Negli ultimi giorni, il panorama della sicurezza informatica ha visto emergere nuove minacce che colpiscono sia utenti privati che infrastrutture critiche. Zyxel ha annunciato che non rilascerà aggiornamenti per alcune vulnerabilità critiche nei suoi router end-of-life, mentre la Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto nuove falle al suo catalogo di vulnerabilità note e ha pubblicato avvisi sulla sicurezza dei sistemi di controllo industriale (ICS).
Zyxel non correggerà le vulnerabilità critiche nei suoi router fuori supporto
L’azienda di sicurezza VulnCheck ha individuato due gravi vulnerabilità nei router Zyxel CPE Series, che vengono attivamente sfruttate da cybercriminali per ottenere accesso non autorizzato alle reti. Si tratta di CVE-2024-40891 e CVE-2025-0890, entrambe critiche per la sicurezza degli utenti.
- CVE-2024-40891 consente agli utenti autenticati di eseguire iniezione di comandi Telnet, sfruttando un difetto nella validazione dei comandi nel file libcms_cli.so.
- CVE-2025-0890 riguarda l’uso di credenziali di default deboli (admin:1234, zyuser:1234), molte delle quali non vengono mai cambiate dagli utenti. Il livello di accesso garantito dall’account supervisor consente il controllo totale del dispositivo.
Secondo i ricercatori, oltre 1.500 router Zyxel esposti a internet risultano vulnerabili e attualmente soggetti ad attacchi. Nonostante la gravità della situazione, Zyxel ha dichiarato che non rilascerà alcuna patch, poiché questi dispositivi sono fuori supporto da anni.
L’azienda consiglia agli utenti di sostituire i vecchi dispositivi con modelli più recenti, ma la mancanza di aggiornamenti lascia migliaia di utenti esposti a potenziali attacchi.
CISA aggiunge quattro vulnerabilità critiche al catalogo delle minacce note
Nel frattempo, la CISA ha aggiornato il suo Known Exploited Vulnerabilities Catalog, un elenco di vulnerabilità attivamente sfruttate che rappresentano una minaccia significativa per le reti federali e private. Le nuove falle aggiunte sono:
- CVE-2024-45195 – una vulnerabilità di forced browsing in Apache OFBiz, che consente agli attaccanti di accedere a file e dati sensibili senza autenticazione.
- CVE-2024-29059 – una falla nel .NET Framework di Microsoft, che permette la divulgazione non autorizzata di informazioni.
- CVE-2018-9276 – una vulnerabilità OS command injection in Paessler PRTG Network Monitor, utilizzata per ottenere accesso ai sistemi di monitoraggio di rete.
- CVE-2018-19410 – un problema di local file inclusion (LFI) sempre in Paessler PRTG Network Monitor, che consente di accedere a file sensibili su server vulnerabili.
CISA ha esortato le organizzazioni federali e private ad applicare immediatamente le patch di sicurezza per mitigare il rischio di attacchi.
CISA pubblica avvisi critici sulla sicurezza dei sistemi di controllo industriale
Oltre all’aggiornamento del catalogo delle vulnerabilità note, CISA ha rilasciato due serie di avvisi riguardanti la sicurezza dei sistemi di controllo industriale (ICS).
Gli avvisi, pubblicati il 30 gennaio e il 4 febbraio 2025, riguardano vulnerabilità che colpiscono diversi produttori e sistemi di automazione industriale utilizzati in infrastrutture critiche come reti elettriche, impianti di produzione e reti di trasporto.
- ICSA-25-035-01 Western Telematic Inc NPS Series, DSM Series, CPM Series
- ICSA-25-035-02 Rockwell Automation 1756-L8zS3 and 1756-L3zS3
- ICSA-25-035-03 Elber Communications Equipment
- ICSA-25-035-04 Schneider Electric Modicon M580 PLCs, BMENOR2200H and EVLink Pro AC
- ICSA-25-035-05 Schneider Electric Web Designer for Modicon
- ICSA-25-035-06 Schneider Electric Modicon M340 and BMXNOE0100/0110, BMXNOR0200H
- ICSA-25-035-07 Schneider Electric Pro-face GP-Pro EX and Remote HMI
- ICSA-25-035-08 AutomationDirect C-more EA9 HMI
- ICSA-23-299-03 Ashlar-Vellum Cobalt, Graphite, Xenon, Argon, Lithium (Update A)
- ICSA-25-030-01 Hitachi Energy UNEM
- ICSA-25-030-02 New Rock Technologies Cloud Connected Devices
- ICSA-25-030-03 Schneider Electric System Monitor Application in Harmony and Pro-face PS5000 Legacy Industrial PCs
- ICSA-25-030-04 Rockwell Automation KEPServer
- ICSA-25-030-05 Rockwell Automation FactoryTalk AssetCentre
- ICSMA-25-030-01 Contec Health CMS8000 Patient Monitor
- ICSA-24-135-04 Mitsubishi Electric Multiple FA Engineering Software Products (Update B)
- ICSMA-22-244-01 Contec Health CMS8000 Patient Monitor (Update A)
Le falle di sicurezza segnalate includono:
- problemi di autenticazione debole che consentono accessi non autorizzati ai sistemi ICS
- vulnerabilità che permettono agli attaccanti di eseguire codice remoto sui controller industriali
- difetti nei protocolli di comunicazione che potrebbero essere sfruttati per sabotare operazioni critiche
CISA ha invitato tutte le aziende che utilizzano sistemi ICS a rivedere le proprie configurazioni di sicurezza, applicare le patch disponibili e monitorare attentamente eventuali attività sospette nelle loro reti.
Rischio crescente di attacchi a infrastrutture critiche
Questi ultimi sviluppi mostrano un trend preoccupante nella sicurezza informatica. Il fatto che aziende come Zyxel non rilascino patch per vulnerabilità critiche mette in pericolo migliaia di utenti, mentre le nuove falle scoperte nei sistemi industriali confermano che gli attaccanti stanno prendendo di mira reti sempre più strategiche.
Le organizzazioni devono adottare un approccio proattivo alla sicurezza, con aggiornamenti tempestivi, monitoraggio delle minacce e misure di protezione avanzate. La collaborazione con enti come CISA e l’implementazione di strategie di mitigazione mirate diventeranno sempre più essenziali per evitare attacchi su larga scala.