CVE-2026-9779: RCE in ATEN Unizon via firma crittografica fallata

ATEN Unizon presenta una falla di sicurezza nel meccanismo di aggiornamento software che consente a utenti autenticati di eseguire codice arbitrario con privilegi di sistema. La vulnerabilità, catalogata come CVE-2026-9779 e identificata internamente da Trend Micro Zero Day Initiative con il codice ZDI-26-383 (ZDI-CAN-28590), è stata resa pubblica il 24 giugno 2026 dopo 103 giorni di coordinazione disclosure con il vendor. Il punteggio CVSS è 7.2, classificato HIGH.

Il meccanismo: quando la verifica firma diventa il buco

Il cuore tecnico della vulnerabilità si trova nel metodo updateWar, componente responsabile della gestione degli aggiornamenti software in ATEN Unizon. Questo metodo invoca doCryptoHugeFileToFile per validare la firma crittografica dei pacchetti WAR (Web Application Archive) prima del loro caricamento.

La verifica fallisce non per un algoritmo debole, ma per un'implementazione scorretta del controllo. La classificazione CWE-347 — Improper Verification of Cryptographic Signature — indica esattamente questo scenario: la firma criptografica è presente, il meccanismo di verifica esiste, ma l'esecuzione del controllo contiene un errore che ne svuota l'efficacia. Il risultato è che un pacchetto con firma non valida, o potenzialmente manomesso, viene accettato dal sistema.

Questo genere di vulnerabilità è particolarmente insidiosa perché colpisce la catena di fiducia stessa: gli amministratori che distribuiscono aggiornamenti legittimi si affidano al meccanismo di verifica per garantire l'integrità del software. Quando questo meccanismo è difettoso, il vettore di attacco si nasconde dietro un'operazione apparentemente sicura.

L'impatto: SYSTEM con credenziali valide

Secondo l'advisory ZDI, la vulnerabilità consente a un attaccante remoto autenticato di eseguire codice arbitrario "nel contesto di SYSTEM". Questo livello di privilegio supera quello amministrativo standard e consente il controllo completo del sistema operativo sottostante, compresa la modifica di file di sistema, l'installazione di driver, la manipolazione di processi in esecuzione e la persistenza attraverso meccanismi di basso livello.

Il vettore CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H conferma la struttura del rischio: attacco remoto, bassa complessità, ma privilegi elevati richiesti. Il componente PR:H (Privileges Required: High) è il fattore mitigante principale — senza credenziali valide la falla non è sfruttabile. Tuttavia, per ambienti dove le credenziali di ATEN Unizon sono condivise, compromesse o gestite con policy deboli, questo requisito non costituisce una barriera efficace.

"An attacker can leverage this vulnerability to execute code in the context of SYSTEM." — ZDI Advisory ZDI-26-383

Il percorso di disclosure: 103 giorni di coordinamento

La timeline documentata mostra una disclosure standard di tipo coordinato: segnalazione al vendor il 13 marzo 2026, rilascio pubblico il 24 giugno 2026. Questo intervallo di 103 giorni rientra nelle finestre tipiche del processo ZDI, che prevede la divulgazione pubblica in assenza di rilascio tempestivo della correzione da parte del vendor.

ATEN ha risposto rilasciando un aggiornamento, come confermato esplicitamente nell'advisory: "ATEN has issued an update to correct this vulnerability." Il CVE Record ufficiale (Fonte 3) indica la presenza di un "vendor-provided URL", ma questo collegamento non risulta risolvibile nel materiale analizzato dalla redazione. Resta pertanto non verificato se il vendor abbia pubblicato un advisory indipendente con istruzioni di aggiornamento specifiche per i propri clienti.

Cosa fare adesso

• Verificare la versione installata di ATEN Unizon e confrontarla con l'eventuale advisory di aggiornamento pubblicato da ATEN, contattando direttamente il supporto tecnico del vendor se la documentazione pubblica non è disponibile
• Ruotare le credenziali di accesso ad ATEN Unizon in tutte le installazioni gestite, data la possibilità che account validi siano stati compromessi in ambienti dove la vulnerabilità era già nota a potenziali attaccanti
• Isolare le interfacce di gestione di ATEN Unizon da reti non attendibili, limitando l'esposizione del servizio a segmenti di rete con accesso strettamente controllato
• Monitorare i log di sistema per attività sospette correlate al metodo updateWar o a caricamenti di pacchetti WAR non autorizzati, segnalando anomalie al team di sicurezza

Perché questo caso segnala un pattern più ampio

La vulnerabilità ZDI-26-383 si inserisce in una categoria di falli architetturali che la redazione osserva con crescente frequenza: il trust inversion, dove il meccanismo progettato per garantire la sicurezza diviene esso stesso il percorso di compromissione. Non si tratta di un software senza controlli, ma di software con controlli formalmente presenti e sostanzialmente inefficaci.

Per i team che gestiscono infrastrutture di remote management — tipicamente soluzioni KVM-over-IP e piattaforme di gestione data center come ATEN Unizon — questo scenario è particolarmente problematico. Questi sistemi operano a livello di infrastruttura critica, con accesso diretto a console server, storage e componenti di rete. La loro compromissione non espone solo i dati, ma la capacità stessa di amministrare l'intero ambiente.

La natura del vettore — aggiornamento software con firma verificata male — rende inoltre difficile la rilevazione basata su indicatori tradizionali: il pacchetto malevolo potrebbe non presentare anomalie evidenti a livello di rete, essendo veicolato attraverso un canale legittimo.

Fonti

• http://www.zerodayinitiative.com/advisories/ZDI-26-383/
• http://www.zerodayinitiative.com/advisories/published/
• https://www.cve.org/CVERecord?id=CVE-2026-9779
• http://www.zerodayinitiative.com/advisories/upcoming/
• https://www.trendmicro.com/en_us/business/products/one-platform.html

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti