Scopri anche

• L'intelligenza artificiale nella sicurezza del software: opportunità, rischi e trasformazione del ruolo degli sviluppatori
• Microsoft corregge vulnerabilità zero-day critiche: analisi delle patch di sicurezza
• Acronis True Image 2026 e Cyberthreats Report: minacce AI-driven in crescita nel panorama cybersecurity
• Google registra 90 vulnerabilità zero-day nel 2025: i fornitori di spyware commerciale superano gli attori statali
• OpenAI lancia Codex Security: l'agente AI per la rilevazione delle vulnerabilità software
• Patch Tuesday 2026: Microsoft e 60 fornitori correggono vulnerabilità zero-day attivamente sfruttate
• L'IA come arma a doppio taglio: l'evoluzione delle minacce cyber e le nuove strategie difensive
• Vulnerabilità zero-day: Google e Apple corrono ai ripari dopo attacchi attivi
• L'AI nella sicurezza del software: tra scoperta di vulnerabilità e nuovi rischi
• Vulnerabilità software e cybersecurity: come proteggersi dagli attacchi informatici
• Certificazione NATO per iPhone e le minacce digitali: sicurezza e attacchi
• Windows 11 KB5079473: 79 vulnerabilità corrette e nuove funzionalità nel Patch Tuesday di marzo 2026
• Anthropic: Claude trova 22 vulnerabilità in Firefox in due settimane
• Ransomware 2025-2026: il firewall diventa il punto di ingresso nel 90% degli attacchi
• Vulnerabilità zero-day critica in Cisco SD-WAN sfruttata dal 2023: CISA emette direttiva d'emergenza
• Vulnerabilità critiche in Google Gemini: dai bug di Chrome agli attacchi sponsorizzati da stati
• Samsung Galaxy: patch di sicurezza febbraio 2026 e roadmap One UI 8.5
• Claude di Anthropic scopre 22 vulnerabilità in Firefox: la collaborazione con Mozilla
• CVE-2026-1731: CISA conferma sfruttamento attivo della vulnerabilità critica BeyondTrust
• Marathon: Bungie adotta tolleranza zero contro i cheater con ban permanenti immediati

Le vulnerabilità critiche nella storia della cybersecurity: da EternalBlue alle minacce moderne

Le vulnerabilità critiche nella storia della cybersecurity: da EternalBlue alle minacce moderne

Nel corso degli ultimi decenni la sicurezza informatica ha attraversato diverse fasi evolutive, scandite spesso da incidenti che hanno modificato radicalmente il modo in cui software, infrastrutture e protocolli vengono progettati e utilizzati. Alcune vulnerabilità non si sono limitate a rappresentare un problema tecnico circoscritto: hanno generato effetti sistemici, costringendo aziende, governi e progetti open source a ripensare pratiche di sviluppo, patch management e difesa delle infrastrutture critiche.

Il sistema CVSS e la classificazione delle vulnerabilità

⬆ Torna su

Tra migliaia di CVE (Common Vulnerabilities and Exposures), identificativi con cui si fa riferimento a ogni singola vulnerabilità scoperta, solo una minima parte raggiunge il punteggio massimo di 10.0 nel CVSS (Common Vulnerability Scoring System). Un punteggio CVSS pari a 10.0 rappresenta il livello di rischio più elevato e indica una vulnerabilità estremamente critica: può essere sfruttata da remoto attraverso la rete, non richiede autenticazione né alcuna azione da parte dell'utente e consente a un attaccante di ottenere il controllo completo dei sistemi colpiti.

Una vulnerabilità è una debolezza tecnica che, se individuata e sfruttata da un aggressore, può trasformarsi in un vettore di compromissione. Gli aggressori informatici analizzano costantemente software, protocolli e infrastrutture alla ricerca di queste falle. Una volta scoperta una vulnerabilità, sviluppano un exploit, cioè un insieme di tecniche o codice progettato per sfruttare quella debolezza e ottenere un vantaggio sul sistema bersaglio.

Remote Code Execution: la categoria più pericolosa

⬆ Torna su

Tra tutte le categorie di vulnerabilità, quelle considerate più critiche sono le Remote Code Execution, comunemente indicate con l'acronimo RCE. Una vulnerabilità di questo tipo consente a un attaccante di eseguire codice arbitrario su un sistema remoto. L'aggressore riesce a far eseguire al server o al dispositivo vittima istruzioni specifiche, ottenendo un livello di controllo che può variare dalla semplice esecuzione di comandi fino alla completa compromissione del sistema.

Un attacco RCE può avvenire in diversi modi: l'attaccante può inviare una richiesta appositamente costruita verso un servizio esposto su Internet, manipolare dati elaborati dal software vulnerabile oppure sfruttare meccanismi di caricamento dinamico di librerie e risorse esterne. Se il sistema esegue il codice malevolo con privilegi elevati, l'aggressore può installare malware, rubare dati sensibili, creare backdoor permanenti o utilizzare il dispositivo compromesso come punto di partenza per attacchi contro altre macchine nella stessa rete, attraverso il cosiddetto movimento laterale.

Il patch gap e lo sfruttamento delle vulnerabilità

⬆ Torna su

Gli attaccanti spesso effettuano il reverse engineering delle patch di sicurezza, una tecnica che consiste nell'analizzare le modifiche introdotte dagli sviluppatori per correggere una vulnerabilità. Attraverso strumenti di binary diffing e analisi del codice compilato, i ricercatori e gli attori malevoli confrontano la versione vulnerabile del software con quella aggiornata. Il processo permette di individuare rapidamente la funzione o il componente modificato dalla patch e comprendere la logica della vulnerabilità.

Questo fenomeno ha portato alla nascita di un intervallo temporale ben noto nel settore: il cosiddetto patch gap, cioè il periodo che intercorre tra il rilascio di una patch e la sua effettiva installazione sui sistemi esposti. Durante questa finestra temporale gli attaccanti possono sfruttare il fatto che la vulnerabilità sia pubblicamente documentata, mentre una parte significativa dei sistemi rimane ancora non aggiornata.

Log4Shell: la vulnerabilità più critica dell'ultimo decennio

⬆ Torna su

La vulnerabilità Log4Shell (CVE-2021-44228) rappresenta uno degli esempi più emblematici di come un componente apparentemente innocuo possa diventare un punto di compromissione globale. Il problema risiedeva nella libreria Java Apache Log4j, uno strumento estremamente diffuso utilizzato per registrare log applicativi. Attraverso una semplice stringa inserita in un campo di input, spesso anche all'interno di header HTTP, un attaccante poteva attivare un meccanismo di JNDI lookup che permetteva al server vulnerabile di scaricare ed eseguire codice remoto.

La gravità reale della vulnerabilità derivava soprattutto dalla diffusione della libreria: Log4j è incorporata in migliaia di prodotti enterprise, servizi cloud, applicazioni SaaS e dispositivi embedded. Nel giro di poche ore dalla divulgazione pubblica iniziarono scansioni massive dell'intero spazio di indirizzamento IP, mentre aziende di tutto il mondo si trovarono costrette a effettuare analisi urgenti delle dipendenze software.

EternalBlue e WannaCry: quando una vulnerabilità diventa crisi globale

⬆ Torna su

Un altro episodio fondamentale nella storia della sicurezza informatica è rappresentato da EternalBlue (CVE-2017-0144), una vulnerabilità nel protocollo SMBv1 implementato nei sistemi Windows. L'exploit, originariamente sviluppato dalla NSA, divenne pubblico nel 2017 quando il gruppo Shadow Brokers pubblicò una serie di strumenti offensivi. La caratteristica più pericolosa della vulnerabilità consisteva nelle sue abilità di worm: un sistema compromessa poteva automaticamente infettarne altri nella stessa rete.

Il meccanismo fu sfruttato dal ransomware WannaCry, che nel maggio 2017 colpì centinaia di migliaia di computer in oltre 150 Paesi. Ospedali, aziende logistiche, industrie manifatturiere e infrastrutture pubbliche subirono interruzioni operative su larga scala. L'episodio dimostrò come vulnerabilità presenti da anni nei sistemi legacy possano trasformarsi improvvisamente in crisi globali quando vengono rese disponibili tecniche di exploit affidabili.

Heartbleed e BlueKeep: vulnerabilità che hanno cambiato le pratiche di sicurezza

⬆ Torna su

Nel 2014 la vulnerabilità Heartbleed (CVE-2014-0160) mise in discussione la sicurezza stessa delle comunicazioni cifrate online. Il problema era legato all'implementazione dell'estensione TLS Heartbeat nella libreria crittografica OpenSSL. A causa di un errore nella gestione della lunghezza dei dati restituiti, un attaccante poteva leggere porzioni arbitrarie di memoria del server. A differenza di molte altre vulnerabilità, Heartbleed non lasciava tracce evidenti nei log, rendendo impossibile stabilire se un sistema fosse stato effettivamente preso di mira.

Nel 2019 la vulnerabilità BlueKeep (CVE-2019-0708) generò una delle più grandi mobilitazioni nel settore della sicurezza. Il difetto interessava il protocollo Remote Desktop utilizzato nei sistemi Windows e consentiva esecuzione di codice remoto prima dell'autenticazione. Microsoft prese la decisione rara di rilasciare patch anche per sistemi operativi ormai fuori supporto, come Windows XP e Windows Server 2003.

La vulnerabilità pac4j-jwt e i rischi per le architetture enterprise

⬆ Torna su

Il framework pac4j fornisce componenti di autenticazione e autorizzazione per applicazioni Java integrate con piattaforme come Spring, Play Framework o Dropwizard. Una vulnerabilità scoperta nel modulo pac4j-jwt ha evidenziato rischi significativi: l'attaccante non deve conoscere la chiave privata del server ma può utilizzare la chiave pubblica, normalmente esposta attraverso endpoint JWKS o certificati pubblici. Con questa informazione può creare un token cifrato contenente claim arbitrari che il sistema accetta come autentici.

Notepad++ e la supply chain attack tramite CVE-2025-49144

⬆ Torna su

Una vulnerabilità critica identificata come CVE-2025-49144 ha colpito Notepad++, uno degli editor di testo più utilizzati da sviluppatori e programmatori. Il problema riguarda specificamente la gestione degli aggiornamenti automatici e sfrutta una tecnica chiamata binary planting, che approfitta di una debolezza nella logica del percorso di ricerca dell'installer. Durante l'installazione, il programma non valida in modo sicuro i file binari che carica, aprendo la porta al DLL hijacking.

In termini pratici, un attaccante può creare un eseguibile malevolo mascherato da file di sistema legittimo e piazzarlo nella stessa cartella dell'installer. Quando l'utente avvia l'installazione, il programma carica e esegue il file malevolo con privilegi di SYSTEM, consegnando all'attaccante un controllo amministrativo completo. Gli sviluppatori hanno rilasciato mitigazioni nella versione 8.8.9, forzando l'updater a rivolgersi esclusivamente a GitHub.

L'evoluzione del ransomware: doppia e tripla estorsione

⬆ Torna su

Il ransomware è diventato una delle minacce più diffuse nel contesto della cybersecurity moderna. Un tipo di malware progettato per bloccare l'accesso ai file o ai sistemi attraverso crittografia o blocco del dispositivo e chiedere un riscatto in cambio della chiave di sblocco. Negli ultimi anni la posta in gioco è aumentata: al semplice sequestro dei dati si aggiungono oggi tecniche di doppia e tripla estorsione, in cui le informazioni vengono sottratte, minacciate di pubblicazione e, in alcuni casi, usate per colpire terze parti.

Secondo stime recenti, il numero di attacchi ransomware è cresciuto di oltre il 149% in un solo anno, coinvolgendo non solo grandi aziende o infrastrutture critiche, ma anche piccoli studi professionali, scuole, ospedali e utenti privati. I vettori più comuni restano l'email di phishing, exploit di vulnerabilità non patchate, download da siti compromessi, banner pubblicitari infetti, dispositivi USB e accessi remoti tramite credenziali rubate.

Ransomware a livello di microcodice: una minaccia emergente

⬆ Torna su

Un ricercatore di sicurezza ha recentemente dimostrato che è possibile modificare il firmware UEFI installando una patch non firmata direttamente nel processore. Questa tecnica bypassa le soluzioni antivirus tradizionali e le contromisure a livello di sistema operativo. L'attacco sfrutta una vulnerabilità presente nei processori AMD Zen (dalla prima alla quinta generazione), che permette il caricamento di microcodice non autorizzato senza un'adeguata verifica della firma digitale.

Google ha identificato una falla nell'algoritmo di validazione delle firme di AMD e ne ha dimostrato la portata attraverso un test pratico. I ricercatori hanno modificato il microcodice per manipolare la funzione di generazione di numeri casuali del processore. In uno scenario reale, questo potrebbe compromettere calcoli sensibili come la generazione di chiavi crittografiche, interferire con la verifica di firme digitali o manipolare algoritmi di integrità del sistema.

L'anatomia di un attacco mirato: il caso dei server di backup

⬆ Torna su

Negli attacchi mirati, la prima azione compiuta da un attaccante è la raccolta delle informazioni sulla vittima. Queste possono essere raccolte passivamente tramite motori di ricerca o attivamente interrogando direttamente il target con tecniche di scanning. La fase passiva non genera alert nei log dei dispositivi perimetrali: la vittima non sa quando un threat actor sta raccogliendo informazioni.

Dopo aver raccolto sufficiente materiale si passa alla fase di contatto per ottenere un accesso di qualsiasi tipo. Se una VM di servizio è pubblicata su Internet e non è aggiornata, può diventare target di attacco sfruttando una CVE non ancora patchata. Con la chiave di ricerca RDP o 3389 su Shodan i risultati sono quasi 7000 sistemi esposti. Quando l'attaccante è dentro la rete, tramite programmi come Mimikatz è possibile ottenere qualsiasi attività svolta dall'utente collegato.

Phishing evoluto: QR code falsi e callback phishing

⬆ Torna su

Le truffe informatiche stanno diventando sempre più difficili da riconoscere. Una tecnica recente sfrutta e-mail con QR code che non sono immagini ma tabelle HTML, dove ogni casellina è colorata di bianco o nero per ricreare visivamente un vero QR code. Molti sistemi di sicurezza cercano immagini sospette o link nascosti, ma vedono solo una tabella. Se l'utente scansiona il codice, viene portato su una falsa pagina di login dove vengono rubate le credenziali.

Un'altra campagna sfrutta Microsoft Teams: gli attaccanti aggiungono le vittime a gruppi con nomi allarmanti e condividono messaggi su fatture da pagare o addebiti sospetti, proponendo di chiamare un numero che appartiene ai truffatori. Questo tipo di attacco si chiama callback phishing: è la vittima a chiamare i criminali, convinta di parlare con un operatore legittimo.

Il panorama italiano: dati dal Rapporto Clusit 2026

⬆ Torna su

Nel 2025 gli attacchi informatici gravi registrati a livello mondiale sono aumentati del 49% rispetto al 2024, raggiungendo 5.265 incidenti. L'Italia da sola concentra il 9,6% degli attacchi informatici globali, una quota molto superiore al peso economico del Paese. Gli attacchi contro organizzazioni italiane sono cresciuti del 42% rispetto all'anno precedente. Il settore governativo, militare e delle forze dell'ordine rappresenta il 28% degli incidenti registrati nel Paese, con un aumento del 290% rispetto al 2024.

Software pirata come vettore di infezione aziendale

⬆ Torna su

Secondo una ricerca di Barracuda Networks, le versioni pirata di software spesso nascondono codici malevoli che possono portare a infezioni da malware, furto di credenziali, installazione di cryptominer fino ad attacchi ransomware. I software pirata non ricevono aggiornamenti ufficiali: le vulnerabilità restano aperte e possono essere sfruttate dai criminali informatici. Tra i segnali di presenza di software pirata figurano file eseguibili sospetti con nomi generici come activate.exe o activate.x86.exe.

Lezioni dalla storia e strategie di difesa

⬆ Torna su

La storia della sicurezza informatica mostra che alcune vulnerabilità hanno consentito la diffusione di worm capaci di infettare milioni di computer in pochi giorni. Il caso WannaCry dimostrò come vulnerabilità presenti da anni nei sistemi legacy possano trasformarsi improvvisamente in crisi globali. Questi eventi hanno spinto aziende e istituzioni a migliorare le pratiche di patch management, hanno portato alla nascita di programmi di bug bounty, hanno reso più rigorosi i processi di auditing del codice e hanno evidenziato l'importanza della sicurezza nella supply chain del software.

Le strategie di difesa più efficaci oggi si basano su un approccio multilivello: sistemi di analisi comportamentale, motori di intelligenza artificiale per individuare attività anomale, firewall intelligenti, segmentazione della rete, autenticazione a più fattori. Il backup deve essere parte di una strategia integrata, progettata in anticipo, testata regolarmente e isolata rispetto al sistema attivo. La capacità di ripristino rapido è ciò che fa la differenza in scenari ad alta criticità.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

L'evoluzione delle vulnerabilità critiche mostra un pattern ricorrente: la convergenza tra disponibilità di exploit affidabili e finestre temporali di esposizione prolungate. Le organizzazioni che ritardano l'applicazione di patch per sistemi legacy o componenti ampiamente diffusi rimangono esposte a rischi sistemici.

• Scenario 1: il reverse engineering delle patch potrebbe accelerare lo sviluppo di exploit, riducendo il margine di tempo tra disclosure e attacchi su larga scala.
• Scenario 2: le supply chain attack tramite componenti affidabili potrebbero moltiplicarsi, sfruttando la fiducia implicita in tool e librerie ampiamente adottati.
• Scenario 3: vulnerabilità in protocolli legacy come SMBv1 o RDP potrebbero continuare a generare ondate di ransomware se non vengono dismessi tempestivamente.

Cosa monitorare

⬆ Torna su

• Tempi medi di deploy delle patch per CVE con punteggio CVSS superiore a 9.0.
• Dipendenze software critiche nelle architetture enterprise, con particolare attenzione a librerie di logging e autenticazione.
• Segnalazioni di exploit attivi in the wild per vulnerabilità già corrette.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://www.ilsoftware.it/focus/vulnerabilita-sicurezza-piu-pericolose-in-assoluto/
• https://hackerjournal.it/14933/quando-il-pericolo-non-si-vede
• https://screenworld.it/tecnologia/notepad-la-falla-che-regala-agli-hacker-il-controllo-totale-del-tuo-pc-ecco-come-proteggerti/
• https://www.nexsys.it/password-cracking-ftp-come-proteggere-il-tuo-server/
• https://www.watchguard.com/it/wgrd-news/blog/oltre-il-sistema-operativo-il-ransomware-nella-cpu
• https://www.datamanager.it/2025/07/ransomware-anatomia-di-una-minaccia-in-evoluzione/
• https://www.it4you.it/anatomia-di-un-attacco-mirato-a-un-server-di-backup/