Oracle ha rilasciato questa settimana il suo aggiornamento critico di sicurezza — il Critical Security Patch Update (CSPU) — che include 245 nuove correzioni per software on-premises supportati, interessando prodotti quali Enterprise Manager, JD Edwards, Fusion Middleware, MySQL e PeopleSoft. L'iniziativa si inserisce in una strategia di risposta più rapida alle vulnerabilità, affiancando il tradizionale ciclo trimestrale di aggiornamenti.
La portata dell'intervento supera la semplice contabilità delle patch. Il dato che preoccupa gli analisti non è il volume complessivo, ma la natura delle falle individuate: decine di vulnerabilità raggiungibili da remoto senza necessità di autenticazione, distribuite su componenti infrastrutturali che fungono da fondamenta per interi ecosistemi applicativi aziendali. In gioco vi sono sistemi HR, finanziari e di gestione universitaria utilizzati da migliaia di organizzazioni a livello globale.
Sanchit Vir Gogia, chief analyst di Greyhound Research, ha sintetizzato il problema con precisione chirurgica: "La figura da tenere d'occhio non sono le 245 patch, ma dove atterrano. Di queste, 106 riguardano Fusion Middleware e 53 sono raggiungibili da remoto senza autenticazione. Non si tratta di igiene delle patch. È un problema del piano di controllo."
Le falle più gravi non coincidono necessariamente con i punteggi di severità più elevati. WebLogic Server e Oracle Coherence presentano vulnerabilità classificate CVSS 10.0 — il punteggio massimo — entrambe sfruttabili da remoto senza credenziali. Chris Doyle, responsabile della sicurezza e compliance di JupiterOne, ha evidenziato come Coherence rappresenti un punto critico trasversale: la sua compromissione non riguarda un singolo sistema, ma funge da leva per accedere a tutto quanto vi dipende. WebLogic, storicamente nel mirino di campagne ransomware e cryptomining, offre agli attaccanti esattamente il punto d'appoggio che cercano.
La vulnerabilità che desta maggiore urgenza operativa è la CVE-2026-35273, relativa a PeopleSoft PeopleTools. Oracle ha confermato che questa falla era già attivamente sfruttata prima ancora della distribuzione della patch. Flavio Villanustre, CISO di LexisNexis Risk Solutions, l'ha definita "un caso di esecuzione remota di codice già sfruttato in the wild, che richiede rimedio immediato". PeopleSoft gestisce sistemi HR, finanziari e accademici: obiettivi prediletti degli operatori ransomware proprio per la loro centralità nei processi organizzativi.
Un ulteriore livello di complessità riguarda Fusion Middleware e la sua prossima fine del supporto. Diversi prodotti della suite raggiungeranno l'end-of-life entro fine anno, con supporto esteso disponibile fino a dicembre 2027 a fronte di costi aggiuntivi. Le organizzazioni ancora su questa piattaforma si trovano a dover applicare patch su un prodotto fortemente personalizzato — il che rallenta i tempi — mentre pianificano migrazioni che non possono essere indefinitamente rinviate. È precisamente questa finestra tra disponibilità e applicazione della patch a rappresentare il momento di massima esposizione.
Gogia ha smontato l'argomento dell'"attesa delle prove": "Una volta pubblicato un advisory, gli attaccanti lo leggono, invertono la correzione, scansionano gli ambienti esposti e gareggiano con i clienti ancora in attesa di una finestra di manutenzione. Attendere prove pubbliche di sfruttamento è la strategia di patching più costosa disponibile."
Il quadro che emerge solleva interrogativi strutturali sulla gestione del rischio nelle grandi organizzazioni: quanto pesa, nelle decisioni di upgrade, la complessità dei sistemi legacy rispetto alla reale esposizione alle minacce? E fino a che punto le aziende sono disposte a pagare il costo — in termini sia economici che operativi — di un ritardo che, come dimostra questa tornata di patch, può trasformarsi rapidamente in un costo molto più elevato.