Sommario
Il mese di aprile 2025 si rivela particolarmente complesso per la sicurezza delle infrastrutture digitali globali. In uno scenario dove il perimetro di attacco si frammenta tra cloud, protocolli di identità, sistemi ad alta disponibilità e posta elettronica, tre eventi distinti ma interconnessi delineano una nuova fase critica: la manipolazione dei token Google OAuth per firmare email contraffatte, i lockout di massa in ambienti Entra Microsoft causati da errori nella nuova funzionalità MACE, e la divulgazione pubblica degli exploit per la vulnerabilità critica SSH CVE-2025-32433 in Erlang/OTP, con impatti immediati sulle infrastrutture telecom e database.
I tre casi non solo condividono un elevato livello di sofisticazione tecnica, ma dimostrano la fragilità sistemica di protocolli e servizi considerati cardini dell’architettura digitale moderna. L’uso fraudolento di OAuth 2.0, il rollout non controllato di funzionalità di enforcement identitario e l’esposizione remota di un componente SSH in ambienti Erlang evidenziano un pattern ricorrente: la sicurezza dei sistemi digitali non è più solo una questione di patching, ma di progettazione e visibilità operativa in tempo reale.
DKIM firmato da Google: come i phisher sfruttano OAuth per far sembrare legittime le email spoofate
Ricercatori di sicurezza hanno identificato una tecnica avanzata di phishing che sfrutta l’autenticazione OAuth di Google per generare email con firme DKIM autentiche di dominio Google. La tecnica si fonda sulla capacità di registrare applicazioni OAuth lecite per ottenere token di accesso, successivamente utilizzati per inviare email da indirizzi falsificati con firma DKIM valida.
Il DomainKeys Identified Mail (DKIM) è uno dei tre pilastri della sicurezza email, insieme a SPF e DMARC. Una firma DKIM valida dimostra che il contenuto dell’email non è stato alterato e che proviene effettivamente dal dominio indicato nel record DNS. Tuttavia, quando i token OAuth vengono utilizzati in modo abusivo, come in questo caso, il messaggio può essere composto interamente da un attore malevolo ma firmato da Google, sfruttando l’infrastruttura di Gmail per bypassare i filtri antiphishing.
Questo tipo di attacco, conosciuto come replay DKIM spoofing, non è un semplice invio da IP camuffato. Utilizza sessioni OAuth per inviare l’email attraverso i canali ufficiali di Google, producendo un messaggio che appare assolutamente autentico agli occhi dei gateway di sicurezza, ai provider di posta e agli stessi utenti.
Il rischio non risiede solo nell’elusione dei filtri automatici. L’email, apparentemente inviata da un servizio Google ufficiale come notification@google.com o security@google.com, è in grado di sollecitare credenziali, OTP o autorizzazioni aggiuntive con un livello di credibilità impensabile per altre forme di attacco.
L’intervento di Google non è ancora stato accompagnato da una mitigazione strutturale. Attualmente, l’unico approccio efficace suggerito dai ricercatori consiste nel rafforzare l’analisi comportamentale dei contenuti email e nel tracciare le sessioni OAuth con maggiore granularità.
Lockout su Microsoft Entra: la funzione MACE causa disconnessioni di massa e interruzioni aziendali
Parallelamente alla crisi generata dall’abuso del protocollo OAuth, Microsoft ha dovuto affrontare una crisi interna causata da una funzionalità di sicurezza introdotta senza una validazione sufficiente. Il rollout della nuova funzionalità MACE (Multitenant Authentication Context Enforcement) all’interno della piattaforma Entra ID ha determinato una serie di lockout a cascata in tutto il mondo, coinvolgendo tenant Azure, servizi federati e ambienti enterprise ibridi.
MACE è concepita per offrire agli amministratori un meccanismo centralizzato con cui definire e applicare policy granulari di accesso tra tenant multipli, attraverso l’enforcement contestuale dell’identità. Il principio alla base è quello di evitare che applicazioni registrate su un tenant possano impersonare identità in tenant differenti senza controlli espliciti.
Tuttavia, l’implementazione iniziale si è rivelata troppo aggressiva. A causa di parametri predefiniti che bloccavano richieste di token provenienti da tenant federati, numerosi utenti hanno improvvisamente perso l’accesso ai servizi Microsoft 365, Teams, SharePoint e Azure Portal, con impatti significativi sulla continuità operativa.
La situazione è stata ulteriormente aggravata dal fatto che molte organizzazioni non erano a conoscenza del rollout della funzionalità, introdotta in modalità opt-out senza una comunicazione preventiva adeguata. Di conseguenza, le policy di accesso in ambienti condivisi, tra cui B2B e scenari con Azure AD Connect, hanno iniziato a fallire in massa, impedendo l’autenticazione e la sincronizzazione.
Microsoft ha rapidamente rilasciato una patch che disabilita temporaneamente MACE, permettendo agli amministratori di ripristinare manualmente i collegamenti tra tenant. Tuttavia, l’incidente sottolinea quanto la gestione dell’identità centralizzata sia fragile in ambienti multicloud, e quanto un’errata valutazione di default possa compromettere milioni di sessioni simultaneamente.
Erlang/OTP sotto attacco: CVE-2025-32433 consente esecuzione remota via SSH senza autenticazione
Mentre Google e Microsoft fronteggiano rispettivamente sofisticazioni nell’abuso di OAuth e rollout problematici nelle policy d’identità, un’altra minaccia emerge con gravità ancora maggiore: la vulnerabilità CVE-2025-32433 identificata nel componente SSH dell’ecosistema Erlang/OTP, ormai soggetta a exploit pubblici diffusi e funzionanti.
Il bug è stato scoperto e segnalato alla fine di marzo 2025 e affligge il modulo ssh:daemon/1-2, presente in tutte le versioni di Erlang/OTP fino alla 26.2.3. Il problema nasce da una mancanza di validazione nei dati SSH ricevuti, che consente a un attaccante remoto di inviare un payload appositamente costruito per eseguire codice arbitrario sul server senza dover prima autenticarsi.
L’exploit pubblicato, disponibile sia su GitHub che su Pastebin, sfrutta un pacchetto SSH manipolato che induce il server a caricare un modulo di sistema in modalità trusted, bypassando completamente le protezioni standard del processo di handshake. Le condizioni richieste sono minime: basta che il servizio SSH di Erlang sia attivo su una porta raggiungibile, una condizione ampiamente presente in cluster distribuiti, servizi message broker e ambienti di microservizi, dove Erlang è ancora oggi il motore sottostante di sistemi come RabbitMQ, CouchDB, ejabberd e MongooseIM.
Il rischio operativo è enorme. Un attaccante può:
- ottenere accesso root
- esfiltrare dati sensibili
- modificare la logica applicativa di sistemi mission-critical
- muoversi lateralmente in cluster distribuiti, compromettendo l’intera architettura
La portata è aggravata dal fatto che Erlang, spesso integrato come componente embedded, non riceve aggiornamenti automatici e risulta difficile da patchare in ambienti legacy o containerizzati. Il mantenimento manuale dei repository, unito alla scarsa documentazione di installazioni storiche, rende probabile la persistenza di versioni vulnerabili anche mesi dopo la disponibilità della patch.
Mitigazione e impatti: aggiornamenti urgenti e visibilità immediata sul perimetro SSH
La risposta ufficiale di Ericsson (maintainer di Erlang/OTP) è arrivata con il rilascio delle versioni 26.2.4, 25.3.2.9 e 24.3.4.17, le uniche attualmente immuni alla vulnerabilità. Tuttavia, l’ampia diffusione di ambienti privi di aggiornamenti automatici richiede un intervento su tre livelli:
- revisione immediata delle porte SSH esposte pubblicamente
- applicazione urgente della patch
- eventuale disattivazione temporanea del componente
ssh:daemon, se non strettamente necessario
Molti fornitori cloud stanno già includendo lo scanning per CVE-2025-32433 nei propri motori di detection, mentre le piattaforme di sicurezza come Shodan hanno iniziato a mappare in tempo reale le istanze Erlang esposte su internet, evidenziando migliaia di nodi vulnerabili attivi.
L’incidente evidenzia come le librerie di basso livello in linguaggi come Erlang siano spesso escluse dai processi di monitoraggio standard, pur rappresentando elementi critici dell’infrastruttura. In ambienti message-driven o telecom, dove la resilienza si basa proprio su OTP, l’impatto di una compromissione SSH può essere immediatamente distruttivo.
Ecosistema distribuito che esige controllo continuo e sicurezza nativa
I tre eventi analizzati tracciano un quadro inequivocabile della nuova sicurezza digitale. L’abuso di protocolli standard come OAuth, l’eccessiva fiducia nei rollout automatizzati di policy identitarie e la persistenza di vulnerabilità nei componenti runtime dimostrano che la superficie d’attacco non è più legata solo al software applicativo, ma si espande verticalmente dalla sorgente del traffico fino al kernel del linguaggio esecutivo.
La sicurezza diventa quindi un processo distribuito, continuo e profondamente contestuale. Nessun certificato DKIM, nessuna architettura federata, nessun cluster telecom è oggi realmente protetto senza visibilità proattiva, audit sistematici e aggiornamenti reattivi, capaci di mitigare anche vulnerabilità pubbliche come quella emersa in Erlang.
Il paradigma della difesa deve evolvere oltre il firewall e il SIEM, includendo una gestione attiva delle componenti embedded, un tracciamento continuo delle identità federate e un controllo sulle interfacce di protocollo, sia per l’invio email, sia per l’autenticazione sia per la comunicazione tra nodi.
