Attività cybercrime in Italia, prese di mira vulnerabilità SAP e Srimax, Ivanti e Microsoft correggono 0-day

Italia: nuovi attacchi colpiscono la penisola 

Nella notte tra l’8 e il 9 maggio 2025, l’infrastruttura informatica dell’Università degli Studi Roma Tre è stata colpita da un attacco informatico che ha causato l’interruzione improvvisa dei principali servizi online, rendendo inaccessibili i siti istituzionali e diverse piattaforme fondamentali per studenti, docenti e personale tecnico-amministrativo. Le operazioni di analisi e contenimento dell’offensiva si sono protratte fino alle 2:00 del mattino del 9 maggio e hanno consentito di confermare la gravità dell’incidente, stimare i danni subiti e avviare i primi interventi di recupero. Parallelamente, è stato avviato un piano di ripristino progressivo dei servizi più critici. Inoltre, è stata tracciata sempre in Italia una nuova campagna di phishing a tema Agenzia delle Entrate (AdE) volta a esfiltrare le credenziali di accesso degli utenti. L’e-mail identificata informa il destinatario circa una presunta “Notifica amministrativa”, invitandolo ad accedere all’apposita area cliccando su un link presente nel testo. Quest’ultimo reindirizza il target a una pagina malevola che imita quella dell’AdE. Infine, l’operatore ransomware Nova ha rivendicato sul proprio sito dei leak la compromissione del Comune di Pisa. Stando a quanto riportato nel blog, l’avversario avrebbe esfiltrato 2 TB di dati, tra questi figurerebbero file PDF, DB, XLSX, PNG, JPG, TXT e di Outlook, file sorgenti (configurazioni), documenti governativi, pagamenti, database, codici software, contenuti di template di e-mail, indirizzi Gmail, numeri di telefono, fatture, informazioni sui lavoratori, documenti di identità, documenti ospedalieri e altro ancora.

APT: sfruttate 0-day di SAP e Srimax  

Ricercatori di sicurezza hanno collegato gli attacchi in corso basati sulla vulnerabilità critica CVE-2025-31324, che colpisce le istanze di SAP NetWeaver, a diversi gruppi, tra cui BianLian Team e RansomEXX Team, e avversari cinesi, incluso uno rintracciato come Chaya_004. Attività di ricognizione che prevedevano test con payload specifici contro tale falla sono stati identificati a partire dal 20 gennaio 2025. Le prove del primo sfruttamento noto avvenuto, risalirebbero al 12 marzo 2025. In seguito, negli ultimi giorni, diversi attaccanti, tra questi il cluster Chaya_004, si sarebbero uniti alle operazioni di exploitation per colpire opportunisticamente sistemi vulnerabili, distribuire web shell e persino estrarre criptovalute. Inoltre, un’ulteriore analisi di tali offensive ha portato alla scoperta di CVE-2025-42999, un’altra falla critica nel componente Visual Composer Metadata Uploader di NetWeaver. La vulnerabilità è stata descritta come una Deserialization of Untrusted Data che potrebbe essere sfruttata da un utente privilegiato per caricare contenuti non attendibili o malevoli. Spostandoci in Turchia, a partire da aprile 2024, il gruppo state-sponsored turco Sea Turtle è stato osservato sfruttare una 0-day nell’applicazione di messaggistica Output Messenger, sviluppata dall’indiana Srimax, al fine di raccogliere dati su target associati all’esercito curdo in Iraq. Tracciata con codice CVE-2025-27920 (CVSS 9.8), la falla è una Path Traversal nella versione V2.0.62 di Output Messenger, che può consentire a un utente autenticato di caricare file malevoli nella directory di avvio del server. Nel dettaglio, tale problema consente ad avversari remoti di accedere o eseguire file arbitrari manipolando i percorsi dei file con sequenze “../”.

Ivanti e Microsoft: corrette diverse vulnerabilità usate ITW 

Ivanti ha corretto diverse vulnerabilità, di cui due 0-day che impattano Endpoint Manager Mobile (EPMM). Tracciate con codice CVE-2025-4428 (CVSS 7.2) e CVE-2025-4427 (CVSS 5.3) sono rispettivamente una Authentication Bypass Using an Alternate Path or Channel che consente di accedere a risorse protette senza le dovute credenziali, e una Code Injection che permette di eseguire codice arbitrario sul sistema target. Dal canto suo, Microsoft ha rilasciato il bollettino di sicurezza per il mese di maggio che comprende 5 falle sfruttate ITW, ovvero CVE-2025-30400 (CVSS 7.8), CVE-2025-30397 (CVSS 7.5), CVE-2025-32709 (CVSS 7.8), CVE-2025-32701 e CVE-2025-32706 (CVSS 7.8). La prima è classificata come Microsoft DWM Core Library Elevation of Privilege ed è un problema di tipo Use After Free che consente a un avversario autorizzato di elevare i privilegi a livello locale. Un exploit riuscito potrebbe permettere di ottenere privilegi SYSTEM. CVE-2025-30397, presentata come Scripting Engine Memory Corruption, è una Type Confusion che permette a un attaccante non autorizzato di eseguire codice su una rete. Per sfruttarla con successo, un utente deve prima preparare il target in modo che utilizzi Edge in modalità Internet Explorer. Questo attacco richiede che un client autenticato clicchi su un link in modo che un utente malintenzionato non autenticato possa avviare l’esecuzione di codice remoto. CVE-2025-32709, Windows Ancillary Function Driver for WinSock Elevation of Privilege, è una Use After Free che consente a un avversario non autorizzato di elevare i privilegi a livello locale. Se sfruttata con successo potrebbe permettere di acquisire privilegi di amministratore. Infine, CVE-2025-32701 e CVE-2025-32706, etichettate come Windows Common Log File System Driver Elevation of Privilege, sono rispettivamente una Use After Free e una Improper Input Validation e consentono a un attaccante autorizzato di elevare i privilegi a livello locale. Se sfruttate con successo potrebbero consentire l’ottenimento di privilegi SYSTEM. 

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. 

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. 

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico. 

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence