Vulnerabilità critica in FortiWeb: Fortinet e CISA consigliano aggiornamenti urgenti

Fortinet ha confermato la scoperta di una vulnerabilità critica (CWE-23, path traversal vulnerability) nei dispositivi FortiWeb, identificata con il codice CVE-2025-64446 e registrata come IR Number FG-IR-25-910.

La falla, pubblicata il 14 novembre 2025, interessa principalmente l’interfaccia di gestione GUI e permette a un attaccante non autenticato di eseguire comandi amministrativi tramite richieste HTTP o HTTPS manipolate. La gravità della vulnerabilità è classificata come critica, con un punteggio CVSSv3 di 9.1, e il rischio principale riguarda il controllo degli accessi inadeguato, che potrebbe portare a compromissioni severe dei sistemi.

Secondo Fortinet, la vulnerabilità è già stata sfruttata in contesti reali, aumentando l’urgenza di adottare misure correttive. L’accesso non autorizzato ai dispositivi FortiWeb potrebbe consentire agli attaccanti di ottenere pieno controllo amministrativo, con potenziali conseguenze gravi sulla sicurezza delle reti aziendali.

Le versioni FortiWeb vulnerabili e gli aggiornamenti consigliati sono:

Come misura temporanea, Fortinet consiglia di disabilitare l’accesso HTTP e HTTPS sulle interfacce esposte a Internet. Se l’accesso HTTP/HTTPS è limitato a reti interne, come previsto dalle best practice di sicurezza, il rischio di sfruttamento della vulnerabilità risulta notevolmente ridotto. Questa soluzione permette di mitigare temporaneamente la minaccia fino all’installazione degli aggiornamenti correttivi.

Dopo l’aggiornamento, gli amministratori di sistema dovrebbero esaminare attentamente la configurazione dei dispositivi e analizzare i log per identificare eventuali modifiche non autorizzate o la creazione di account amministrativi sospetti. Queste operazioni di audit sono fondamentali per garantire che eventuali tentativi di compromissione precedenti vengano rilevati e corretti.

Fortinet ha inoltre reso disponibili i pacchetti di aggiornamento nei formati CVRF e CSAF per una gestione strutturata della vulnerabilità. L’azienda invita tutti i clienti a intervenire tempestivamente, data la gravità critica della falla, la sua presenza già in scenari di sfruttamento reale e l’inserimento nel catalogo CISA KEV.

Rischio elevato delle interfacce di amministrazione esposte

Non è consigliabile rendere le interfacce di amministrazione di dispositivi come FortiWeb accessibili su Internet. Anche con aggiornamenti disponibili o sistemi di autenticazione implementati, il rischio rimane elevato: una patch potrebbe non essere ancora applicata, oppure l’autenticazione potrebbe presentare vulnerabilità.

Esporre la GUI pubblicamente espone l’intera azienda a possibili attacchi, inclusi quelli automatizzati, rendendo il sistema vulnerabile a compromissioni critiche. La regola fondamentale per la sicurezza dei dispositivi di rete è che l’accesso amministrativo dovrebbe essere sempre limitato a reti interne sicure e mai reso direttamente pubblico.

Riduci l’esposizione: questa è la chiave del successo.

L'articolo Vulnerabilità critica in FortiWeb: Fortinet e CISA consigliano aggiornamenti urgenti proviene da Red Hot Cyber.

If It Ain’t Broke… Add Something to It

Given that we live in the proverbial glass house, we can’t throw stones at [ellis.codes] for modifying a perfectly fine Vornado fan. He’d picked that fan in the first place because, unlike most fans, it had a DC motor. Of course, DC motors are easier to control with a microcontroller, and next thing you know, it was sporting an ESP32 and a WiFi interface.

The original fan was surprisingly sparse inside. A power supply, of course, and just a tiny PCB for a speed control. Oddly, it looks like the speed control was just a potentiometer and a 24 V supply. It wasn’t clear if the “motor” had some circuitry in it to do PWM control or not. That seems likely, though.

Regardless, the project opted for a digital pot IC to maintain compatibility. One nice thing about the modification is that it replaces the existing board with the same connectors. So if you wanted to revert the fan to normal, you simply have to swap the boards back.

Now the fan talks to home automation software. Luckily, there’s still nothing wrong with it. We love seeing bespoke ESPHome projects. Even if your fan has WiFi, you might not like it communicating with Big Brother.

hackaday.com/2025/11/15/if-it-…

Cina, la nuova era dei robot: Shenzhen al centro della rivoluzione tecnologica

I XV Giochi Nazionali della Cina si sono aperti con uno spettacolo che ha unito sport e tecnologia. Tra i protagonisti, robot capaci di suonare antichi strumenti di bronzo, sistemi di intelligenza artificiale in grado di realizzare pergamene digitali e schermi ad altissima definizione che hanno catturato l’attenzione del pubblico.

Tra le innovazioni più applaudite c’è Walker S2, il robot umanoide di UBTECH, rappresentante della Greater Bay Area Guangdong-Hong Kong-Macao, che ha eseguito una performance su una campana di bronzo risalente a duemila anni fa. Il dispositivo, lanciato solo tre mesi fa, ha già ricevuto ordini per centinaia di milioni di unità.

Parallelamente ai Giochi, il quotidiano Ta Kung Pao ha inaugurato la serie di approfondimenti “Direct Hit on Shenzhen’s Intelligent Manufacturing”. Il progetto si concentra su tre settori principali dell’innovazione cinese: robotica, produzione intelligente e dispositivi elettronici avanzati. L’obiettivo è raccontare come Shenzhen stia sviluppando un ecosistema produttivo avanzato e perché la Greater Bay Area sia considerata un polo strategico nella nuova era della manifattura intelligente.

Dal rombo dei macchinari al silenzio dei robot

Guardando indietro, quarantacinque anni fa, quando la Zona Economica Speciale di Shenzhen muoveva i primi passi, le fabbriche erano piene del rumore dei macchinari tradizionali. Oggi molte linee produttive operano quasi in silenzio, grazie all’introduzione di robot con sensori tattili di precisione millimetrica e movimenti sempre più simili a quelli umani.

Tra i più sorprendenti ci sono la mano robotica di Pacinia Labs, capace di distinguere tessuti diversi come seta, cotone o jacquard, il “Robot Eye” di RoboSense che prevede la traiettoria di piccoli oggetti in movimento, e l’umanoide CL-3 di Zhuji Dynamics, dotato di 31 gradi di libertà e capace di muoversi su scale e superfici irregolari.
Robot umanoide CL-3 di Zhuji Dynamics
Questi progressi stanno trasformando i robot, integrando percezione, decisioni e azioni in un ciclo unico. Non si tratta più di macchine che eseguono compiti rigidi, ma di sistemi capaci di adattarsi all’ambiente circostante e reagire in autonomia.

Robot che vedono e toccano

Nel laboratorio di RoboSense Technology, un braccio robotico dotato del sensore AC1 analizza in tempo reale forma, profondità e movimento di oggetti come palline e blocchi. Durante una dimostrazione, il robot ha previsto il rotolamento di una pallina e l’ha afferrata prima che toccasse terra. La stessa tecnologia è stata implementata sul robot Qinglong Pro, presentato alla World Artificial Intelligence Conference del 2025 in Cina, per migliorare capacità come la mappatura dello spazio e l’elusione degli ostacoli.

Anche Pacinia Sensing Technology ha mostrato i progressi nel tatto artificiale. La mano robotica, dotata di sensori multidimensionali, distingue differenti materiali sfiorandoli. Grazie agli algoritmi proprietari e a un database tattile ricco di informazioni, il robot riconosce cotone, seta, raso elasticizzato e tessuti jacquard. Secondo il Chief Operating Officer Nie Xiangru, questa tecnologia potrebbe in futuro essere utilizzata anche in robot chirurgici, per interventi di precisione in condizioni di visibilità limitata.

Mobilità e precisione industriale

Zhuji Dynamics ha puntato sulla mobilità. Il robot umanoide CL-3, presentato a maggio, è dotato di 31 gradi di libertà su busto e arti. Grazie agli algoritmi di controllo del movimento dell’intero corpo, riesce a camminare, correre, saltare e affrontare scale con grande stabilità. Nei test effettuati nel settore automobilistico, il CL-3 ha completato compiti complessi come il serraggio con chiavi dinamometriche e il posizionamento di componenti con una precisione di ±0,1 millimetri.

Gli esperti ritengono che questo passo segni il passaggio dei robot umanoidi dai laboratori alle linee di produzione, aprendo una nuova fase di automazione flessibile.

Zhang Wei, fondatore di Zhuji Power, sottolinea che l’evoluzione dei robot umanoidi non riguarda più la sola imitazione delle funzioni umane: l’obiettivo è sviluppare una “intelligenza motoria” che permetta di collaborare in modo più efficace con gli operatori umani, sia in fabbrica sia nelle città intelligenti.

Un ecosistema completo per la robotica

La crescita della robotica a Shenzhen è sostenuta dalla collaborazione tra università, centri di ricerca e industria. Nel sottodistretto di Bantian, nel distretto di Longgang, è in costruzione il primo “Body-Integrated Intelligent Robot Demonstration Block” della Cina. L’area integrerà teatri robotici, laboratori sperimentali e parchi industriali per accelerare il trasferimento delle tecnologie. Sempre nella stessa zona è stato inaugurato il primo“6S robot store” al mondo, una piattaforma pensata per avvicinare cittadini e aziende ai robot. Il direttore Lin Feng ha spiegato che il negozio è concepito per offrire prodotti, servizi e dimostrazioni dal vivo, colmando così “l’ultimo miglio” per la commercializzazione.

Il “Piano d’azione per lo sviluppo di alta qualità dell’industria robotica di Shenzhen”, pubblicato nel 2024, fissa l’obiettivo di creare entro il 2027 un centro di innovazione robotica di livello mondiale e di far crescere almeno cinque aziende con un fatturato superiore ai 10 miliardi di yuan. Attualmente, le imprese del settore sono oltre 1.500 e il valore complessivo dell’industria dovrebbe superare i 200 miliardi di yuan entro il 2025.

L'articolo Cina, la nuova era dei robot: Shenzhen al centro della rivoluzione tecnologica proviene da Red Hot Cyber.

Ti hanno regalato una cornice digitale? Altro che ricordi di famiglia

I ricercatori hanno scoperto che le cornici digitali Uhale con sistema operativo Android presentano diverse vulnerabilità critiche: alcuni modelli scaricano ed eseguono addirittura malware durante l’avvio. Hanno esaminato l’app Uhale e hanno scoperto attività associate a due famiglie di malware: Mezmess e Vo1d.

Già nel maggio 2025, i ricercatori avevano tentato di segnalare i problemi riscontrati all’azienda cinese ZEASN (ora ribattezzata Whale TV), responsabile della piattaforma Uhale utilizzata nelle cornici digitali di molti marchi. Tuttavia, gli specialisti non hanno mai ricevuto risposta dagli sviluppatori.

Gli esperti hanno scoperto che molti dei modelli di cornici digitali analizzati scaricano payload dannosi dai server cinesi subito dopo l’accensione. All’avvio, i dispositivi verificano la presenza di un aggiornamento dell’app Uhale, installano l’aggiornamento alla versione 4.2.0 e si riavviano. Dopo il riavvio, l’app aggiornata avvia il download e l’esecuzione del malware.

Il file JAR/DEX scaricato viene salvato nella directory dell’applicazione Uhale ed eseguito a ogni successivo avvio del sistema. Non è ancora chiaro perché la versione 4.2.0 dell’applicazione sia diventata dannosa (se ciò sia stato fatto intenzionalmente dagli sviluppatori stessi o se sia stata compromessa l’infrastruttura di aggiornamento ZEASN).

Il malware rilevato è stato collegato alla botnet Vo1d , che conta milioni di dispositivi, nonché alla famiglia di malware Mzmess. Questa connessione è confermata dai prefissi dei pacchetti, dai nomi delle stringhe, dagli endpoint, dal processo di distribuzione del malware e da una serie di artefatti.

Oltre al download automatico del malware (che non si è verificato su tutte le cornici analizzate), i ricercatori hanno scoperto anche numerose vulnerabilità. Nel loro rapporto, gli specialisti di Quokka hanno dettagliato 17 problemi, 11 dei quali hanno già ricevuto identificatori CVE. I più gravi sono:

• CVE-2025-58392 e CVE-2025-58397 – Un’implementazione non sicura di TrustManager consente a un attacco MitM di iniettare risposte crittografate contraffatte, portando infine all’esecuzione di codice remoto con privilegi di root;
• CVE-2025-58388 – Durante un aggiornamento dell’applicazione, i nomi dei file raw vengono passati direttamente ai comandi shell, consentendo l’iniezione di comandi e l’installazione remota di APK arbitrari;
• CVE-2025-58394 – Tutte le cornici fotografiche testate sono state spedite con SELinux disabilitato, accesso root predefinito e chiavi di test pubbliche AOSP, il che significa che erano completamente compromesse fin dal primo momento;
• CVE-2025-58396 – Un’applicazione preinstallata avvia un file server sulla porta TCP 17802, che accetta caricamenti di file senza autenticazione. Di conseguenza, qualsiasi host sulla rete locale ottiene la possibilità di scrivere o eliminare file arbitrari sul dispositivo;
• CVE-2025-58390 – WebView nell’app ignora gli errori SSL/TLS e consente contenuti misti, consentendo agli aggressori di iniettare o intercettare i dati visualizzati sul dispositivo, aprendo la porta al phishing e allo spoofing dei contenuti.

I ricercatori hanno anche trovato una chiave AES codificata per decifrare le risposte sdkbin. Inoltre, diversi modelli di cornici fotografiche contenevano componenti di aggiornamento Adups e librerie obsolete, e l’app utilizzava schemi crittografici deboli e chiavi codificate.

Tuttavia, è difficile stimare il numero esatto delle vittime: la maggior parte delle cornici per foto vulnerabili viene venduta con marchi diversi e senza menzionare la piattaforma Uhale. Pertanto, i ricercatori citano statistiche diverse: l’app Uhale è stata scaricata oltre 500.000 volte su Google Play e ha oltre 11.000 recensioni sull’App Store. Inoltre, le cornici per foto Uhale vendute su Amazon hanno circa 1.000 recensioni.

In conclusione, gli esperti consigliano di acquistare gadget solo da produttori affidabili che utilizzano immagini Android ufficiali senza modifiche al firmware, supportano i servizi Google e dispongono di protezione antimalware integrata.

L'articolo Ti hanno regalato una cornice digitale? Altro che ricordi di famiglia proviene da Red Hot Cyber.

IndonesianFoods: Il worm che sta devastando npm e ha creato 100.000 pacchetti

Un worm auto-propagante, denominato IndonesianFoods, è stato scoperto in npm. Genera nuovi pacchetti ogni sette secondi. Secondo Sonatype, il malware ha già creato oltre 100.000 pacchetti e questo numero continua a crescere.

Il nome del worm IndonesianFoods assegna nomi casuali legati a piatti indonesiani. Sebbene i pacchetti creati dal worm al momento non contengano alcuna funzionalità dannosa (come il furto di dati o backdoor nascoste), la situazione potrebbe facilmente cambiare dopo un aggiornamento che aggiunga il payload cercato dagli aggressori.

I ricercatori avvertono che il livello di automazione e la portata di questo attacco creano il potenziale per compromettere la catena di approvvigionamento su larga scala. Uno dei primi a notare questa campagna dannosa è stato il ricercatore di sicurezza Paul McCarty, che ha creato una pagina dedicata per tenere traccia degli utenti npm associati al worm e del numero di pacchetti da loro pubblicati.

Nel frattempo, gli analisti di Sonatype segnalano che gli stessi aggressori hanno tentato di lanciare un attacco il 10 settembre 2025, utilizzando il pacchetto fajar-donat9-breki. Sebbene contenesse la stessa logica di autoreplicazione, non è riuscito a diffondersi. Gli esperti ritengono che IndonesianFoods non stia prendendo di mira i computer degli sviluppatori. Ritengono piuttosto che il worm miri a sovraccaricare l’ecosistema e a interrompere la più grande catena di fornitura di software al mondo.

“Questo attacco ha messo in ginocchio numerosi sistemi di sicurezza, dimostrando una portata senza precedenti”, ha affermato l’azienda. “Amazon Inspector segnala tali pacchetti tramite avviso OSV, innescando un’enorme ondata di segnalazioni di vulnerabilità. Il solo database Sonatype ha registrato 72.000 nuovi bollettini in un solo giorno.”

Tuttavia, secondo Endor Labs, alcuni pacchetti IndonesianFoods contengono file tea.yaml con account e indirizzi di portafogli crittografici, abusando così del protocollo TEA, una piattaforma blockchain che paga gli sviluppatori open source in token. Lo schema è semplice: più pacchetti ci sono e più alto è il loro punteggio di impatto, più token si possono ottenere. Si ritiene che gli aggressori avrebbero potuto creare migliaia di pacchetti interconnessi per accumulare token.

I ricercatori segnalano che il worm risiede in un singolo file JavaScript (auto.js o publishScript.js) all’interno di ogni pacchetto. Tuttavia, non si attiva automaticamente e non dispone di trigger di installazione automatica o hook post-installazione: node auto.js deve essere eseguito manualmente. Non è chiaro chi possa aver avviato manualmente questo file, ma le decine di migliaia di pacchetti contenenti IndonesianFoods indicano che o più vittime hanno aperto il file per qualche motivo, oppure che sono stati gli aggressori stessi a farlo.

Endor Labs afferma di non aver trovato prove di un’attività di ingegneria sociale su larga scala che possa aver accompagnato questa campagna. Tuttavia, il codice malware potrebbe essere progettato per scenari in cui gli utenti vengono convinti (ad esempio, tramite falsi tutorial) a eseguire node auto.js per completare la configurazione.

Una volta attivato, lo script viene eseguito in un ciclo infinito: rimuove “private”: true da package.json, genera un nome casuale da un dizionario, crea un numero di versione casuale (per aggirare il rilevamento duplicati di npm) e pubblica un nuovo pacchetto tramite npm publish. Il ciclo si ripete continuamente, con un nuovo pacchetto che appare ogni 7-10 secondi.

“Il repository si riempie di spazzatura, l’infrastruttura spreca risorse, i risultati di ricerca diventano inquinati e se qualcuno installa accidentalmente il pacchetto, ecco che nascono i rischi per la supply chain”, scrive McCarthy. È interessante notare che, secondo Endor Labs, questa campagna di spam è iniziata due anni fa: nel 2023, gli aggressori hanno aggiunto 43.000 pacchetti a npm, nel 2024 hanno implementato la monetizzazione tramite TEA e nel 2025 hanno aggiunto l’autoreplicazione a questo schema, trasformando IndonesianFoods in un worm.

IndonesianFoods non è il primo worm a finire sulle prime pagine dei giornali di recente. Più di recente, il worm GlassWorm è stato scoperto in OpenVSX e Visual Studio Code Marketplace, mentre il worm Shai-Hulud ha compromesso centinaia di pacchetti npm.

Gli analisti di Sonatype avvertono che queste campagne malware semplici ma efficaci creano le condizioni ideali affinché gli aggressori introducano silenziosamente malware più seri negli ecosistemi open source.

L'articolo IndonesianFoods: Il worm che sta devastando npm e ha creato 100.000 pacchetti proviene da Red Hot Cyber.

La Corea del Nord riorganizza la sua intelligence con una nuova agenzia

La Corea del Nord ha ristrutturato la sua gerarchia di intelligence, trasformando l’ex Agenzia di Intelligence in una struttura con un mandato molto più ampio. Il nuovo organismo, denominato Direzione Generale dell’Intelligence (GIRD), riunisce diversi dipartimenti precedentemente separati.

Si basa su capacità come il monitoraggio satellitare, l’intercettazione dei segnali, le operazioni di rete e la raccolta di informazioni, tutte ora integrate in un unico quadro analitico. Secondo fonti del Daily NK, l’approvazione formale di questo status è avvenuta in estate, a seguito di discussioni interne iniziate in primavera, e le modifiche sono state annunciate pubblicamente per la prima volta a settembre.

La riorganizzazione non si è limitata a un aggiornamento simbolico. La vecchia unità ha cessato di essere un’agenzia focalizzata principalmente su infiltrazioni segrete e operazioni speciali. È stata ristrutturata come quartier generale dell’intelligence militare, responsabile contemporaneamente della sorveglianza satellitare, dell’elaborazione dati, delle comunicazioni digitali e dell’analisi delle reti di intelligence.

Questo approccio è stato la logica continuazione della riforma iniziata nel 2009, quando la Corea del Nord ha unito l’intelligence militare alle strutture operative del partito. Questa volta, l’enfasi è sulla diversa natura dei cambiamenti: non l’assorbimento di organizzazioni esterne, ma piuttosto il rafforzamento dell’autorità all’interno del sistema esistente.

Uno dei fattori che ha spinto il consolidamento del settore dell’intelligence è stato il lancio del satellite Malligyong-1 nel novembre 2023. Nonostante la bassa risoluzione delle immagini, la Corea del Nord monitora regolarmente i siti di test, gli aeroporti e i porti dei paesi che considera avversari. La Corea del Sud rimane l’obiettivo principale, sebbene anche Stati Uniti e Giappone figurino nei rapporti ufficiali. I dati satellitari sono integrati in un quadro di analisi completo che combina intercettazioni di segnali e segnalazioni umane. Questo algoritmo riduce la probabilità di falsi allarmi e migliora l’accuratezza delle valutazioni.

I documenti interni della nuova agenzia prevedono riunioni settimanali denominate “224 Incarichi Strategici”, in cui vengono preparati rapporti riassuntivi sulla situazione attuale. Questi sono accessibili al Comando Supremo e alla Commissione Militare Centrale. La Direzione Generale dell’Intelligence ha il diritto di riferire direttamente ai vertici, bypassando il Capo di Stato Maggiore o la Commissione Militare Centrale. Una fonte del Daily NK sottolinea che l’agenzia si è già affermata come centro decisionale chiave. Lo ha affermato indirettamente il Maresciallo dell’Esercito nordcoreano Pak Jong Chol, che ha menzionato un rapporto ricevuto dall’agenzia sulle manovre congiunte tra Corea del Sud e Stati Uniti.

Secondo altre fonti, i poteri dell’agenzia sono stati ampliati fino a raggiungere il livello di un servizio di intelligence nazionale, comprendendo funzioni politiche, economiche e diplomatiche. Operazioni all’estero, operazioni di rete, tentativi di elusione delle sanzioni e supporto ai finanziamenti esterni sono tutti concentrati sotto lo stesso tetto. All’interno del sistema, tutto ciò è considerato parte di una triade di funzioni strategiche – attività informative, economiche e psicologiche – che Pyongyang sta sempre più trasformando in uno strumento di influenza esterna.

Pyongyang sta inoltre sviluppando una rete di roccaforti nel Sud-est asiatico e in diversi paesi sudamericani. Ciò coinvolge sia canali di intelligence che la ricerca di nuove rotte finanziarie. Allo stesso tempo, collabora con agenzie provinciali cinesi e aziende private attraverso le quali acquista componenti elettronici e tecnologie di elaborazione dati.

Queste transazioni si basano su contratti privati tra società commerciali cinesi e organizzazioni controllate dal Dipartimento di Intelligence Generale. Questo accordo consente di nascondere le transazioni al controllo internazionale, mascherandole come normali transazioni commerciali.

L'articolo La Corea del Nord riorganizza la sua intelligence con una nuova agenzia proviene da Red Hot Cyber.