Sommario
Alla fine di marzo 2025, CISA e NetApp hanno pubblicato dettagli su nuove e gravi minacce alla sicurezza IT, sottolineando l’urgenza di misure correttive e il continuo perfezionamento delle tecniche di compromissione. Il malware RESURGE, identificato da CISA in sistemi Ivanti Connect Secure compromessi, e una vulnerabilità critica scoperta in SnapCenter, evidenziano due fronti di attacco distinti ma altamente pericolosi: la persistence malware-based e l’escalation di privilegi tramite software enterprise.
RESURGE: il nuovo malware che sopravvive ai reboot e prende il controllo degli Ivanti Connect Secure
CISA ha pubblicato un Malware Analysis Report (MAR) che analizza in profondità il malware denominato RESURGE, variante avanzata di SPAWNCHIMERA. Questo codice malevolo si distingue per la capacità di sopravvivere ai riavvii, manipolare controlli di integrità e creare web shell persistenti sui dispositivi Ivanti.
Associato all’exploit della vulnerabilità CVE-2025-0282, un buffer overflow nello stack dei dispositivi Ivanti Connect Secure, Policy Secure e ZTA Gateways, RESURGE è in grado di copiare se stesso nel disco di boot, alterare l’immagine coreboot in esecuzione e fornire accesso remoto permanente agli attaccanti. Il malware è stato rilevato attivamente in ambienti compromessi e utilizza i web shell per sottrarre credenziali, creare account, effettuare reset di password e scalare i privilegi locali.
Tra le raccomandazioni più urgenti, CISA suggerisce di eseguire un factory reset dei dispositivi colpiti, soprattutto in ambienti cloud o virtualizzati. Viene inoltre consigliato di resettare tutte le credenziali di account privilegiati e non privilegiati, inclusi gli account critici di Active Directory, come “krbtgt”, e di monitorare con attenzione l’attività di tutti gli account amministrativi.
Una nuova vulnerabilità nella supply chain enterprise: CVE-2025-26512 colpisce NetApp SnapCenter
Parallelamente, il team sicurezza di NetApp ha emesso un advisory finale sul bug CVE-2025-26512, una vulnerabilità che colpisce il software SnapCenter, usato in ambienti enterprise per backup, restore e gestione dei dati. La falla, valutata con un punteggio CVSS di 9.9 su 10, consente a un utente autenticato nel server SnapCenter di ottenere privilegi di amministratore su sistemi remoti in cui è installato un plug-in SnapCenter.
Ti è piaciuto questo contenuto? Iscriviti alla nostra newsletter settimanale
Seguici su Google News iscrivendoti al canale
In particolare, le versioni di SnapCenter precedenti alla 6.0.1P1 e 6.1P1 risultano vulnerabili. Attualmente non esistono workaround ufficiali, per cui l’unico modo per mitigare il rischio è aggiornare immediatamente alla versione corretta. Nonostante al momento non vi siano prove di exploit attivi, la natura dell’attacco — privilegio esteso da remoto tramite infrastruttura di gestione — rende l’aggiornamento una priorità assoluta in ambienti virtualizzati o ibridi.
Una vulnerabilità in più nel catalogo CISA: continua l’espansione degli exploit attivamente utilizzati
A completare il quadro, il 27 marzo CISA ha aggiornato il proprio Known Exploited Vulnerabilities Catalog, aggiungendo una nuova vulnerabilità sulla base di prove di sfruttamento attivo. Pur non specificando in questo caso l’identificativo CVE all’interno del documento reso pubblico, l’agenzia ha ribadito come queste vulnerabilità rappresentino vettori comuni di attacco per attori malevoli e un rischio significativo per le reti federali.
CVE-2025-2783 – Google Chromium Mojo Sandbox Escape Vulnerability
In linea con la Binding Operational Directive 22-01, le agenzie FCEB (Federal Civilian Executive Branch) sono tenute a mitigare ogni vulnerabilità presente nel catalogo entro la data di scadenza indicata, ma CISA sollecita tutte le organizzazioni — pubbliche e private — a seguire lo stesso approccio preventivo, riducendo la propria superficie d’attacco attraverso un processo costante di identificazione e correzione.
Ridurre la persistenza e rafforzare il controllo delle credenziali
I due casi illustrati mostrano come le minacce alla sicurezza possano agire su livelli diversi dell’ecosistema IT: da un lato, RESURGE colpisce l’infrastruttura VPN e di accesso remoto; dall’altro, CVE-2025-26512 sfrutta la gestione centralizzata dei backup per ottenere privilegi amministrativi su sistemi satellite. In entrambi i casi, il denominatore comune è la persistence e la possibilità di mantenere il controllo anche in seguito a reboot o sessioni di pulizia apparente.
In un contesto dove la supply chain software, la gestione delle identità e la segmentazione dei privilegi diventano elementi cardine della strategia di difesa, risulta essenziale adottare approcci multilivello alla sicurezza, tra cui:
- aggiornamento tempestivo delle piattaforme
- controllo degli account privilegiati
- monitoraggio continuo degli endpoint con tecniche di detection comportamentale
- applicazione di policy zero-trust e rotazione programmata delle credenziali
Il malware RESURGE, associato ad apparati di rete perimetrali, e la falla SnapCenter, che tocca il cuore della gestione dei dati aziendali, pongono l’accento su una verità sempre più evidente: ogni anello della catena può essere sfruttato, ed è compito dei team di sicurezza identificare e rinforzare i più deboli prima che diventino punto di accesso per l’attaccante.
