Team MailSniper
Autore
Venerdì 28 marzo 2026, ore 16:47. Marco stava già raccogliendo le sue cose.
Responsabile IT di una società di consulenza con 180 dipendenti, aveva pianificato di uscire presto per una volta. Il laptop era quasi nel borsone quando il telefono ha vibrato. Una notifica dal feed CISA. Poi un'altra. Poi il messaggio del collega in chat: "Hai visto F5?"
Marco l'aveva visto. E il fine settimana era già finito.
CVE-2025-53521 era entrata nel catalogo KEV della CISA — il registro delle vulnerabilità sfruttate attivamente nel mondo reale. Non una vulnerabilità teorica, non un proof-of-concept da laboratorio. Una falla con prove concrete di exploit in corso su sistemi F5 BIG-IP APM esposti su internet.
Per chi usa F5 in produzione — e sono molti, dalle banche agli studi professionali, dalle PA alle aziende manifatturiere — quella notifica del venerdì pomeriggio era l'inizio di una corsa contro il tempo.
Il catalogo KEV (Known Exploited Vulnerabilities) non è uno dei tanti database di vulnerabilità che circolano online. È la lista nera della CISA — l'agenzia federale americana per la sicurezza informatica — che raccoglie solo le falle per cui esiste evidenza concreta di sfruttamento attivo da parte di attori malevoli.
Per finire nel KEV non basta avere un CVE critico. Serve che qualcuno, da qualche parte nel mondo, l'abbia già usata per attaccare sistemi reali.
Quando una vulnerabilità entra nel KEV, la CISA obbliga tutte le agenzie federali americane a patchare entro un termine preciso — di solito due settimane, a volte meno. Ma il segnale vale per tutti, non solo per chi lavora a Washington.
Se la CISA l'ha messa lì, significa che gli attaccanti l'hanno già scoperta, già automatizzata, e probabilmente la stanno già cercando sui sistemi esposti di tutto il mondo. Inclusa la tua parte di internet.
CVE-2025-53521 riguarda F5 BIG-IP APM: Access Policy Manager, il modulo che gestisce l'accesso remoto sicuro alle applicazioni aziendali. In molte organizzazioni è la VPN intelligente a cui si collegano i dipendenti da casa, dall'albergo, dall'aeroporto. Toglila di mezzo — o peggio, compromettila — e hai accesso al cuore della rete.
Per capire perché questa vulnerabilità fa paura, bisogna capire cosa fa F5 BIG-IP APM tutti i giorni.
Non è un semplice router o firewall. APM gestisce le policy di accesso: chi può entrare, da dove, con quali credenziali, a quali applicazioni. Verifica l'identità degli utenti, applica l'autenticazione multi-fattore, integra i sistemi di identity aziendale — Active Directory, LDAP, provider OAuth. È il punto di controllo centralizzato per l'accesso remoto.
Molte aziende lo usano proprio perché è affidabile e scala bene. Ed è esattamente il tipo di tecnologia che viene installata e poi — diciamocelo — un po' dimenticata. Funziona? Sì. Allora non si tocca.
Questa logica del "se funziona non si tocca" è uno dei motivi per cui le falle come CVE-2025-53521 rimangono aperte per mesi su sistemi in produzione. Il patching di un appliance critico non è mai banale: richiede finestre di manutenzione, test di regressione, spesso il coinvolgimento del vendor. È lavoro. E in molte organizzazioni, quel lavoro viene rimandato.
Gli attaccanti lo sanno. Ci contano.
La vulnerabilità CVE-2025-53521 colpisce il modulo APM di F5 BIG-IP, consentendo a un attaccante remoto — senza credenziali valide — di bypassare i controlli di autenticazione e accedere ad aree del sistema normalmente protette.
Tradotto: qualcuno da fuori può entrare come se avesse le chiavi. Senza aver mai rubato una password.
L'attacco inizia con una scansione di massa. Strumenti automatizzati — come Shodan, Censys o scanner custom — identificano tutti i sistemi F5 BIG-IP APM esposti su internet. Non è fantascienza: in pochi minuti si ottiene una lista di target potenziali, suddivisi per versione del firmware, paese, settore.
Poi arriva la fase di selezione. Gli attaccanti filtrano i target in base alla versione vulnerabile. Chi non ha ancora applicato la patch diventa il bersaglio.
Il payload viene inviato direttamente all'interfaccia APM esposta. Una richiesta malformata — o una sequenza specifica di richieste — riesce a ingannare il meccanismo di autenticazione. Il sistema risponde come se l'utente fosse già verificato.
Da questo punto in poi, l'attaccante ha diverse opzioni. Può raccogliere informazioni sulla rete interna. Può cercare di muoversi lateralmente verso altri sistemi. Può intercettare sessioni utente legittime. In alcuni scenari, può arrivare all'esecuzione di codice sul sistema, aprendo una backdoor permanente.
Il tutto, dall'esterno, senza mai digitare una password valida.
La velocità è l'aspetto più insidioso. Una volta che l'exploit è automatizzato — e quando la CISA aggiunge qualcosa al KEV, spesso lo è già — il tempo tra la pubblicazione del CVE e i primi sistemi compromessi si misura in ore, non in giorni. Ricercatori di sicurezza come quelli di Horizon3.ai hanno documentato più volte come i tentativi di exploit su nuove vulnerabilità F5 inizino entro 24-48 ore dalla pubblicazione dell'advisory. In alcuni casi, i sistemi con scanning attivo vengono colpiti prima ancora che l'organizzazione target abbia letto la notifica.
Marco, quel venerdì pomeriggio, aveva una finestra di risposta molto più stretta di quanto pensasse.
Quando un APM viene compromesso, le conseguenze non si limitano al device. Si propagano a tutto quello che c'è dietro.
Il primo danno è l'accesso alla rete interna. Con una sessione APM compromessa, l'attaccante si trova dentro il perimetro — quello stesso perimetro che l'azienda aveva costruito e mantenuto per anni. Da lì, la superficie d'attacco si allarga enormemente.
Il secondo danno è il furto di credenziali. APM gestisce l'autenticazione, il che significa che transita dati di sessione, token, in alcuni casi hash di password. Un attaccante con accesso a queste strutture dati può raccogliere materiale da riutilizzare su altri sistemi: Active Directory, email, applicazioni cloud.
Il terzo danno, spesso il più sottovalutato, è la persistenza silenziosa. Un attaccante sofisticato non vuole fare rumore. Vuole rimanere invisibile per settimane o mesi, raccogliendo dati, mappando la rete, aspettando il momento giusto. Un APM compromesso è un punto d'appoggio ideale per questo tipo di operazioni a lungo termine.
Le conseguenze economiche e legali arrivano dopo, spesso mesi dopo. Una violazione di dati che origina da un APM compromesso può coinvolgere dati personali di clienti o dipendenti, con tutto quello che ne consegue in termini di GDPR: notifiche obbligatorie, ispezioni del Garante, potenziali sanzioni. Se l'organizzazione è soggetta a NIS2, le implicazioni si amplificano ulteriormente.
E poi c'è il costo meno visibile: le ore del team IT, i consulenti forensi chiamati in emergenza, la produttività persa durante il lockdown dei sistemi, la fiducia dei clienti che non si riacquista con un comunicato stampa.
La risposta immediata è ovvia: patcha. F5 ha rilasciato un fix per CVE-2025-53521. Se hai BIG-IP APM in produzione, quella patch è la priorità numero uno.
Ma c'è di più, e vale la pena dirlo senza giri di parole.
Il patching immediato è necessario ma non sufficiente. Prima di applicare il fix, dovresti verificare se il sistema è già stato compromesso. Controlla i log APM cercando richieste anomale nelle ultime settimane: accessi da IP inusuali, sessioni aperte in orari strani, traffico verso destinazioni non previste. Se hai un SIEM, interrogalo con gli Indicators of Compromise pubblicati dalla community di threat intelligence.
Parallelo alla patch, considera di ridurre l'esposizione. Se l'interfaccia di gestione APM è raggiungibile direttamente da internet, è il momento di metterla dietro un IP allowlist o una rete di gestione separata. L'accesso admin non dovrebbe mai essere esposto direttamente alla rete pubblica.
C'è un aspetto che spesso viene trascurato in questi scenari: la compromissione di un sistema di accesso come BIG-IP APM apre la strada a campagne di phishing interno molto convincenti. Un attaccante che ha mappato la tua rete sa chi usa quali applicazioni, conosce i nomi degli utenti, i sistemi interni, le abitudini di lavoro. Può costruire email di reset password, notifiche di sicurezza false, comunicazioni interne che sembrano assolutamente legittime perché conoscono dettagli che solo un insider potrebbe sapere.
È qui che la qualità del filtro email fa una differenza concreta. MailSniper analizza il contenuto delle email in modo semantico — non si limita a confrontare hash o reputazione IP, ma rileva pattern tipici del phishing anche quando l'indirizzo mittente sembra attendibile. In un contesto post-compromissione APM, questa capacità di analisi contestuale diventa critica perché l'attaccante dispone di informazioni interne sufficienti a costruire messaggi difficili da smascherare con un filtro tradizionale.
Più in generale, tre pratiche riducono significativamente il rischio in scenari come questo. Il principio del privilegio minimo limita il danno se un account viene compromesso. La segmentazione della rete impedisce il movimento laterale incontrollato. Un piano di incident response testato — non teorico, testato sul campo — riduce il tempo di risposta da giorni a ore.
Un ultimo elemento che vale la pena considerare: come scegli i tuoi strumenti di sicurezza perimetrale? I criteri di valutazione devono includere non solo le funzionalità, ma anche la velocità con cui il vendor risponde alle vulnerabilità e quanto è facile applicare le patch in produzione senza downtime estesi. F5 ha risposto rapidamente a CVE-2025-53521. Non tutti i vendor lo fanno.
C'è un pattern che si ripete in quasi tutti questi casi: il sistema compromesso era considerato affidabile. Era quello che "funzionava sempre". Era il componente che nessuno guardava perché non dava problemi.
BeyondTrust, Roundcube, F5. In tutti questi casi recenti, l'attacco ha colpito uno strumento di controllo — qualcosa che avrebbe dovuto rendere la rete più sicura, e che invece è diventato il punto d'ingresso.
La fiducia cieca nei componenti critici è una vulnerabilità che non ha un numero CVE, ma fa più danni di molte falle tecniche. La prossima volta che qualcuno nel tuo team dice "quello non si tocca, funziona da anni", vale la pena fare una pausa.
Nella tua rete, qual è il componente "affidabile" che non guardi da troppo tempo?
La risposta a quella domanda è probabilmente la patch più importante che puoi applicare adesso. Per approfondire come gestire la sicurezza email in contesti ad alto rischio, trovi analisi e guide pratiche nel blog.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoIl Rapporto Clusit 2025 lancia l'allarme: il manifatturiero italiano è diventato il bersaglio preferito degli hacker. Con 213 attacchi in sei mesi, le aziende industriali devono correre ai ripari prima che sia troppo tardi.
LeggiQuando i criminali si nascondono dietro un fornitore fidato, l'email non sembra pericolosa — perché non lo è. La minaccia arriva dall'interno della catena di fiducia. Ecco come funziona il vendor email compromise e cosa si può fare.
LeggiUn cluster di hacker con presunti legami cinesi ha sfruttato una vulnerabilità critica in Dell RecoverPoint per 18 mesi prima che venisse scoperta. Un caso che ribalta la logica della difesa.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.