Quattro diverse falle di sicurezza, recentemente scoperte e già in parte sfruttate attivamente, mettono a rischio backup, licenze software e interi ambienti web. Le vulnerabilità coinvolgono soluzioni di uso comune in ambito aziendale come Veeam Backup & Replication, Nakivo, Cisco Smart Licensing Utility e il plugin WordPress WP Ghost.
Si tratta di vulnerabilità di tipo remote code execution (RCE) e path traversal, con impatti gravi che vanno dalla lettura arbitraria di file alla compromissione completa dei server. Le autorità statunitensi, tra cui CISA, hanno già classificato alcune di queste falle come attivamente sfruttate, richiedendo aggiornamenti urgenti soprattutto nei contesti governativi.
Veeam Backup & Replication: vulnerabilità RCE
La vulnerabilità CVE-2025-23120, scoperta da watchTowr Labs, colpisce tutte le versioni di Veeam Backup & Replication fino alla 12.3.0.310 ed è stata corretta con la release 12.3.1.1139.
Il problema deriva da un’errata gestione della deserializzazione di oggetti nelle classi .NET Veeam.Backup.EsxManager.xmlFrameworkDs e Veeam.Backup.Core.BackupSummary, che consente a un attaccante di iniettare oggetti malevoli e ottenere l’esecuzione remota di codice.
A peggiorare la situazione, l’exploit è possibile da parte di qualsiasi utente appartenente al dominio, rendendo le installazioni collegate a una rete Windows particolarmente vulnerabili.
Il precedente approccio di Veeam, basato sull’implementazione di blacklist di classi vietate, si è dimostrato inefficace, poiché watchTowr ha trovato una nuova catena di gadget non inclusa nell’elenco.
Gli esperti consigliano di:
- Aggiornare immediatamente alla versione 12.3.1.1139
- Rivedere le configurazioni, preferendo installazioni standalone fuori dal dominio
- Seguire le best practice di hardening suggerite da Veeam
Nakivo Backup & Replication: CISA conferma attacchi attivi contro CVE-2024-48248
Il secondo caso riguarda Nakivo Backup & Replication, colpito da una vulnerabilità di tipo path traversal assoluto, tracciata come CVE-2024-48248. La falla consente a utenti non autenticati di accedere a file sensibili all’interno del sistema.
Questa vulnerabilità è stata scoperta da watchTowr, e la patch è stata rilasciata con la versione v11.0.0.88174 a novembre 2024. Tuttavia, CISA ha confermato la sua attiva esploitazione, inserendo il CVE nel suo catalogo delle vulnerabilità note ed attivamente utilizzate.
Il problema risiede nella possibilità di richiamare percorsi arbitrari, accedendo a file che possono contenere credenziali, configurazioni di backup e chiavi di accesso, aprendo la strada a compromissioni profonde delle infrastrutture aziendali.
Si consiglia di:
- Aggiornare immediatamente alla versione 11.0.0.88174
- Controllare i log di accesso per attività sospette o non autorizzate
- Isolare i server di backup dalla rete pubblica
Cisco Smart Licensing Utility: vulnerabilità su account admin backdoor
Una vulnerabilità ancora più inquietante è stata identificata nel software Cisco Smart Licensing Utility (CSLU), utilizzato per gestire le licenze offline dei prodotti Cisco.
Il bug principale (CVE-2024-20439) consiste nella presenza di un account amministrativo backdoor con credenziali statiche hardcoded, che consente accesso remoto non autenticato attraverso l’API del software.
Un secondo problema (CVE-2024-20440) permette l’accesso a log contenenti dati sensibili, tra cui token di autenticazione.
Entrambe le vulnerabilità sono state sfruttate in attacchi reali, secondo quanto riportato da SANS Institute. I ricercatori segnalano anche il tentativo di concatenare questi exploit con altre vulnerabilità note, rendendo le campagne ancora più pericolose.
Cisco ha corretto le vulnerabilità, ma molte installazioni restano esposte perché l’applicazione CSLU non è pensata per rimanere in esecuzione in background, e viene spesso lanciata manualmente in ambienti Windows vulnerabili.
Per mitigare il rischio:
- Aggiornare il CSLU con le patch Cisco rilasciate a settembre 2024
- Disattivare l’applicazione se non necessaria
- Limitare l’accesso alla rete locale tramite firewall e segmentazione
WP Ghost: vulnerabilità critica nel plugin di sicurezza per 200.000 siti WordPress
Il plugin WP Ghost, utilizzato per proteggere oltre 200.000 siti WordPress, contiene una vulnerabilità RCE critica tracciata come CVE-2025-26909.
La falla è stata scoperta da Patchstack e deriva da una mancanza di validazione dell’input nella funzione showFile(), permettendo inclusione arbitraria di file attraverso URL manipolati.
La vulnerabilità si attiva quando è abilitata la funzione “Change Paths” in modalità Lite o Ghost, ma il modulo LFI risulta sfruttabile nella quasi totalità delle configurazioni. Questo porta a possibili scenari di:
- esecuzione remota di codice (RCE)
- accesso a file sensibili (LFI)
- avvelenamento dei log e denial of service
La patch è disponibile dalla versione 5.4.02, ma si consiglia di aggiornare alla più recente 5.4.03.
Aggiornare immediatamente e ridurre la superficie di attacco
Le quattro vulnerabilità sopra descritte confermano un trend critico: le soluzioni di backup e gestione licenze, così come i plugin di sicurezza WordPress, stanno diventando obiettivi primari per gruppi ransomware e attori statali.
In tutti i casi, i difetti consentono l’esecuzione remota di codice o l’accesso non autorizzato a dati sensibili, compromettendo la continuità operativa delle aziende.
La priorità assoluta deve essere quella di:
- Aggiornare tutti i software coinvolti alle versioni più recenti
- Monitorare i log per accessi anomali
- Seguire linee guida di sicurezza come l’isolamento delle infrastrutture di backup
- Verificare le configurazioni predefinite ed evitare l’uso di credenziali statiche