Secondo un report di Kaspersky Lab, nel secondo trimestre del 2025 l’utilizzo delle vulnerabilità è aumentato in modo significativo: quasi tutti i sottosistemi dei computer moderni sono stati attaccati, dal UEFI ai driver dei browser, ai sistemi operativi e alle applicazioni.

Come in precedenza, gli aggressori continuano a sfruttare tali vulnerabilità in attacchi reali per ottenere l’accesso ai dispositivi degli utenti e a combinarle attivamente con i framework C2 in complesse operazioni mirate. Un’analisi delle statistiche CVE degli ultimi 5 anni mostra un costante aumento del numero totale di vulnerabilità registrate. Se all’inizio del 2024 se ne contavano circa 2.600, a gennaio 2025 questa cifra ha superato le 4.000.

L’unica eccezione è stata maggio, altrimenti la dinamica ha continuato a prendere slancio. Allo stesso tempo, alcune CVE potrebbero essere registrate con identificatori degli anni precedenti, ma pubblicate solo nel 2025. Ciò che è particolarmente allarmante è che nella prima metà del 2025 anche il numero di vulnerabilità critiche con un punteggio CVSS superiore a 8,9 è aumentato significativamente. Sebbene non tutte le vulnerabilità siano valutate su questa scala, si osserva una tendenza positiva: i bug critici sono più spesso accompagnati da descrizioni dettagliate e diventano oggetto di analisi pubblica, il che può contribuire a una più rapida mitigazione del rischio.

Le vulnerabilità più sfruttate in Windows nel secondo trimestre sono state ancora una volta vecchie vulnerabilità di Microsoft Office: CVE-2018-0802, CVE-2017-11882 e CVE-2017-0199, le quali interessano il componente Equation Editor.

Seguono exploit per WinRAR (CVE-2023-38831), una vulnerabilità in Windows Explorer (CVE-2025-24071), che consente il furto di hash NetNTLM, e un bug nel driver ks.sys (CVE-2024-35250), che consente a un aggressore di eseguire codice arbitrario. Tutte queste vulnerabilità vengono utilizzate sia per l’accesso primario che per l’escalation dei privilegi.

Per quanto riguarda Linux, gli exploit più comuni sono stati Dirty Pipe (CVE-2022-0847), CVE-2019-13272, relativo ai privilegi ereditati, e CVE-2021-22555 , una vulnerabilità heap nel sottosistema Netfilter che utilizza la tecnica Use-After-Free tramite manipolazioni con msg_msg. Ciò conferma la continua crescita dell’interesse degli aggressori per i sistemi Linux, principalmente dovuta all’espansione della base utenti.

Gli exploit del sistema operativo continuano a dominare le fonti pubbliche, mentre in questo trimestre non sono apparse nuove pubblicazioni sulle vulnerabilità di Microsoft Office. Per quanto riguarda gli attacchi mirati, le operazioni APT hanno spesso sfruttato vulnerabilità in strumenti di accesso remoto, editor di documenti e sottosistemi di logging. Strumenti low-code/no-code e persino framework per applicazioni di intelligenza artificiale sono al primo posto, il che indica un crescente interesse degli aggressori per i moderni strumenti di sviluppo. È interessante notare che i bug rilevati non riguardavano il codice generato, ma il software infrastrutturale stesso.

Secondo Kaspersky, i framework C2 nella prima metà del 2025, Sliver, Metasploit , Havoc e Brute Ratel C4 erano i leader e supportano direttamente gli exploit e offrono agli aggressori ampie opportunità di persistenza, controllo remoto e ulteriore automazione. Gli strumenti rimanenti venivano solitamente adattati manualmente per attacchi specifici.

Sulla base dell’analisi di campioni con exploit e agenti C2, sono state identificate le seguenti vulnerabilità chiave utilizzate nelle operazioni APT: CVE-2025-31324 in SAP NetWeaver Visual Composer Meta data Uploader (esecuzione di codice remoto, CVSS 10.0), CVE-2024-1709 in ConnectWise ScreenConnect (aggiramento dell’autenticazione, CVSS 10.0), CVE-2024-31839 e CVE-2024-30850 in CHAOS v5.0.1 (XSS e RCE) e CVE-2025-33053 in Windows, che consente l’esecuzione di codice arbitrario tramite l’elaborazione errata dei percorsi di scelta rapida.

Questi exploit hanno consentito sia l’introduzione immediata di codice dannoso sia un approccio graduale, a partire dalla raccolta delle credenziali.

Anche le vulnerabilità pubblicate di recente meritano particolare attenzione. CVE-2025-32433 è un bug RCE nel server SSH del framework Erlang/OTP, che consente l’esecuzione remota di comandi senza verifica anche da parte di utenti non autorizzati. CVE-2025-6218 è un’altra vulnerabilità di attraversamento delle directory in WinRAR , simile a CVE-2023-38831 : consente di modificare il percorso di decompressione dell’archivio ed eseguire codice all’avvio del sistema operativo o dell’applicazione.

CVE-2025-3052 in UEFI consente di bypassare Secure Boot tramite una gestione non sicura delle variabili NVRAM. La vulnerabilità CVE-2025-49113 in Roundcube Webmail è un classico problema di deserializzazione non sicura e richiede l’accesso autorizzato. Infine, CVE-2025-1533 nel driver AsIO3.sys provoca un arresto anomalo del sistema quando si lavora con percorsi più lunghi di 256 caratteri: gli sviluppatori non hanno considerato che il limite moderno in NTFS è di 32.767 caratteri.

La conclusione è chiara: il numero di vulnerabilità continua a crescere, soprattutto quelle critiche.

Pertanto, è importante non solo installare tempestivamente gli aggiornamenti, ma anche monitorare la presenza di agenti C2 sui sistemi compromessi, prestare attenzione alla protezione degli endpoint e definire una policy flessibile di gestione delle patch.

Questo è l’unico modo per ridurre efficacemente i rischi di exploit e garantire la stabilità dell’infrastruttura.

Conclusioni

La conclusione è chiara: il numero di vulnerabilità continua a crescere, soprattutto quelle critiche. Pertanto, è importante non solo installare tempestivamente gli aggiornamenti, ma anche monitorare la presenza di agenti C2 sui sistemi compromessi, prestare attenzione alla protezione degli endpoint e definire una policy flessibile di gestione delle patch. Questo è l’unico modo per ridurre efficacemente i rischi di exploit e garantire la stabilità dell’infrastruttura.

Come abbiamo visto, gli exploit su documenti e allegati continuano a essere largamente utilizzati, confermando la necessità di un aumento della consapevolezza lato utenti: la formazione e la sensibilizzazione diventano strumenti indispensabili per ridurre il rischio di compromissione.

Allo stesso tempo, molte delle CVE più sfruttate derivano da un mancato patching di sicurezza: le organizzazioni devono agire in maniera più immediata nell’applicazione delle correzioni, senza rinvii che possono lasciare finestre di esposizione aperte agli attaccanti. In questo contesto, attività di Vulnerability Assessment e penetration test assumono un ruolo chiave, poiché consentono di identificare falle dimenticate o non rilevate dalle normali attività IT, colmando i gap prima che possano essere sfruttati.

In sintesi, solo combinando aggiornamenti rapidi, monitoraggio costante, controlli di sicurezza avanzati e consapevolezza degli utenti sarà possibile contenere l’impatto crescente degli exploit e difendere in maniera proattiva le infrastrutture digitali.

L'articolo Vulnerabilità critiche in aumento verticale! Consapevolezza, Patching e Controlli la chiave proviene da il blog della sicurezza informatica.