CVE-2025-20059: Vulnerabilità di Traversal del Percorso Relativo in Ping Identity PingAM Java Policy Agent
Subito dopo la recente divulgazione dello sfruttamento di CVE-2025-0108 che riguarda i prodotti Palo Alto Networks PAN-OS, un’altra vulnerabilità critica viene alla luce. I difensori hanno identificato una nuova vulnerabilità critica di attraversamento di percorsi relativi in Ping Identity PingAM Java Policy Agent, CVE-2025-20059, che offre agli attaccanti il semaforo verde per iniettare parametri malevoli diffondendo ulteriormente l’infezione.
Il numero di CVE registrati è aumentato del 30% nel 2024, superando le 30.000 nuove vulnerabilità entro la fine dell’anno. Poiché una grande parte di questi difetti è stata sfruttata per attacchi in-the-wild, la rilevazione proattiva dello sfruttamento delle vulnerabilità rimane una delle principali priorità per i difensori cibernetici a livello globale.
La piattaforma SOC Prime per la difesa informatica collettiva offre un ampio set di contenuti di rilevamento che affrontano il potenziale sfruttamento delle vulnerabilità. Registrati alla Piattaforma per accedere al feed delle minacce attive globali, CTI in tempo reale e contenuti di rilevazione su misura per rimanere sempre un passo avanti agli attaccanti. Controlla la nostra libreria di regole filtrata con il tag “CVE” premendo il pulsante Esplora Rilevamenti , in modo da non perdere alcuna minaccia potenzialmente rischiosa per il tuo business, poiché le rilevazioni vengono aggiunte quotidianamente.
Tutte le regole sono compatibili con più soluzioni SIEM, EDR e Data Lake e sono mappate al framework MITRE ATT&CK® per semplificare l’indagine sulle minacce. Inoltre, ogni regola è arricchita con metadati dettagliati, inclusi riferimenti all’intelligence delle minacce , linee temporali degli attacchi, raccomandazioni di triage e altro ancora.
Analisi di CVE-2025-20059
NIST NVD ha recentemente illuminato un nuovo difetto di attraversamento di percorsi relativi nel Ping Identity PingAM Java Policy Agent tracciato come CVE-2025-20059, che comporta crescenti rischi per le versioni del software fino a 5.10.3, 2023.11.1, e 2024.9. Il difetto critico con un alto punteggio CVSS di 9.2 può anche influenzare le versioni più vecchie non supportate, quindi è altamente imperativo proteggere le distribuzioni prontamente.
Gli attaccanti potrebbero sfruttare questo problema di sicurezza per la manipolazione del percorso file, l’iniezione di parametri e l’esfiltrazione dei dati. A seguito di un utilizzo riuscito, potrebbe potenzialmente interrompere le operazioni di sistema. Anche se attualmente non è disponibile alcun PoC pubblico o segnalazioni di sfruttamento di CVE-2025-20059 in-the-wild, l’accessibilità remota e la mancanza di interazione con l’utente rendono il difetto particolarmente pericoloso e facile da sfruttare.
Come potenziali passaggi di mitigazione CVE, le organizzazioni dovrebbero aggiornare all’ultima versione del software. In particolare, le correzioni sono disponibili aggiornando oltre le versioni 5.10.3, 2023.11.1, e 2024.9. Come una soluzione alternativa che è applicabile solo alla versione del prodotto 2024.9, il fornitore raccomanda anche di aggiungere la proprietà specifica al file AgentBootstrap.properties , che bloccherà qualsiasi percorso URL contenente un punto e virgola, restituendo HTTP 400. Tuttavia, non si applica ai parametri di query. Inoltre, per minimizzare i rischi di sfruttamento, i difensori raccomandano di imporre una rigorosa validazione degli input, implementare la segmentazione della rete, tenere continuamente traccia di accessi ai file sospetti o tentativi di iniezione di parametri e condurre una revisione approfondita della sicurezza.
La suite completa di prodotti di SOC Prime per la sicurezza aziendale dota i difensori cibernetici di tutto ciò di cui hanno bisogno per abilitare l’orchestrazione intelligente dei dati, adottare un CI/CD completo per il rilevamento avanzato delle minacce e l’ingegneria del rilevamento basata su IA, offrire funzionalità di threat hunting basate sull’intelligenza e ottimizzare il loro profilo di sicurezza cibernetica in termini di rischio. Più specificamente, Attack Detective fornisce alle organizzazioni l’accesso a capacità di rilevamento e caccia alle minacce in tempo reale, ricercate e pre-confezionate, per proteggere le organizzazioni da tentativi di sfruttamento delle vulnerabilità altamente sofisticati che potrebbero essere i più difficili da identificare. Fornisce audit di dati e contenuti per una visibilità completa delle minacce e una migliore copertura del rilevamento, dota i team di sicurezza di regole di alta qualità e a bassa rumorosità per l’allerta e abilita la caccia alle minacce automatizzata.
