DeafNews
// 2 ZERO-DAY · 2 CVE · 1 EXPLOIT NELLE ULTIME 24H
Cybersecurity

ATEN Unizon: bug autenticato cancella file, CVSS 5.5 sottostima il rischio

Published: Updated: By DeafSuite team 7 min read Cybersecurity
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
Directory traversal in uploadSSL di ATEN Unizon: attaccante autenticato cancella file arbitrari. Il CVSS 5.5 nasconde rischi operativi reali per la business continuity.

Il 24 giugno 2026 Trend Micro Zero Day Initiative ha reso pubblica l'advisory ZDI-26-379 su una vulnerabilità in ATEN Unizon che permette a un attaccante remoto autenticato di eliminare file arbitrari e causare denial of service. Il CVE assegnato è il 2026-9775, con punteggio CVSS 3.0 di 5.5 — classificazione MEDIUM che, sulla carta, non suona l'allarme. Per gli amministratori di sistema che gestiscono infrastrutture critiche, però, la storia è diversa: quando il file deletion colpisce componenti essenziali, la formula di punteggio sconta troppo l'impatto reale.

Punti chiave
  • La vulnerabilità ZDI-26-379 (CVE-2026-9775) risiede nel metodo uploadSSL di ATEN Unizon, dove percorsi utente non sanitizzati consentono directory traversal e cancellazione arbitraria di file
  • L'exploit richiede autenticazione: l'attaccante deve disporre di credenziali valide, ma una volta dentro l'impatto su disponibilità è alto (A:H nel vettore CVSS)
  • Il punteggio CVSS 3.0 è 5.5 MEDIUM: il vettore AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H mostra come il requisito di privilegi elevati abbassi l'integrità (I:L) ma non l'availability
  • ATEN ha rilasciato una patch; la vulnerabilità è stata segnalata il 13 marzo 2026 e pubblicata dopo 103 giorni di coordinazione responsabile

Il meccanismo: come uploadSSL cede al directory traversal

La falla è nel metodo uploadSSL del prodotto ATEN Unizon. Secondo l'advisory ZDI, "the specific flaw exists within the uploadSSL method. The issue results from the lack of proper validation of a user-supplied path prior to using it in file operations". La mancata validazione consente a un attaccante di iniettare sequenze di directory traversal — classiche costrutti come ../ o varianti — che bypassano le restrizioni di accesso ai file.

Il risultato è un'operazione di file deletion arbitraria su file di cui l'utente autenticato non dovrebbe avere visibilità. La classificazione CWE-22, "Improper Limitation of a Pathname to a Restricted Directory", conferma la natura strutturale del difetto: non è un errore di configurazione o una svista occasionale, ma un'assenza di sanificazione del percorso a livello di codice.

"This vulnerability allows remote attackers to delete arbitrary files on affected installations of ATEN Unizon. Authentication is required to exploit this vulnerability." — ZDI Advisory ZDI-26-379

Il CVSS 5.5 e il paradosso dell'impatto operativo

Secondo il record CVE ufficiale, la vulnerabilità ha punteggio 5.5 con vettore CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H. Decodificando: attacco remoto (AV:N), complessità bassa (AC:L), privilegi elevati richiesti (PR:H), nessuna interazione utente (UI:N), scope invariato (S:U), nessun impatto su confidenzialità (C:N), impatto basso su integrità (I:L), impatto alto su disponibilità (A:H).

Il problema è nella matematica del punteggio. Il requisito di autenticazione (PR:H) abbassa significativamente il valore complessivo, compressendo l'integrità a "bassa" nonostante il file deletion arbitrario. Ma nella pratica operativa, se l'account compromesso è un amministratore o se le credenziali sono state rubate, l'attaccante può cancellare file di sistema critici — binari essenziali, database, configurazioni — con effetti di denial of service che il CVSS etichetta come A:H ma non traduce in gravità complessiva elevata.

La discrepanza è nota agli analisti di risk management: il framework CVSS v3.0 pesa l'accesso come prerequisito più dell'effetto. In ambienti enterprise dove ATEN Unizon gestisce console remote e infrastrutture di controllo, un'interruzione del servizio per file deletion ha costi di business continuity che il numero 5.5 non comunica ai decisori non tecnici.

La timeline di coordinazione e la patch ATEN

La vulnerabilità è stata segnalata ad ATEN il 13 marzo 2026. Dopo 103 giorni di coordinazione responsabile, ZDI ha pubblicato l'advisory il 24 giugno 2026 con rilascio coordinato. ATEN ha emesso un aggiornamento correttivo: "ATEN has issued an update to correct this vulnerability", si legge nell'advisory, anche se le versioni specifiche interessate e il percorso esatto della patch non risultano dettagliati nel dossier disponibile.

Il precedente identificativo interno ZDI era ZDI-CAN-28503, tracciato nel record CVE come segnale del percorso di disclosure. La scelta di pubblicazione coordinata — e non di divulgazione immediata — indica che il vendor ha risposto entro la finestra standard di 120 giorni, anche se il dossier non specifica le date intermedie di risposta o rilascio di patch preliminari.

Cosa fare adesso

Per gli amministratori che gestiscono deployment ATEN Unizon, le azioni documentate dalle fonti sono quattro:

  • Verificare la presenza di installazioni ATEN Unizon nell'inventario di sistema e mappare le istanze esposte alla rete
  • Applicare l'aggiornamento correttivo rilasciato da ATEN per la vulnerabilità ZDI-26-379
  • Riassumere che l'exploit richiede autenticazione: valutare la protezione delle credenziali di accesso come controllo accessorio alla patch
  • Monitorare i log di accesso al metodo uploadSSL per identificare richieste anomale con pattern di directory traversal

Il dossier non specifica la natura esatta dell'aggiornamento (minor release, hotfix, cambio di versione major) né fornisce un URL diretto alla patch. Le organizzazioni dovranno consultare il portale di supporto ATEN con il riferimento CVE-2026-9775.

L'analisi redazionale: quando il numero non basta

Il caso ZDI-26-379 esemplifica un fallimento sistematico della comunicazione del rischio: il CVSS è uno strumento di triage, non di storytelling operativo. Un punteggio MEDIUM di 5.5 può finire in fondo alle liste di prioritizzazione dei CISO, specialmente in estate quando i team di sicurezza sono sotto pressione per patch multiple. Eppure, la cancellazione arbitraria di file in un sistema di gestione remota come Unizon può equivalere a un outage completo se colpisce i binari del servizio.

Il vettore CVSS mostra A:H — availability high — ma il peso del requisito PR:H lo diluisce. Per gli operatori, la lezione è che la lettura dei punteggi deve essere contestuale: un 5.5 in un prodotto di gestione infrastruttura ha implicazioni diverse da un 5.5 in un'applicazione desktop isolata. La formula non distingue, e chi legge deve saperlo.

Restano interrogativi aperti. Le versioni specifiche affette non sono elencate nel brief. Non emerge se la vulnerabilità sia stata osservata in ambiente reale o se esista codice di exploit pubblico. Il percorso esatto della sanificazione mancante — quale validazione è assente, se controlli su .., canonicalizzazione del percorso, o whitelist di directory — non è dettagliato. Questi limiti rendono difficile una valutazione del risiduo post-patch senza test diretti.

Per il momento, la fonte conferma patch disponibile, vettore noto, impatto documentato. Il resto è lavoro per i difensori di rete.

Letture correlate

  • Synology MailPlus: tre CVE critiche, 2.100+ server esposti
  • PTC Windchill: prima exploitation in-the-wild di un sistema PLM
  • Adobe Reader: patch ora per CVE-2026-27278, RCE via PDF

Fonti

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Fonti e riferimenti
  1. zerodayinitiative.com
  2. cve.org
  3. trendmicro.com