Oggi si evidenziano due eventi di grande rilievo nel panorama della sicurezza informatica: la gigantesca falla che espone oltre 71.000 dispositivi WatchGuard e lo sfruttamento di un difetto critico nel driver “Cloud Minifilter” di Windows Cloud Minifilter che consente elevazione di privilegi. Entrambe le situazioni richiedono interventi tempestivi.
WatchGuard: oltre 71.000 dispositivi esposti alla RCE con CVE-2025-9242
La fondazione Shadowserver Foundation ha identificato più di 71.000 dispositivi WatchGuard Fireware OS esposti su Internet e vulnerabili al difetto CVE-2025-9242, un “out-of-bounds write” nel componente IKEv2 che può portare a esecuzione di codice remoto.
Cosa fare: verificare tutti gli appliance WatchGuard in rete, applicare la patch indicata, limitare l’esposizione pubblica dei servizi IKEv2 e monitorare eventuali accessi anomali.
Difetto critico in Windows Cloud Minifilter (CVE-2025-55680): elevazione privilegi possibile
È stata pubblicata oggi una vulnerabilità grave nel driver “Cloud Minifilter” di Windows: una condition di race nella funzione HsmpOpCreatePlaceholders(), che consente a un utente con privilegi minimi di ottenere SYSTEM e scrivere file in cartelle protette.
Cosa fare: applicare subito l’aggiornamento Microsoft relativo, verificare la presenza del driver cldflt.sys nelle versioni vulnerabili, e rafforzare le policy di controllo degli utenti locali nei sistemi con sincronizzazione cloud attiva.
Gli attaccanti usano l’IA più rapidamente delle difese: attenzione al settore sanitario
Durante la conferenza HLTH 2025, si è segnalato che i gruppi di ransomware e APT stanno impiegando strumenti di intelligenza artificiale (IA) con velocità superiore rispetto alle organizzazioni governative e sanitarie che cercano di difendersi.
Cosa fare: per aziende ospedaliere e vendor del settore salute: valutare l’uso di IA anche in difesa, aumentare l’automazione del monitoraggio, e rivalutare la catena dei fornitori-terzi che può essere veicolo di attacco indiretti.
CISA emette direttiva d’emergenza dopo il breach F5: rischio immediato per le reti federali
Gli Stati Uniti hanno ordinato alle agenzie federali di intervenire con urgenza sui dispositivi F5 BIG‑IP/Next/F5OS dopo il furto di codice sorgente e documentazione tecnica dall’azienda, attribuito a un attore nation‑state. L’ordine (Emergency Directive) richiede inventario degli asset, applicazione degli aggiornamenti del fornitore e ulteriori verifiche; il caso resta sotto monitoraggio per possibili impatti a catena su grandi organizzazioni.
Cosa fare: mappare tutti i device F5, aggiornare a release supportate, rimuovere esposizioni superflue degli appliance su Internet, verificare autenticazioni e chiavi/API legate all’infrastruttura applicativa. TechRadar
Windows 10: ultimo aggiornamento cumulativo e fine del supporto; 172 CVE e sei zero‑day corretti
Il Patch Tuesday di ottobre chiude il ciclo di Windows 10: Microsoft ha risolto 172 vulnerabilità (di cui sei zero‑day) e ha pubblicato il pacchetto KB5066791 per la versione 22H2. Da ora Windows 10 non riceve più patch regolari se non tramite Extended Security Updates (ESU).
Cosa fare: su endpoint ancora Windows 10, pianificare migrazione o adesione a ESU; per Windows 11 applicare KB5066793.
Rapid7 Velociraptor in KEV: scadenza federale al 4 novembre
CISA ha aggiunto CVE‑2025‑6264 (Rapid7 Velociraptor) al catalogo Known Exploited Vulnerabilities con deadline al 4 novembre 2025 per gli enti federali. Il difetto riguarda permessi predefiniti non corretti e può consentire esecuzione di comandi se l’attaccante dispone già di privilegi per la raccolta di artefatti.
Cosa fare: applicare le mitigazioni del vendor, rivedere i ruoli “Investigator/Collector” e controllare l’uso di artefatti ad alta pericolosità.
Envoy Air conferma un attacco collegato a vulnerabilità di Oracle E‑Business Suite
Envoy Air (gruppo American Airlines) ha confermato un incidente connesso a falle in Oracle E‑Business Suite all’interno di una più ampia campagna estorsiva. Dati sensibili dei clienti non risultano coinvolti, ma parte di informazioni aziendali e contatti commerciali potrebbe essere stata esfiltrata. Oracle ha pubblicato correzioni per debolezze critiche osservate in attacchi recenti.
Cosa fare: verificare la postura EBS (versioni 12.2.x supportate), applicare i CPU/patch Oracle e ridurre la superficie d’esposizione dei componenti web.
Italia: CERT‑AGID segnala nuova ondata di phishing PagoPA con open redirect su domini legittimi
Il CERT‑AGID ha documentato una variante di phishing contro PagoPA che sfrutta parametri di open redirect su domini di Google per aumentare credibilità e superare i controlli automatici. Nel bollettino settimanale 11–17 ottobre risultano 92 campagne analizzate e 774 IoC distribuiti agli enti.
Cosa fare: bloccare pattern di redirect non necessari, filtrare URL con controllo della destinazione finale, rafforzare la formazione interna su messaggi a tema multe/pagamenti.
Password manager sotto spoofing: finte allerte breach su LastPass e Bitwarden
Ricercatori segnalano campagne che imitano LastPass e Bitwarden con email che annunciano false violazioni e invitano a scaricare una “versione desktop sicura” che in realtà installa malware. LastPass ha pubblicato un alert dedicato; testate di settore riportano compromissioni su endpoint delle vittime.
Cosa fare: aggiornare solo da canali ufficiali, attivare 2FA sul vault, bloccare allegati eseguibili via gateway, applicare application allow‑listing.
