzazione non sicura e richiede l’accesso autorizzato. Infine, CVE-2025-1533 nel driver AsIO3.sys provoca un arresto anomalo del sistema quando si lavora con percorsi più lunghi di 256 caratteri: gli sviluppatori non hanno considerato che il limite moderno in NTFS è di 32.767 caratteri.
La conclusione è chiara: il numero di vulnerabilità continua a crescere, soprattutto quelle critiche.
Pertanto, è importante non solo installare tempestivamente gli aggiornamenti, ma anche monitorare la presenza di agenti C2 sui sistemi compromessi, prestare attenzione alla protezione degli endpoint e definire una policy flessibile di gestione delle patch.
Questo è l’unico modo per ridurre efficacemente i rischi di exploit e garantire la stabilità dell’infrastruttura.
La conclusione è chiara: il numero di vulnerabilità continua a crescere, soprattutto quelle critiche. Pertanto, è importante non solo installare tempestivamente gli aggiornamenti, ma anche monitorare la presenza di agenti C2 sui sistemi compromessi, prestare attenzione alla protezione degli endpoint e definire una policy flessibile di gestione delle patch. Questo è l’unico modo per ridurre efficacemente i rischi di exploit e garantire la stabilità dell’infrastruttura.
Come abbiamo visto, gli exploit su documenti e allegati continuano a essere largamente utilizzati, confermando la necessità di un aumento della consapevolezza lato utenti: la formazione e la sensibilizzazione diventano strumenti indispensabili per ridurre il rischio di compromissione.
Allo stesso tempo, molte delle CVE più sfruttate derivano da un mancato patching di sicurezza: le organizzazioni devono agire in maniera più immediata nell’applicazione delle correzioni, senza rinvii che possono lasciare finestre di esposizione aperte agli attaccanti. In questo contesto, attività di Vulnerability Assessment e penetration test assumono un ruolo chiave, poiché consentono di identificare falle dimenticate o non rilevate dalle normali attività IT, colmando i gap prima che possano essere sfruttati.
In sintesi, solo combinando aggiornamenti rapidi, monitoraggio costante, controlli di sicurezza avanzati e consapevolezza degli utenti sarà possibile contenere l’impatto crescente degli exploit e difendere in maniera proattiva le infrastrutture digitali.
RedazioneNegli ultimi anni la cybersecurity è balzata in cima all’agenda di imprese, istituzioni e pubblica amministrazione. Ma se guardiamo ai numeri, l’Italia sembra ancora correre con le scarpe legate:...
L’evento che ha scosso il mondo il 19 ottobre 2025 non è stato un disastro naturale o un crollo finanziario, ma il clamoroso furto dei gioielli di Napoleone dal Museo del Louvre. Al di là del valo...
A partire da martedì 12 novembre 2025 entreranno in vigore le nuove disposizioni dell’Autorità per le Garanzie nelle Comunicazioni (AGCOM) che impongono un sistema di verifica dell’età per acce...
AzureHound, parte della suite BloodHound, nasce come strumento open-source per aiutare i team di sicurezza e i red team a individuare vulnerabilità e percorsi di escalation negli ambienti Microsoft A...
La tempestività è fondamentale nella cybersecurity. Red Hot Cyber ha recentemente lanciato un servizio completamente gratuito che permette a professionisti IT, analisti della sicurezza e appassionat...
