Negli ultimi anni la sicurezza dei software di compressione file è diventata sempre più centrale per la protezione dei dati e dei sistemi aziendali. A luglio 2025 è stata scoperta una grave vulnerabilità in 7-Zip, noto software open source per la gestione di archivi compressi, che mette a rischio la stabilità dei sistemi tramite la semplice apertura di un archivio RAR5 malformato. Vediamo nei dettagli di cosa si tratta, chi è interessato, quali rischi reali comporta e, soprattutto, come proteggersi efficacemente.
Dettagli della vulnerabilità
Questa vulnerabilità, tracciata con il codice CVE-2025-53816 e identificata dal ricercatore Jaroslav Lobačevski, interessa il decoder RAR5 di 7-Zip. Il difetto consiste in un heap buffer overflow che si attiva quando il software tenta di riparare sezioni corrotte di archivi RAR5 riempiendole di zeri. Un errore nel calcolo della memoria da scrivere permette però di oltrepassare i limiti previsti, corrompendo porzioni di memoria e causando il crash dell’applicazione o del sistema operativo stesso.
Il componente coinvolto è NCompress::NRar5::CDecoder, presente almeno nella versione 24.09 di 7-Zip. La vulnerabilità dà origine a una situazione di Denial-of-Service (DoS): attraverso un file RAR5 appositamente costruito, un attaccante può far crashare il software ed eventualmente tutta la macchina.
Quali versioni sono vulnerabili?
Tutte le versioni di 7-Zip precedenti alla 25.00 sono vulnerabili. La falla è stata corretta a inizio luglio 2025 con il rilascio della versione 25.00, che include anche miglioramenti prestazionali e nell’uso delle CPU multithread.
| Versione 7-Zip | Stato |
|---|---|
| ≤ 24.09 | Vulnerabile |
| ≥ 25.00 | Sicura |
Attenzione: 7-Zip non dispone di aggiornamento automatico, quindi è indispensabile aggiornare manualmente appena disponibile una patch.
Chi è a rischio?
- Privati e aziende che usano 7-Zip per la gestione di archivi, specie se scambiano spesso file da fonti esterne.
- Sistemi Windows dove 7-Zip è integrato nei flussi di lavoro automatizzati, ad esempio per l’elaborazione di file inviati da utenti.
- Utenti Linux e macOS se usano build affette dal bug nella gestione dei RAR5.
I rischi si amplificano negli ambienti dove file compressi arrivano da terze parti, utenze anonime o fonti sconosciute (es. piattaforme di upload, sistemi di ticketing, mail gateway).
Rischi concreti e scenari di attacco
Gli attaccanti possono:
- Mandare via e-mail un archivio RAR5 malformato a un ufficio o server.
- Caricare un file su una piattaforma online che processi dati compressi con 7-Zip non aggiornato.
- Innescare crash ripetuti di servizi e processi automatizzati, creando disagi, perdita di produttività o facilitando attività malevole.
Il crash può essere usato come diversivo da gruppi ransomware o broker di accesso iniziale, per distrarre i team IT prima di un attacco più complesso.
Suggerimenti e misure di mitigazione
1. Aggiorna subito a 7-Zip 25.00
La contromisura più efficace è scaricare la versione aggiornata dal sito ufficiale. È bene verificare la presenza di aggiornamenti periodicamente per tutti gli endpoint aziendali dove 7-Zip è installato.
2. Disabilita la gestione automatica di archivi da fonti sconosciute
- Evita di aprire in automatico file compressi provenienti da e-mail, siti o utenze non verificate.
- Segregare, quando possibile, il trattamento di archivi provenienti dall’esterno tramite macchine virtuali o sandbox.
3. Implementa sistemi di scansione e monitoraggio
- Utilizza soluzioni di EDR/XDR per il monitoraggio dei crash o comportamenti anomali legati a 7-Zip.
- Abilita log dettagliati sui server e workstation che gestiscono file compressi.
4. Forma il personale
Fai formazione a utenti e operatori IT sull’importanza di:
- Scaricare e aprire file compressi solo da fonti attendibili.
- Segnalare tempestivamente crash o blocchi sospetti del software di archiviazione.
5. Migliora la segmentazione delle pipeline di gestione file
- Isola i componenti infrastrutturali che processano upload di archivi dagli altri sistemi aziendali.
- Preferisci l’analisi automatica dei nuovi archivi tramite motori antivirus e sandbox prima dell’estrazione effettiva dei file.
6. Valuta alternative temporanee
Se non è possibile aggiornare subito 7-Zip:
- Disabilita temporaneamente il supporto ai RAR5, se l’uso aziendale lo permette.
- Usa formati alternativi (ZIP, TAR) per la condivisione di file compressi fino all’aggiornamento.
Attenzione ad altre vulnerabilità collegate
Vale la pena ricordare che nel 2025 sono state scoperte altre falle importanti in 7-Zip, tra cui la CVE-2025-0411 che permette di bypassare protezioni di sicurezza fondamentali su Windows. L’assenza di aggiornamento automatico rende la manutenzione di questo software particolarmente critica.
Domande frequenti sulla vulnerabilità
È possibile che un attacco tramite questa vulnerabilità porti all’esecuzione di codice arbitrario?
Ad oggi non ci sono elementi che suggeriscono tale scenario per CVE-2025-53816. Tuttavia, la compromissione della memoria comporta sempre rischi ulteriori, specie in combinazione con altre vulnerabilità.
Quali sistemi operativi sono coinvolti?
La vulnerabilità riguarda principalmente le versioni Windows, ma all’occorrenza anche build per Linux/macOS possono essere vulnerabili se usano i pacchetti difettosi.
Esistono PoC pubblici e il rischio di exploit è elevato?
Sì, sono già disponibili Proof-of-Concept online che consentono di generare archivi RAR5 capaci di sfruttare la falla. Il rischio di exploit è quindi da considerarsi alto finché non si aggiorna.
Checklist per la sicurezza
- [ ] Scarica ed installa 7-Zip 25.00 su tutte le postazioni.
- [ ] Esegui un audit dei software di archiviazione presenti nei tuoi sistemi.
- [ ] Aggiorna le linee guida interne per la gestione degli archivi provenienti dall’esterno.
- [ ] Verifica l’esposizione di sistemi e servizi pubblici alla ricezione di file compressi.
- [ ] Abilita monitoraggio avanzato e logging per le attività legate ai file compressi.
La vulnerabilità CVE-2025-53816 in 7-Zip dimostra ancora una volta come i software apparentemente innocui possono diventare vettore di attacco per criminali informatici, anche solo tramite un file compresso. Un approccio proattivo, basato su aggiornamenti rapidi, segmentazione architetturale e attenzione costante ai comportamenti anomali, è la forma di difesa più efficace contro queste minacce.
In questo caso non basta aspettare: aggiorna subito, monitora continuamente e forma i tuoi utenti. Un piccolo intervento oggi può prevenire incidenti e disservizi anche gravi domani.
Fonte: https://cybersecuritynews.com/7-zip-vulnerability-crash-system
