In sintesi
L’ACN (Agenzia per la Cybersicurezza Nazionale), tramite il CSIRT Italia, ha diramato un allarme (Alert AL08/260608/CSIRT-ITA) riguardante una vulnerabilità di sicurezza classificata con gravità “alta” che interessa strongSwan, un ampiamente diffuso software open-source impiegato per la realizzazione di connessioni VPN (Virtual Private Network). Questa scoperta mette in evidenza un rischio significativo per le organizzazioni che fanno affidamento su tale tecnologia per la protezione delle proprie comunicazioni e l’accesso remoto sicuro.
La vulnerabilità, identificata con il codice CVE-2026-47895, qualora fosse sfruttata da un utente remoto malintenzionato, potrebbe avere conseguenze gravi. Le tipologie di attacco possibili includono la Remote Code Execution (RCE) e il Denial of Service (DoS). Ciò significa che un attaccante potrebbe non solo compromettere la disponibilità del servizio VPN, ma anche, in taluni casi, eseguire codice arbitrario sui sistemi interessati. Le versioni di strongSwan affette vanno dalla 4.3.3 alla 6.0.7 (esclusa). L’impatto sistemico di questa vulnerabilità è stato classificato come “Alto” (66.41), sottolineando la serietà della situazione. L’allerta è stata pubblicata dall’ACN/CSIRT Italia in data 08-06-2026.
Per le organizzazioni che gestiscono dati personali, l’exploit di una tale vulnerabilità in un sistema critico come una VPN potrebbe configurarsi come una grave violazione della sicurezza dei dati, con conseguenze dirette sulla riservatezza, integrità e disponibilità delle informazioni. Questo pone seri interrogativi sulla conformità al GDPR (Regolamento Generale sulla Protezione dei Dati), che impone ai titolari e responsabili del trattamento di adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza commisurato al rischio. La potenziale esecuzione di codice arbitrario può infatti portare all’accesso non autorizzato ai dati, alla loro alterazione o distruzione, rendendo indispensabile una risposta tempestiva. Per le entità rientranti nel perimetro di applicazione della direttiva NIS2 (o le normative nazionali che la recepiscono), la gestione proattiva e tempestiva di vulnerabilità di questa gravità in sistemi essenziali come le VPN è un requisito fondamentale per la resilienza operativa e la sicurezza delle reti e dei sistemi informativi. Allo stesso modo, le organizzazioni certificate ISO 27001 devono dimostrare un processo robusto per la gestione delle vulnerabilità e la mitigazione dei rischi associati, al fine di mantenere la validità del loro Sistema di Gestione della Sicurezza delle Informazioni (SGSI).
In linea con le dichiarazioni del vendor e le raccomandazioni dell’ACN/CSIRT Italia, l’azione di mitigazione primaria e più urgente è l’aggiornamento del prodotto vulnerabile. Si raccomanda vivamente di seguire le indicazioni precise fornite nel bollettino di sicurezza ufficiale del vendor, come riportato nella sezione Riferimenti dell’alert ACN. È fondamentale che le organizzazioni identifichino tempestivamente tutte le istanze di strongSwan in uso e ne verifichino la versione, procedendo immediatamente all’applicazione delle patch disponibili per prevenire potenziali attacchi e garantire la continuità e la sicurezza dei servizi.