CVE-2025-55177: Vulnerabilità nei client di messaggistica WhatsApp iOS e macOS sfruttata per attacchi zero-click
Alla fine di agosto, Apple ha rilasciato un aggiornamento d’emergenza per correggere CVE-2025-43300, una vulnerabilità zero-day critica di tipo out-of-bounds write su iOS, iPadOS e macOS. Ma la storia non finisce qui. I ricercatori di sicurezza hanno ora scoperto un altro problema serio: una vulnerabilità zero-day di WhatsApp nei client iOS e macOS. Il bug, che WhatsApp ha successivamente corretto, è stato sfruttato insieme al difetto a livello di OS di Apple in una catena di exploit sofisticata progettata per distribuire spyware in una campagna altamente mirata.
La scoperta più recente evidenzia la crescente dipendenza dagli exploit zero-day da parte di attori avanzati. Gli aggressori concatenano sempre più vulnerabilità multiple per eludere i controlli di sicurezza e ottenere compromissioni dei dispositivi su larga scala. Negli ultimi quattro anni, il numero di exploit zero-day ha mostrato una crescita costante, con solo lievi variazioni annuali. Nel 2024, il Threat Analysis Group di Google ha documentato 75 vulnerabilità zero-day attivamente sfruttate nel mondo reale, segnale chiaro che il problema sta accelerando. Nel 2025, i zero-day rimangono il metodo principale di compromissione iniziale, rappresentando circa un terzo di tutti i tentativi di intrusione.
Iscriviti alla SOC Prime Platform per accedere al marketplace globale di oltre 600.000 regole e query di rilevamento create da detection engineer, aggiornate quotidianamente e arricchite con threat intel per difendersi proattivamente dalle minacce esistenti e emergenti. Tutte le regole possono essere utilizzate su decine di piattaforme SIEM, EDR e Data Lake e sono allineate a MITRE ATT&CK®. Inoltre, ogni regola è arricchita con link CTI, timeline di attacco, configurazioni di audit, raccomandazioni per il triage e metadata estesi.
Gli ingegneri della sicurezza possono accedere istantaneamente alla vasta collezione di regole Sigma basate sul comportamento sotto il tag “CVE” cliccando sul pulsante Esplora Rilevamenti qui sotto.
Gli ingegneri della sicurezza possono anche utilizzare Uncoder AI, un IDE e co-pilot per detection engineering, ora potenziato con una nuova modalità AI Chat Bot e supporto agli strumenti MCP. Con Uncoder, i defender possono convertire istantaneamente gli IOC in query di hunting personalizzate, creare codice di rilevamento da report di minacce grezzi, generare diagrammi Attack Flow, abilitare la predizione dei tag ATT&CK, ottimizzare query tramite AI e tradurre contenuti di rilevamento su più piattaforme.
Analisi di CVE-2025-55177
WhatsApp ha rilasciato aggiornamenti di sicurezza per correggere una vulnerabilità recentemente divulgata, tracciata come CVE-2025-55177, attivamente sfruttata nel mondo reale per attacchi mirati. La vulnerabilità deriva da controlli di autorizzazione insufficienti nei messaggi di sincronizzazione dei dispositivi collegati. Lo sfruttamento del bug consente a un attaccante remoto di costringere il dispositivo della vittima a elaborare contenuti dannosi da un URL arbitrario, senza alcuna azione richiesta da parte della vittima.
I ricercatori di sicurezza avvertono che CVE-2025-55177 non è stato sfruttato isolatamente. È stato concatenato a una vulnerabilità a livello di OS di Apple (CVE-2025-43300) in una campagna sofisticata progettata per distribuire spyware. WhatsApp ha confermato che circa 200 persone sono state prese di mira negli ultimi tre mesi, rappresentando un’operazione altamente selettiva e avanzata.
L’avviso del vendor indica che CVE-2025-55177 colpisce più versioni di WhatsApp e WhatsApp Business, inclusi WhatsApp per iOS prima della v2.25.21.73, WhatsApp Business per iOS prima della v2.25.21.78 e WhatsApp per Mac prima della v2.25.21.78.
Negli avvisi inviati agli utenti interessati, WhatsApp ha raccomandato misure urgenti, incluso un reset completo del dispositivo alle impostazioni di fabbrica, oltre all’aggiornamento sia dell’app WhatsApp sia del sistema operativo sottostante alle ultime versioni.
Gli esperti di sicurezza hanno sottolineato che questa catena di exploit operava come un “zero-click attack”, una classe di exploit che non richiede alcuna interazione dell’utente. Questi attacchi rappresentano una delle forme più pericolose di sfruttamento, poiché possono compromettere un dispositivo in modo silenzioso e persistente. Sfruttando l’intera suite di SOC Prime supportata da AI e dalle migliori competenze di cybersecurity, i team di sicurezza dispongono di tecnologie a prova di futuro per la protezione enterprise-ready, in grado di rafforzare significativamente la postura di sicurezza dell’organizzazione.
