Threat Advisories

Nelle scorse settimane, e come già accennato nella nostra precedente consulenza.

È stata scoperta una vulnerabilità critica di bypass dell'autenticazione remota (CVE-2026-24061, CVSS 9.8) nel servizio telnetd di GNU InetUtils, che interessa tutte le versioni dalla 1.9.3 alla 2.7. La falla consente agli aggressori non autenticati di ottenere immediatamente l'accesso root sui sistemi interessati sfruttando una gestione impropria della variabile d'ambiente USER. La falla consente ad aggressori non autorizzati di ottenere istantaneamente l'accesso root sui sistemi interessati sfruttando una gestione impropria della variabile d'ambiente USER. Il problema è rimasto inosservato per quasi 11 anni e ora viene attivamente sondato da attori malintenzionati.

CrashFix è una campagna di malware attiva e altamente ingannevole basata su browser che sfrutta un'estensione dannosa di Google Chrome per mandare deliberatamente in crash i browser degli utenti e per indurli a eseguire i comandi forniti dall'aggressore. La campagna fornisce infine un trojan per l'accesso remoto a Windows, precedentemente non documentato, noto come ModeloRAT. L'attività è stata attribuita a un'operazione di distribuzione del traffico e di intermediazione degli accessi, identificata con il nome di KongTuke, noto anche con pseudonimi quali TAG-124 e 404 TDS. Documentata pubblicamente nel gennaio 2026 da Huntress, questa campagna rappresenta un'evoluzione degli attacchi in stile ClickFix, che sfruttano la frustrazione degli utenti e la fiducia nelle piattaforme legittime per ottenere l'esecuzione sui sistemi aziendali.

È stata recentemente individuata una grave falla di sicurezza (CVE-2025-25256) che interessa diverse versioni di Fortinet FortiSIEM. A causa della disponibilità di un Proof of Concept (PoC) pubblico, il rischio di sfruttamento è notevolmente aumentato, rendendo necessaria un’attenzione immediata e l’applicazione di misure correttive urgenti.

 

Nel fine settimana, Integrity360 è stata contattata da diversi clienti riguardo a una recente vulnerabilità critica (CVE-2025-53770) che prende di mira le istanze on-premise di Microsoft SharePoint sfruttando un difetto di deserializzazione. Questo zero-day risulta ampiamente sfruttato sin da metà luglio, rappresentando un serio rischio per qualsiasi ambiente SharePoint on-premise non aggiornato (Subscription, Server 2016 e Server 2019). Integrity360 desidera rassicurare i clienti che la vulnerabilità non colpisce le istanze cloud di SharePoint Online, utilizzate dalla maggior parte delle organizzazioni. È probabile che molte aziende stiano migrando verso Microsoft 365 a causa dell’imminente fine del supporto per SharePoint on-premise.

 

background:

Cisco ha risolto una vulnerabilità critica, identificata come CVE-2025-20337 (con punteggio CVSS pari a 10), in Identity Services Engine (ISE) e Cisco Identity Services Engine Passive Identity Connector (ISE-PIC). Un attaccante non autenticato potrebbe sfruttare questa vulnerabilità per eseguire codice arbitrario sul sistema operativo sottostante con privilegi di root.

riepilogo della vulnerabilità:

Una vulnerabilità in una specifica API di Cisco ISE e Cisco ISE-PIC potrebbe consentire a un attaccante remoto non autenticato di eseguire codice arbitrario sul sistema operativo sottostante come utente root. L'attaccante non necessita di credenziali valide per sfruttare questa vulnerabilità. Tale vulnerabilità è dovuta a una convalida insufficiente dei dati forniti dall'utente. Un attaccante potrebbe sfruttarla inviando una richiesta API appositamente creata. Un attacco riuscito potrebbe permettere all'attaccante di ottenere privilegi di root sul dispositivo interessato.

Cisco PSIRT non è a conoscenza di annunci pubblici o dell'uso malevolo delle vulnerabilità descritte in questo avviso.

versioni interessate:

CVE-2025-20281 e CVE-2025-20337: Queste vulnerabilità riguardano Cisco ISE e ISE-PIC nelle versioni 3.3 e 3.4, indipendentemente dalla configurazione del dispositivo. Queste vulnerabilità non riguardano Cisco ISE e ISE-PIC versione 3.2 o precedenti.

• Se Cisco ISE è aggiornato alla versione 3.4 Patch 2, non è richiesta alcuna azione aggiuntiva.

• Se Cisco ISE è aggiornato alla versione 3.3 Patch 6, sono disponibili correzioni aggiuntive nella versione 3.3 Patch 7, ed è necessario aggiornare il dispositivo.

• Se Cisco ISE ha installato il hot patch ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz o ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz, Cisco raccomanda l’aggiornamento alla versione 3.3 Patch 7 o 3.4 Patch 2. Questi hot patch non risolvono la vulnerabilità CVE-2025-20337 e sono stati rimossi dal CCO.

soluzioni alternative:

Non esistono soluzioni alternative per questa vulnerabilità.

azioni raccomandate:
Si consiglia ai clienti di aggiornare a una versione software corretta, come indicato nella seguente tabella.
Cisco ha rilasciato aggiornamenti software gratuiti che risolvono la vulnerabilità descritta in questo avviso. I clienti con contratti di servizio che prevedono aggiornamenti software regolari devono ottenere le correzioni di sicurezza attraverso i consueti canali di aggiornamento.

Cisco Security Bulletin – CVE-2025-20337

Se siete preoccupati per le minacce descritte in questo bollettino o avete bisogno di assistenza per determinare quali passi intraprendere per proteggere la vostra organizzazione dalle minacce più significative, contattate il vostro account manager o mettetevi in contatto per scoprire come proteggere al meglio la vostra organizzazione.