CSIRT Toscana Callback Phishing: campagna a tema Polizia di Stato (BL01/250418/CSIRT-ITA)
È stato recentemente rilevato un riacutizzarsi di una campagna di phishing a tema “Autorità”, veicolata via e-mail, che sfrutta il nome e il logo della Polizia di Stato.
Mese: Aprile 2025
Pagina 2 di 7
Rilevata vulnerabilità critica in Erlang/OTP SSH (AL04/250417/CSIRT-ITA)
Rilevata una vulnerabilità critica nella componente server SSH di Erlang/OTP, una tecnologia utilizzata nell’ambito delle telecomunicazioni, nei dispositivi IoT e nelle piattaforme di messaggistica in tempo reale.
Categorie
AlertArgomenti
Risolte vulnerabilità in prodotti Jetbrains (AL01/250418/CSIRT-ITA)
Aggiornamenti di sicurezza sanano 2 nuove vulnerabilità con gravità “alta” che riguardano i prodotti Toolbox App e RubyMine, strumenti utilizzati per lo sviluppo di applicazioni.
Categorie
AlertAggiornamenti per prodotti Siemens (AL03/250417/CSIRT-ITA)
Siemens ha rilasciato aggiornamenti di sicurezza per correggere molteplici vulnerabilità nei propri prodotti, di cui 67 con gravità “alta”.
Categorie
AlertArgomenti
Risolte vulnerabilità in prodotti Cisco (AL02/250417/CSIRT-ITA)
Aggiornamenti di sicurezza sanano 3 nuove vulnerabilità, di cui una con gravità “alta” che riguarda il prodotto Webex, nota piattaforma per videoconferenze e collaborazione online. Tale vulnerabilità interessa il parser delle URL, componente che gestisce i link di invito alle riunioni: a causa di una validazione dell'input inadeguata, un attaccante potrebbe indurre un utente a cliccare su un link opportunamente predisposto, provocando il download di file arbitrari che potrebbero comportare l’esecuzione di codice da remoto sul dispositivo della vittima.
Categorie
AlertApple: rilevato sfruttamento di 2 vulnerabilità (AL01/250417/CSIRT-ITA)
Rilevato lo sfruttamento attivo in rete delle vulnerabilità CVE-2025-31200 e CVE-2025-31201 che interessano i prodotti iOS, iPadOS, macOS Sequoia, tvOS e visionOS.
Categorie
AlertCritical Patch Update di Oracle (AL05/250416/CSIRT-ITA)
Oracle ha rilasciato il Critical Patch Update di aprile che descrive 378 vulnerabilità su più prodotti, di cui 15 con gravità “critica”. Tra queste, alcune potrebbero essere sfruttate per eseguire operazioni non autorizzate oppure compromettere la disponibilità del servizio sui sistemi target.
Categorie
AlertRisolte vulnerabilità in Google Chrome (AL04/250416/CSIRT-ITA)
Google ha rilasciato un aggiornamento per il browser Chrome al fine di correggere 2 vulnerabilità di sicurezza di cui una con gravità “critica” e l’altra con gravità “alta”. Tali vulnerabilità, qualora sfruttate, potrebbero consentire ad un utente malevolo remoto l’esecuzione di codice arbitrario sui sistemi target.
Categorie
AlertAggiornamenti per prodotti Autodesk (AL03/250416/CSIRT-ITA)
Autodesk Inc. risolve 7 vulnerabilità di sicurezza con gravità “alta” che interessano i prodotti AutoCAD, Advance Steel, Civil 3D, Revit, Inventor, Navisworks e Infrastructure Parts Editor.
Categorie
AlertWhatsUp Gold: PoC pubblico per lo sfruttamento della CVE-2025-2572 (AL02/250416/CSIRT-ITA)
Disponibile un Proof of Concept (PoC) per la CVE-2025-2572 – già sanate dal vendor – presente in WhatsUp Gold software di gestione dell'infrastruttura IT. Tale vulnerabilità potrebbe permettere ad un utente malevolo l’esecuzione di codice da remoto