Hacker a un passo dal nucleare: falla Microsoft SharePoint espone sistemi strategici

Ancora una volta ci troviamo a parlare di un incidente legato alla mancata disponibilità o l’assenza di patch di sicurezza. Le vulnerabilità software sfruttate hanno questa volta permesso a un gruppo di aggressori remoti di farsi largo nell’infrastruttura interna del KCNSC (Kansas City National Security Campus), una delle realtà sotto l’ombrello della National Nuclear Security Administration (NNSA). Per sferrare l’attacco, i criminali informatici hanno sfruttato due lacune di sicurezza presenti in Microsoft SharePoint, nota piattaforma Web per la gestione dei contenuti e la collaborazione aziendale.

KCNSC produce componenti meccanici, elettronici e diversi materiali utilizzati nei sistemi di difesa nucleare USA. Fornisce inoltre servizi tecnici specializzati, tra cui analisi metallurgiche, di chimica analitica, test ambientali e modelli di simulazione. Circa l’80% delle componenti non nucleari presenti nelle scorte nucleari nazionali proviene dal KCNSC.

L’attacco a Microsoft SharePoint ha permesso di aggredire una realtà importante del nucleare a stelle e strisce

Secondo fonti interne coinvolte nella risposta all’incidente, gli attaccanti hanno sfruttato due vulnerabilità critiche di SharePoint – CVE-2025-53770 e CVE-2025-49704 – entrambe relative a installazioni on-premises ed in grado di consentire l’esecuzione di codice remoto.

Microsoft aveva pubblicato le patch per entrambe le falle di sicurezza il 19 luglio 2025, ma l’exploit è stato rilevato già dal 18 luglio, a indicare un’azione quasi immediata da parte degli attaccanti.

L’azienda di Redmond ha collegato la campagna di exploit a tre gruppi di matrice cinese – Linen Typhoon, Violet Typhoon e Storm-2603 – che avrebbero utilizzato le vulnerabilità di SharePoint come vettore d’accesso per distribuire successivamente il ransomware Warlock. Tuttavia, altre fonti informate sulle indagini in corso sostengono che l’attacco specifico al KCNSC potrebbe essere riconducibile a un gruppo russo.

I ricercatori di Resecurity, che hanno monitorato le prime fasi dell’attacco, hanno rilevato una probabile partecipazione cinese nella creazione del codice exploit, ma non escludono che attori russi abbiano successivamente sfruttato la medesima tecnica. Dopo la dimostrazione pubblica avvenuta al Pwn2Own Berlin – dove erano stati presentati attacchi concatenati a SharePoint – i dettagli tecnici si sarebbero rapidamente diffusi nel dark web, favorendo la proliferazione di exploit indipendenti.

Come hanno fatto gli aggressori a sfruttare le vulnerabilità di SharePoint?

L’analisi di fine luglio di Unit 42 confermava che se il server SharePoint è isolato dalla rete pubblica, il rischio di essere colpiti dagli attacchi è significativamente ridotto, anche se rimangono possibili rischi interni o movimenti laterali se un attaccante è già presente nella rete interna.

Viene quindi da chiedersi (perché di dettagli tecnici divulgati pubblicamente non ve n’è neanche l’ombra…) come abbiano fatto gli aggressori remoti a usare come grimaldello proprio SharePoint per attaccare una realtà come KCNSC.

È davvero possibile che un’organizzazione del genere abbia lasciato l’interfaccia di SharePoint esposta sulla rete Internet? Perché in questo caso il lavoro degli attaccanti è ovviamente agevolato: basta una ricognizione iniziale tramite richieste GET e POST verso pagine specifiche (ad esempio ToolPane.aspx) per identificare versioni vulnerabili e inviare payload (Web shell o moduli .NET) per ottenere l’esecuzione remota di codice arbitrario.

Diversamente, è plausibile l’ipotesi di un’eventuale compromissione interna (i.e. credenziali rubate), usata come leva per aggredire il server SharePoint.

Sfruttamento delle vulnerabilità zero-day

Ciò che colpisce, inoltre, è che gli aggressori hanno approfittato di vulnerabilità zero-day, ossia di falle ancora sconosciuta al produttore e non ancora corrette con alcuna patch ufficiale.

“Casualmente” lo sfruttamento delle vulnerabilità sembra essere iniziato già qualche giorno prima del rilascio delle patch ufficiali da parte di Microsoft. Ciò significa che gli attaccanti hanno potuto penetrare i sistemi senza alcuna protezione preventiva, sfruttando la finestra temporale in cui il bug era noto solo a loro.

Questo episodio sottolinea quanto le vulnerabilità zero-day siano particolarmente pericolose per le infrastrutture critiche: anche un singolo ritardo nell’aggiornamento dei sistemi può consentire agli intrusi di ottenere accesso a informazioni sensibili o di stabilire punti di appoggio per movimenti laterali all’interno della rete. Nel contesto di un sito come il KCNSC, che produce componenti essenziali per il programma nucleare statunitense, la capacità di sfruttare una falla zero-day prima che vengano applicate le contromisure evidenzia la necessità di strategie proattive di rilevamento e mitigazione, oltre alla semplice applicazione di patch.

Il rischio di propagazione verso i sistemi OT

L’intrusione sembra aver interessato principalmente i sistemi IT della struttura, ma resta il timore di una possibile estensione ai sistemi OT ovvero quelli che controllano direttamente le linee di produzione e i processi industriali. Secondo gli esperti, anche un’infrastruttura apparentemente “air-gapped”, ovvero separata dal “resto del mondo”, può essere vulnerabile se non gestita in modo integrato rispetto alle reti IT.

Come spiega Jen Sovada, general manager di Claroty, “bisogna considerare che i sistemi che gestiscono il ciclo di vita delle armi nucleari – progettazione, produzione, logistica, smaltimento – sono interconnessi. Movimenti laterali potrebbero compromettere controllori logici programmabili (PLC), robot industriali o sistemi SCADA responsabili del controllo qualità e della gestione energetica”.

Il nodo strutturale: la convergenza IT/OT e la sfida del “zero trust”

L’incidente di Kansas City evidenzia una falla sistemica in tante infrastrutture pubbliche: la mancanza di integrazione tra le strategie di sicurezza IT e OT. Sebbene la Casa Bianca e la CISA abbiano promosso negli ultimi anni un’adozione massiva del modello zero trust nei sistemi IT, l’estensione di questi principi alle reti operative è ancora in ritardo.

Anche se non vi sono prove di accesso a informazioni strettamente riservate, i dati sottratti potrebbero avere valore strategico. Il materiale esfiltrato può rivelare informazioni cruciali sulle capacità produttive, sui componenti adoperati, sui fluissi di lavoro e sulla struttura della supply chain.

Se l’attacco fosse effettivamente opera di un gruppo criminale finanziato da uno Stato, non è da escludere che le informazioni sottratte siano state consegnate a entità centrali straniere, replicando dinamiche già viste in precedenti episodi di cyber-spionaggio.