DeafNews
// 4 ZERO-DAY · 5 CVE · 3 EXPLOIT NELLE ULTIME 24H
Cybersecurity ZERO-DAY

Fuji Electric Tellus: bug kernel consente escalation a SYSTEM

Published: Updated: By DeafSuite team 6 min read Cybersecurity
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
La vulnerabilità CVE-2026-8108 nel driver pcid64 di Fuji Electric Tellus consente escalation locale a SYSTEM tramite Registry APIs con permessi eccessivi. CVSS 7.8.

Il 24 giugno 2026 la Zero Day Initiative ha reso pubblica l'advisory ZDI-26-367: una vulnerabilità nel driver pcid64 di Fuji Electric Tellus che consente escalation di privilegi locali fino al livello SYSTEM. Il difetto, classificato CVE-2026-8108 con punteggio CVSS 7.8, era stato segnalato al vendor il 10 settembre 2025. Fuji Electric ha emesso un aggiornamento correttivo.

Punti chiave
  • Il driver pcid64 installato da Fuji Electric Tellus concede a tutti gli utenti permessi di lettura e scrittura sul kernel, esponendo funzioni pericolose tramite le Registry APIs
  • Un attaccante con accesso locale e privilegi limitati può scalare a SYSTEM ed eseguire codice arbitrario, senza interazione utente (CVSS v3.1: 7.8 HIGH, vettore AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • La vulnerabilità colpisce il settore Critical Manufacturing; CISA associa la falla alla CWE-749 "Exposed Dangerous Method or Function"
  • I dettagli tecnici esatti delle Registry APIs esposte non sono pubblici; le versioni specifiche affette non sono state divulgate

Il contesto: un bug di nove mesi nel ciclo disclosure

La vulnerabilità CVE-2026-8108 si colloca in un arco temporale di disclosure coordinata tipico del settore ICS. Il ricercatore Kim Myung-gyu, in rappresentanza di Trend Micro Zero Day Initiative, ha riportato la falla a CISA. La segnalazione al vendor Fuji Electric è avvenuta il 10 settembre 2025. Il rilascio coordinato dell'advisory è seguito il 24 giugno 2026, dopo circa nove mesi di gestione responsabile.

Questo lasso di tempo riflette la complessità del patching nei sistemi industriali, dove gli aggiornamenti devono bilanciare sicurezza e continuità operativa. Il settore Critical Manufacturing identificato da CISA è particolarmente sensibile a queste dinamiche: linee di produzione che dipendono da HMI (Human-Machine Interface) come Tellus non tollerano interruzioni improvvise.

Come funziona l'attacco: dal driver ai privilegi SYSTEM

La falla risiede nel driver pcid64, componente kernel aggiunto durante l'installazione di Fuji Electric Tellus. Come documenta il record ufficiale CVE-2026-8108: "The installation of Fuji Tellus adds a driver to the kernel which grants all users read and write permissions." Questa configurazione espone funzioni pericolose attraverso le Registry APIs.

Secondo l'advisory ZDI, "the specific flaw exists within the pcid64 driver. The issue results from exposed dangerous functions. An attacker can leverage this vulnerability to escalate privileges and execute arbitrary code in the context of SYSTEM." La condizione di partenza richiede capacità di esecuzione locale con privilegi ridotti: non è un attacco remoto, il vettore è AV:L (Attack Vector Local) nel calcolo CVSS.

L'assenza di interazione utente (UI:N) rende la catena di exploitation automatizzabile una volta ottenuto l'accesso iniziale. Il punteggio CVSS v3.1 di 7.8, con impatto triplo su confidenzialità, integrità e disponibilità (C:H/I:H/A:H), classifica la vulnerabilità come HIGH.

"Successful exploitation of this vulnerability could allow an attacker to elevate privileges from user to system, which may then enable the attacker to cause a temporary denial of service, open files, or delete files." — CISA ICS Advisory ICSA-26-132-01

Perché è importante: il rischio nel settore industrial

La classificazione CWE-749 "Exposed Dangerous Method or Function" indica un pattern di programmazione ricorrente e particolarmente insidioso nei driver kernel. Quando un componente di basso livello espone primitive potenti senza adeguati controlli di accesso, l'intero modello di sicurezza del sistema operativo viene compromesso.

Nel caso di Fuji Tellus, la concessione di permessi read/write universali sul driver kernel elimina la separazione tra spazi utente e spazio kernel. Questa architettura, documentata nel record CVE-2026-8108, trasforma qualsiasi compromissione iniziale limitata in un controllo totale della macchina.

Il settore Critical Manufacturing, indicato da CISA come target primario, presenta caratteristiche che amplificano il rischio. I sistemi HMI spesso eseguono su piattaforme Windows embedded con cicli di aggiornamento lunghi. La presenza di operatori con accesso fisico o remoto limitato, combinata con la possibilità di escalation silenziosa, crea una superficie di attacco estesa.

La natura locale del vettore (AV:L) non deve indurre a sottovalutare la minaccia. Negli ambienti industriali, l'accesso iniziale può derivare da compromissioni di workstation di ingegneria, dispositivi USB, o catene di supply chain. Una volta stabilito un foothold, la vulnerabilità CVE-2026-8108 consente il completamento dell'obiettivo senza ulteriori interazioni.

Cosa fare adesso

Contattare Fuji Electric per verificare la disponibilità dell'aggiornamento correttivo emesso per questa vulnerabilità. Consultare l'advisory CISA ICSA-26-132-01 per le informazioni relative al settore Critical Manufacturing.

Verificare la presenza del driver pcid64 nei sistemi che eseguono Fuji Electric Tellus. Identificare eventuali installazioni con permessi eccessivi sul componente kernel.

Monitorare i log di accesso per anomalie nell'utilizzo delle Registry APIs da parte di processi non autorizzati. Applicare il principio del minimo privilegio agli account con accesso locale ai sistemi HMI.

Domande frequenti

Può la vulnerabilità essere sfruttata da remoto?

No. Il vettore di attacco è locale (AV:L nel CVSS v3.1). L'attaccante deve già disporre della capacità di eseguire codice sul sistema target con privilegi limitati.

Quali conseguenze sono documentate oltre all'escalation a SYSTEM?

Secondo l'advisory CISA, l'escalation di privilegi può abilitare l'attaccante a causare una negazione di servizio temporanea, aprire file o cancellare file.

È disponibile una patch?

Sì. L'advisory ZDI-26-367 conferma che Fuji Electric ha emesso un aggiornamento per correggere questa vulnerabilità.

Quali versioni di Fuji Electric Tellus sono affette?

Le versioni specifiche non sono state divulgate nella documentazione disponibile. È necessario contattare direttamente Fuji Electric per la mappatura delle versioni interessate.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Letture correlate

  • Path traversal in Allegra: CVE-2026-11442 espone file arbitrari
  • TTP-chain validation: dimostrare l'exploit senza exploit
  • Microsoft conferma zero-day RoguePlanet: Defender diventa vettore d'attacco

Fonti

Fonti e riferimenti
  1. zerodayinitiative.com
  2. cve.org
  3. cisa.gov
  4. trendmicro.com