Netcrook Logo
👤 CIPHERWARDEN
🗓️ 17 Oct 2025  

La sfilata delle patch di SolarWinds: un’altra falla critica espone il gigante IT agli attacchi

SolarWinds corre ai ripari per risolvere una vulnerabilità ricorrente e ad alto rischio nel suo Web Help Desk - sollevando nuovi interrogativi sulla sicurezza del software e sulla perseveranza dei predatori informatici.

Dati rapidi

  • SolarWinds ha rilasciato una hotfix per CVE-2025-26399, una falla critica di esecuzione di codice remoto (CVSS 9.8) nel suo software Web Help Desk.
  • Il bug consente agli aggressori di eseguire comandi sui sistemi colpiti senza bisogno di una password.
  • Questa è la terza patch per sostanzialmente la stessa vulnerabilità di base dall’agosto 2024.
  • La falla è stata scoperta da un ricercatore anonimo tramite la Zero Day Initiative di Trend Micro.
  • Non sono ancora noti casi di sfruttamento attivo - ma un bug correlato era già stato sfruttato da attaccanti in passato.

La patch che non voleva morire

Come un cattivo in un film horror, una vulnerabilità critica nel Web Help Desk di SolarWinds continua a tornare - non importa quante volte venga corretta. L’ultimo capitolo: CVE-2025-26399, una falla così grave da ottenere un quasi perfetto 9.8 sulla scala di rischio del settore. Se non corretta, consegna ai criminali informatici le chiavi del regno, permettendo loro di eseguire codice sui sistemi vulnerabili senza nemmeno effettuare l’accesso.

Non è la prima volta che SolarWinds si trova in questa situazione. Il nome dell’azienda è diventato sinonimo di catastrofe informatica dopo l’attacco alla supply chain del 2020, che permise all’intelligence russa di spiare le reti governative occidentali per mesi. Ora, quattro anni dopo, SolarWinds torna sotto i riflettori - non per spionaggio, ma per un bug che semplicemente si rifiuta di morire.

Vulnerabilità a colpi di martello

La radice tecnica del problema? Un classico errore software: la deserializzazione di dati non attendibili. Immaginate un ufficio postale che apre ogni pacco che riceve, senza curarsi di chi lo abbia inviato o di cosa contenga. In questo caso, il “pacco” sono i dati inviati al componente AjaxProxy del Web Help Desk. Se un attaccante inserisce un “pacco” malevolo, il sistema lo apre - ed esegue qualsiasi codice vi sia contenuto.

SolarWinds ha già tentato di blindare questo ufficio postale. Il bug originale, CVE-2024-28986, è stato corretto nell’agosto 2024. Gli attaccanti hanno trovato un modo per aggirare la correzione, portando a CVE-2024-28988 - e ora, un ulteriore bypass con CVE-2025-26399. Ogni volta, l’azienda si è affrettata a rilasciare una patch, ma la falla di fondo continua a mutare, come un virus digitale che supera la cura.

Gli esperti di sicurezza informatica avvertono che non si tratta solo di un problema di SolarWinds. La persistenza di questa vulnerabilità evidenzia un problema più ampio: quando i bug di sicurezza fondamentali non vengono davvero eliminati, gli attaccanti continuano a cercare finché non trovano una crepa. La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha persino inserito il bug originale nel suo catalogo delle Vulnerabilità Sfruttate Note, una mossa riservata alle falle già utilizzate da hacker nel mondo reale.

Ripercussioni di mercato e geopolitiche

Per i clienti enterprise di SolarWinds - including scuole, ospedali e agenzie governative - la posta in gioco è alta. Un attacco riuscito potrebbe significare furto di dati, ransomware o addirittura il controllo totale della rete. La corsa alle patch dell’azienda è osservata con attenzione non solo dai team IT, ma anche da regolatori e avversari globali. All’ombra della violazione della supply chain del 2020, ogni bollettino di sicurezza SolarWinds ora risuona ben oltre il reparto IT.

Senza segnalazioni di sfruttamento attivo dell’ultimo bug - per ora - il tempo stringe per le organizzazioni che devono aggiornare a Web Help Desk 12.8.7 HF1. Ma come insegna la storia, i cybercriminali sono pazienti, e la fatica da patch è reale. La domanda ora è: sarà questa la correzione definitiva, o solo un altro round in un gioco senza fine?

Mentre SolarWinds lotta per mettere in sicurezza il suo software, la saga di CVE-2025-26399 è un chiaro promemoria: nella cybersecurity, la correzione di ieri è spesso il titolo di domani. Per difensori e attaccanti, la caccia non finisce mai davvero.

WIKICROOK

  • Esecuzione di codice remoto: L’esecuzione di codice remoto consente agli aggressori di eseguire comandi sul tuo computer a distanza, spesso portando al completo compromesso del sistema e al furto di dati.
  • Deserializzazione: La deserializzazione converte i dati in oggetti utilizzabili da un programma. Se non viene eseguita in modo sicuro, può permettere agli aggressori di iniettare istruzioni dannose nelle applicazioni.
  • Bypass della patch: Quando gli aggressori trovano un modo per aggirare una correzione di sicurezza, rendendo nuovamente pericolosa una vulnerabilità che si pensava risolta.
  • Punteggio CVSS: Un punteggio CVSS valuta la gravità delle vulnerabilità di sicurezza da 0 a 10, con numeri più alti che indicano maggiore rischio e urgenza di intervento.
  • Attacco alla supply chain: Un attacco alla supply chain è un attacco informatico che compromette fornitori di software o hardware affidabili, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news