Delta Electronics ha rilasciato un aggiornamento correttivo per DTM Soft, software di ingegneria per dispositivi di automazione industriale, dopo la disclosure coordinata del 15 luglio 2026 della vulnerabilità ZDI-26-404 (CVE-2026-12578). La falla consente esecuzione arbitraria di codice nel contesto del processo dell'applicazione tramite la deserializzazione non validata di file BIN di progetto. L'interazione utente è condizione necessaria: l'apertura di un file malevolo o la visita di una pagina web che ne induca il download attiva la catena di exploitation.
- La vulnerabilità CVE-2026-12578 nel parsing di file BIN di Delta Electronics DTM Soft permette esecuzione remota di codice con CVSS 4.0 pari a 8.4 (HIGH).
- La flaw è classificata CWE-502 (Deserialization of Untrusted Data) e richiede interazione utente: apertura file o visita pagina malevola.
- Il report al vendor è stato effettuato il 22 gennaio 2026; la release coordinata dell'advisory è avvenuta il 15 luglio 2026, con un intervallo di circa 176 giorni.
- CISA conferma che non è nota exploitation pubblica specifica al momento e classifica il settore interessato come Critical Manufacturing.
La meccanica della deserializzazione armata nei file di progetto
La specifica falla risiede nel parsing di file BIN, formato standard di progetto per DTM Soft. Il difetto deriva dalla mancanza di validazione adeguata dei dati forniti dall'utente, che consente la deserializzazione di dati non attendibili. Un attaccante può sfruttare questa condizione per eseguire codice nel contesto del processo corrente dell'applicazione.
Il vettore di attacco è intrinsecamente legato al flusso di lavoro degli ingegneri di automazione: i file BIN sono documenti di progetto che circolano quotidianamente via posta elettronica, servizi di storage cloud o supporti rimovibili. La natura apparentemente innocua di questi file li rende veicoli ideali per campagne di ingegneria sociale mirate a operatori OT che non attivano le stesse protezioni riservate a eseguibili o macro Office.
"This vulnerability allows remote attackers to execute arbitrary code on affected installations of Delta Electronics DTM Soft. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file." — Advisory ZDI-26-404
Dal report al vendor alla disclosure: la timeline di 176 giorni
La vulnerabilità è stata riportata a Delta Electronics il 22 gennaio 2026 da kimiya, ricercatore di Trend Micro Zero Day Initiative. Il periodo di coordinazione tra vendor e programma di bug bounty è durato circa 176 giorni, con la release pubblica fissata al 15 luglio 2026. Delta Electronics ha emesso aggiornamento correttivo, sebbene il dossier non specifichi la data esatta di pubblicazione della patch né le versioni interessate con precisione numerica.
CISA ha replicato l'advisory con identificatore ICSA-26-176-06, integrando il contesto di infrastruttura critica. L'agenzia statunitense assegna alla vulnerabilità un CVSS 3.1 di 7.8 (HIGH) e un CVSS 4.0 di 8.4 (HIGH), entrambi convergenti sulla severità elevata seppur con metriche di calcolo differenti. La differenza tra i due punteggi non indica conflitto tra fonti: riflette l'evoluzione dello standard CVSS, dove la versione 4.0 ridefinisce la granularità dei vettori di attacco.
Perché i file di progetto industriale sono un filone d'attacco ricorrente
La weaponizzazione di file di progetto non è anomaly del settore OT. L'episodio rientra in un pattern consolidato: documenti CAD alterati, progetti PLC con ladder logic malevolo, configurazioni HMI modificate hanno già costituito vettori in campagne mirate a ambienti manufacturing. La caratteristica comune è l'abuso della fiducia implicita che gli operatori tecnici ripongono nei formati nativi delle piattaforme di engineering.
DTM Soft rappresenta un anello specifico della catena: consente la configurazione di dispositivi Delta Electronics in ambienti di controllo industriale. La sua coesistenza con sistemi di controllo OT espone a rischi di lateral movement qualora l'engineering workstation venga compromessa. CISA classifica esplicitamente il settore come Critical Manufacturing, indicando la rilevanza strategica dell'asset.
La raccomandazione CISA di isolamento di rete e utilizzo di VPN per accessi remoti assume particolare peso in questo scenario: l'assenza di exploitation pubblica nota non elimina il rischio, ma sposta la finestra temporale verso la prevenzione strutturale piuttosto che la risposta a incidenti in corso.
Cosa fare adesso
- Applicare l'aggiornamento correttivo emesso da Delta Electronics per DTM Soft, verificando la disponibilità nella sezione download del vendor.
- Isolare le workstation di engineering OT dalla rete aziendale generale e da internet, limitando l'accesso remoto esclusivamente tramite connessioni VPN controllate.
- Controllare l'origine dei file BIN di progetto prima dell'apertura, evitando il download da pagine web non verificate e la riattivazione di allegati email sospetti.
- Monitorare la presenza di processi DTM Soft anomali nelle engineering station, segnalando esecuzioni con argomenti di comando non previsti o caricamenti di file da percorsi insoliti.
Cosa il dossier non chiarisce
Restano non specificati nel brief i limiti operativi che condizionano la risposta: le versioni esatte di DTM Soft interessate non emergono dalle fonti primarie, né è documentata la data di rilascio effettivo della patch. Il formato BIN e la catena di gadget di deserializzazione impiegata non sono tecnicamente dettagliati, impedendo la costruzione di firme di rilevamento specifiche. La dimensione della superficie di attacco — numero di installazioni attive di DTM Soft in ambienti produttivi — non è stimata dalle fonti. Infine, il dossier non documenta se il fix sia retroattivo per release precedenti o vincolato a upgrade di major version, elemento critico per la pianificazione della manutenzione in sistemi OT con cicli di validazione lunghi.
La mancanza di exploitation pubblica nota, confermata da CISA, configura uno scenario di rischio potenziale piuttosto che attivo. La finestra di prevenzione resta aperta, ma la semplicità del vettore — un file di progetto aperto in buona fede — richiede che l'attenzione si sposti dalla complessità tecnica dell'attacco alla disciplina del flusso documentale in ambienti che ancora privilegiano la funzionalità rispetto alla verifica di integrità.
Fonti
- http://www.zerodayinitiative.com/advisories/ZDI-26-404/
- https://www.cve.org/CVERecord?id=CVE-2026-12578
- http://www.zerodayinitiative.com/advisories/upcoming/
- https://www.cisa.gov/news-events/ics-advisories/icsa-26-176-06
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.