CVE-2025–27364 in MITRE Caldera: sfruttamento di una nuova vulnerabilità RCE ad alta gravità tramite manipolazione dei flag del linker può portare a compromissione completa del sistema
Una nuova vulnerabilità di massima severità RCE vulnerability (CVE-2025-27364) in MITRE Caldera rappresenta un grave rischio di compromissione del sistema. Il difetto può anche essere concatenato con un altro problema di sicurezza di Parallels Desktop, CVE-2024-34331, per raddoppiare i rischi di minacce. Se sfruttati, questi problemi di sicurezza potrebbero fornire agli hacker il pieno controllo del sistema, causando accesso non autorizzato, violazioni dei dati e ulteriori movimenti laterali all’interno di una rete compromessa.
Con il rapido aumento delle CVE armate, la necessità di una rilevazione proattiva delle minacce non è mai stata così urgente. All’inizio del 2025, il NIST NVD ha già registrato 6.480 nuovi problemi di sicurezza, molti dei quali sono già stati sfruttati in attacchi nel mondo reale. Man mano che le minacce informatiche continuano ad evolversi, i team di sicurezza di tutto il mondo devono dare priorità alle strategie di rilevamento precoce per rimanere un passo avanti rispetto ai tentativi di sfruttamento e mitigare i rischi in modo efficace.
La Piattaforma SOC Prime per la difesa informatica collettiva dà potere ai team di sicurezza utilizzando un feed globale di minacce attive, CTI in tempo reale e algoritmi di rilevamento curati per individuare e mitigare gli attacchi che sfruttano le CVE armate ai loro stadi iniziali. Registrati alla Piattaforma per accedere a una vasta libreria di regole Sigma supportata da una suite completa di prodotti per il rilevamento e la caccia avanzata delle minacce. Inoltre, puoi controllare la nostra libreria di regole filtrata con il tag “CVE” premendo Esplora i Rilevamenti qui sotto, così non perderai alcuna minaccia che potrebbe sfidare il tuo business, poiché i rilevamenti vengono aggiunti quotidianamente.
Tutte le regole possono essere utilizzate su più soluzioni di analisi della sicurezza e sono mappate al framework MITRE ATT&CK per facilitare la ricerca delle minacce. Inoltre, i rilevamenti sono arricchiti con metadati dettagliati, inclusi CTI riferimenti, cronologie degli attacchi, raccomandazioni per il triage e altro.
Analisi di CVE-2025-27364
I difensori hanno recentemente svelato un nuovo difetto RCE in MITRE Caldera versioni fino a 4.2.0 e 5.0.0 (prima del commit 35bc06e) tracciato come CVE-2025-27364 (CVSS 10.0). Quest’ultimo influisce sulla capacità del server di compilare agenti dinamici (impianti). Questo difetto di massima gravità è particolarmente pericoloso poiché non richiede autenticazione per essere armato dagli attaccanti. Gli hacker possono sfruttare l’API compromessa per inserire codice malevolo nel processo di compilazione, risultando nell’installazione di agenti Sandcat o Manx non autorizzati. Gli avversari possono armare questo difetto abusando della gcc -extldflags flag del linker con sotto-comandi. Data l’ampia applicazione d Caldera nei test di penetrazione e emulazione degli avversari, questo difetto di sicurezza rappresenta un rischio considerevole per le aziende che si affidano alla piattaforma per l’automazione della sicurezza e il red teaming.
Il rilascio di un PoC per CVE-2025-27364 aumenta significativamente i rischi di sfruttamento nel mondo reale. Eseguire un comando curl specifico rende facile sfruttare il difetto. Un attacco riuscito lancia una shell inversa, eseguendo uno script Python che fornisce agli attori della minaccia accesso root.
In particolare, CVE-2025-27364 può anche essere sfruttata nella catena di attacco insieme a CVE-2024-34331, un vecchio problema di sicurezza irrisolto di Parallels Desktop, che può portare all’escalation di privilegi locali su sistemi macOS. Se sfruttati, entrambi i difetti potrebbero consentire agli hacker di ottenere il pieno controllo del sistema bersaglio, portando ad accessi non autorizzati, violazioni dei dati e compromissione della rete.
Per affrontare tempestivamente i rischi di sfruttamento di CVE-2025-27364, i difensori raccomandano di aggiornare tempestivamente alla versione corretta più recente scaricando o il ramo Master o la versione 5.1.0 e successive. Inoltre, per proteggere le reti potenzialmente vulnerabili allo sfruttamento di CVE-2025-27364, si consiglia agli utenti di limitare l’accesso all’API di Caldera con segmentazione della rete e controlli rigorosi e di monitorare costantemente le compilazioni di agenti insoliti o attività API per rilevare proattivamente le minacce. La Piattaforma SOC Prime per la difesa informatica collettiva aiuta le organizzazioni a superare le minacce informatiche, indipendentemente dalla loro sofisticazione, affidandosi alla sua suite completa di prodotti alimentata da IA, intelligence di minacce concreta e capacità avanzate automatizzate per adottare senza problemi una strategia SOC di nuova generazione.
