La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha recentemente aggiornato il proprio catalogo Known Exploited Vulnerabilities (KEV), includendo due vulnerabilità critiche che colpiscono Erlang/Open Telecom Platform (OTP) SSH e Roundcube Webmail. Questa decisione è stata presa a seguito di prove concrete di sfruttamento attivo di queste falle da parte di attori malevoli.

Dettagli delle vulnerabilità

CVE-2025-32433: questa vulnerabilità riguarda un problema di autenticazione mancante in una funzione critica del server SSH di Erlang/OTP. Con un punteggio CVSS di 10.0, la falla consente a un attaccante di eseguire comandi arbitrari senza alcuna credenziale valida, portando potenzialmente all'esecuzione di codice remoto non autenticato. La vulnerabilità è stata corretta ad aprile 2025 nelle versioni OTP-27.3.3, OTP-26.2.5.11 e OTP-25.3.2.20.

CVE-2024-42009: questa falla, con un punteggio CVSS di 9.3, consiste in una vulnerabilità cross-site scripting (XSS) su Roundcube Webmail. Un attaccante remoto può sfruttare questa debolezza tramite una email appositamente creata, riuscendo così a rubare e inviare messaggi a nome della vittima. La correzione è stata rilasciata ad agosto 2024 nelle versioni 1.6.8 e 1.5.8 di Roundcube.

Sfruttamento e rischi

Non sono ancora disponibili dettagli pubblici sui metodi di sfruttamento osservati in ambienti reali, né sugli autori degli attacchi. Tuttavia, è noto che gruppi avanzati come APT28 abbiano recentemente preso di mira vulnerabilità XSS in Roundcube e altre piattaforme per colpire aziende governative e del settore difesa in Europa orientale.

Secondo i dati forniti da Censys, risultano esposti oltre 340 server Erlang, anche se non tutti sono necessariamente vulnerabili. L’annuncio pubblico della CVE-2025-32433 è stato seguito dalla rapida pubblicazione di exploit di tipo proof-of-concept, aumentando i rischi di compromissione.

Altre vulnerabilità segnalate

A causa dello sfruttamento attivo, le agenzie federali statunitensi sono tenute ad applicare le patch di sicurezza entro il 30 giugno 2025. Parallelamente, è stata segnalata anche una grave vulnerabilità nel plugin PayU CommercePro per WordPress (CVE-2025-31022), che consente il takeover dell’account senza autenticazione, con gravi rischi specialmente se l’attaccante prende il controllo dell’account amministratore.

Superficie di attacco

L’analisi della superficie di attacco evidenzia la presenza online di oltre 2 milioni di istanze Roundcube Webmail esposte, in particolare in Europa e Nord America, sottolineando l’urgenza di aggiornare e proteggere tutti i sistemi coinvolti.