Italia & SvizzeraAggiornato ·
Il Notiziario di Cybersecurity
Sul filoPatch Tuesday Microsoft con zero-day attivi // Ondata di patch critiche multi-vendor // Zero-day SonicWall SMA 1000 in attacco // AsyncAPI compromessa nella supply chain npm
Patch Tuesday Microsoft con zero-day attiviZero-day
● In apertura — Zero-day

Patch Tuesday Microsoft con zero-day attivi

Microsoft ha rilasciato il suo aggiornamento mensile di luglio 2026 con un volume senza precedenti di correzioni, citato in varie fonti come 621, 622 o oltre 570 vulnerabilità, incluse più falle già sfruttate in attacco. Tra le aree colpite figurano SharePoint, RDP, Hyper-V, Active Directory Federation Services e altri componenti ampiamente distribuiti in ambienti aziendali e governativi.

Leggi tutto

La presenza di zero-day già attivi rende la finestra di rischio immediatamente concreta, soprattutto per le organizzazioni che gestiscono infrastrutture Windows esposte a internet o con privilegi elevati. CISA ha inoltre inserito diverse vulnerabilità Microsoft nel catalogo KEV, spingendo amministrazioni e aziende a dare priorità assoluta alla patching. L’ampiezza del rilascio aumenta anche la probabilità di errori di triage e di ritardi nell’applicazione delle mitigazioni. In pratica, questo Patch Tuesday non è solo grande: è un evento che altera la coda di lavoro dei team di sicurezza a livello globale.

Prodotto
Windows, SharePoint, RDP
Azione
patching prioritario
Impatto
rischio immediato
Dalla redazione
Ondata di patch critiche multi-vendorAdvisory
Advisory

Ondata di patch critiche multi-vendor

Oltre al Patch Tuesday di Microsoft, nella settimana sono emersi numerosi aggiornamenti di sicurezza per prodotti ad ampia diffusione come Chrome, Firefox, Adobe, VMware, Zoom, Citrix, Cisco, IBM WebSphere, Splunk e altri.

Leggi tutto

Google ha corretto più vulnerabilità in Chrome, incluse falle critiche e ad alta gravità, mentre Mozilla ha sistemato due bug critici già sfruttati attivamente. ACN e altre fonti hanno segnalato vulnerabilità in prodotto enterprise come Cisco RoomOS, IBM WebSphere, Splunk e Citrix, spesso con impatti su autenticazione, accesso a informazioni sensibili o scrittura arbitraria di file. Questo tipo di ondata di patch è rilevante perché colpisce gli strati software usati come porta d’ingresso, canale di collaborazione o componente di piattaforma. Le organizzazioni che ignorano i vendor secondari rischiano di avere superfici esposte anche se hanno già coperto i sistemi operativi principali. La lezione è che la remediation deve essere multi-vendor e coordinata, non limitata ai soli endpoint.

Prodotto
Chrome, Firefox, VMware
Gravità
critica, alta
Azione
aggiornare tutti i vendor
Impatto
accesso, file, dati
Zero-day SonicWall SMA 1000 in attaccoZero-day
Zero-day

Zero-day SonicWall SMA 1000 in attacco

SonicWall ha confermato lo sfruttamento attivo di due vulnerabilità zero-day che interessano gli appliance SMA 1000, costringendo i clienti ad aggiornare subito e a cercare segni di compromissione.

Leggi tutto

Le falle includono CVE-2026-15409, una SSRF critica che consente a un attaccante remoto non autenticato di forzare il dispositivo a effettuare richieste verso destinazioni arbitrarie, e CVE-2026-15410, una vulnerabilità di code injection post-autenticazione che può portare all’esecuzione di comandi sul sistema operativo. Le indicazioni di risposta sono severe: se compaiono IoC, SonicWall raccomanda il re-image degli appliance hardware o la ridistribuzione delle istanze virtuali, oltre al reset di password e token TOTP. La gravità è alta perché SMA 1000 viene spesso usato come punto d’accesso remoto per utenti e amministratori, quindi un compromesso può aprire la rete interna. La campagna è particolarmente preoccupante perché combina due vettori complementari, uno pre-auth e uno post-auth, ampliando le possibilità di exploit in scenari reali. Per i difensori, è una priorità di patching e di hunting nel breve termine.

CVE
CVE-2026-15409, 15410
Prodotto
SonicWall SMA 1000
Gravità
critica, alta
Azione
update, re-image, reset
AsyncAPI compromessa nella supply chain npmSupply chain
Supply chain

AsyncAPI compromessa nella supply chain npm

L’organizzazione AsyncAPI è stata compromessa attraverso GitHub Actions e ha finito per pubblicare versioni malevole di più pacchetti npm molto scaricati. Le versioni infette hanno introdotto un payload install-time e un codice capace di rubare credenziali, token, chiavi SSH, wallet crypto e segreti cloud, colpendo un ecosistema con oltre due milioni di download settimanali.

Leggi tutto

Microsoft ha descritto l’attacco come una compromissione della CI/CD sfruttata per distribuire malware attraverso il software fidato, evidenziando quanto la catena di build sia un punto di ingresso molto potente. L’evento è rilevante non solo per gli sviluppatori che usano quei pacchetti, ma per tutte le organizzazioni che trattano npm e i workflow automatizzati come canali affidabili. La combinazione di supply chain compromise, trust abuse e persistence del payload rende il caso un esempio classico di rischio sistemico. È anche un segnale forte che le dipendenze popolari restano un obiettivo primario per gli attaccanti.

Prodotto
pacchetti npm AsyncAPI
Azione
ruotare segreti, audit
Impatto
furto credenziali, malware
OAuth e device code sotto attaccoAutenticazione
Autenticazione

OAuth e device code sotto attacco

Le campagne di account takeover stanno evolvendo da semplice password spraying a manipolazione dei flussi OAuth e device code. Proofpoint e Microsoft hanno descritto come il client ID spoofing in Entra ID permetta di enumerare account o inferire lo stato di autenticazione senza generare un classico sign-in riuscito.

Leggi tutto

Un’altra ricerca ha mostrato un “confused deputy” in Google IdP tramite device code flow hijacking, con possibilità di trasferire sessioni e arrivare a takeover invisibili. Questi vettori sono molto importanti perché aggirano parte della telemetria tradizionale e sfruttano la logica dell’identity provider stesso. In parallelo, campagne come Forg365 e EvilTokens usano device code phishing e session theft per mantenere accessi persistenti a Microsoft 365. Il risultato è una minaccia che non dipende più solo da password deboli, ma da come i protocolli di autenticazione sono implementati e loggati.

Prodotto
Entra ID, Google IdP
Azione
monitorare OAuth e flow
Impatto
account takeover stealth
Shim UEFI vulnerabili minano Secure BootFirmware
Firmware

Shim UEFI vulnerabili minano Secure Boot

Ricercatori di ESET e Binarly hanno evidenziato che più vecchi shim UEFI firmati da Microsoft possono ancora essere usati per aggirare Secure Boot. Le vulnerabilità interessano bootloader e componenti di avvio che, pur essendo stati revocati o corretti, restano un rischio se ancora presenti nella catena di boot o in immagini di recovery.

Leggi tutto

Il problema è serio perché consente di compromettere la fiducia a livello firmware, prima che il sistema operativo possa applicare controlli di sicurezza. Fonti diverse collegano la scoperta a 11 shim vulnerabili e a più vulnerabilità in U-Boot, con impatti su router, dispositivi embedded e infrastrutture critiche. Questo amplia la minaccia oltre i PC: anche camere smart, controller e apparati di rete possono diventare vettori di persistenza stealth. La conseguenza è una revisione urgente delle baseline di secure boot, revoche e aggiornamenti firmware.

Prodotto
UEFI shim, U-Boot
Azione
revoche, update firmware
Impatto
bypass Secure Boot
Attacchi fermano logistica e produzione alimentareRansomware
Ransomware

Attacchi fermano logistica e produzione alimentare

Gli attacchi contro Nichirei in Giappone e fairlife, il business lattiero-caseario di Coca-Cola negli Stati Uniti, mostrano come la cyber risk possa tradursi rapidamente in stop produttivi.

Leggi tutto

Nichirei ha subito un attacco che ha bloccato logistica e spedizioni, mentre fairlife ha sospeso parte della produzione USA dopo un incidente di tipo ransomware che ha toccato sistemi legati alla produzione. Entrambe le vicende evidenziano che il danno non è soltanto informativo: quando i sistemi operativi vengono colpiti, la continuità industriale e l’approvvigionamento dei clienti si interrompono. In nessuno dei casi, almeno nei primi report, c’erano attribuzioni pubbliche complete o dettagli certi sul ransomware group. Tuttavia, il fatto che la qualità e la sicurezza del prodotto vengano dichiarate intatte mentre le operations si fermano mostra il tipico trade-off delle crisi cyber-industriali. Per le aziende del manufacturing e del food chain, la resilienza operativa è ormai una misura di sicurezza a tutti gli effetti.

Prodotto
Nichirei, fairlife
Azione
contenimento, continuità
Impatto
stop produzione, spedizioni
Frodi online industrializzate nel mirino europeoFrodi
Frodi

Frodi online industrializzate nel mirino europeo

Più operazioni di polizia in Europa hanno colpito reti di frode finanziaria estremamente redditizie, confermando che il cybercrime è ormai una vera industria. In Olanda e Spagna sono stati smantellati network che gestivano call center,

Leggi tutto

finti consulenti finanziari e piattaforme di investimento fraudolente, con profitti stimati fino a 100 milioni di euro al mese o oltre 140 milioni complessivi. Nel Regno Unito, cinque persone sono state accusate per un servizio di caller ID spoofing usato in più di un milione di chiamate fraudolente. Parallelamente, rapporti di threat intel mostrano che i tutorial nei forum underground stanno aumentando e che i criminali continuano a innovare su phishing, carding e cash-out. Questi casi sono rilevanti perché uniscono infrastruttura tecnica, social engineering e riciclaggio finanziario in una singola filiera. Per i difensori e le forze dell’ordine, la sfida è bloccare non solo l’accesso ma anche la monetizzazione.

Prodotto
call center, spoofing
Azione
arresti, sequestri
Impatto
perdite finanziarie
Sanzioni occidentali contro ecosistema cyber russoEnforcement
Enforcement

Sanzioni occidentali contro ecosistema cyber russo

Gli Stati Uniti, l’Unione Europea e il Regno Unito hanno intensificato le misure contro operatori e infrastrutture legate a campagne russe di cyberespionage, sabotaggio e supporto al crimine.

Leggi tutto

Tra i bersagli figurano individui ed entità collegati all’FSB, fornitori di hosting bulletproof come Media Land e servizi VPN o cryptor usati dai ransomware affiliate. Le sanzioni mirano a interrompere il supporto logistico che consente a gruppi come Scattered Spider, operatori di ransomware e attori statali di muoversi con maggiore impunità. Questi provvedimenti mostrano che la cyber deterrence non riguarda solo malware e vulnerabilità, ma anche le aziende di supporto che rendono sostenibile l’ecosistema criminale. La rilevanza è alta perché colpisce la supply chain dell’attacco e non soltanto il payload finale. Anche se l’efficacia a lungo termine è difficile da misurare, la pressione coordinata segnala una maturazione della risposta geopolitica al cybercrime.

Prodotto
hosting, VPN, cryptor
Azione
sanzioni coordinate
Impatto
pressione sulle infrastrutture
ClickFix industrializza phishing e malwarePhishing
Phishing

ClickFix industrializza phishing e malware

ClickFix è emerso come uno dei vettori di social engineering più efficaci dell’ultimo periodo, passando da trucco occasionale a ecosistema industriale usato per installare malware e rubare credenziali.

Leggi tutto

Le campagne fanno leva su pagine false che imitano CAPTCHA, aggiornamenti browser o errori di riunione e spingono le vittime a eseguire comandi nel terminale o nella finestra Run. Microsoft e altri ricercatori hanno osservato famiglie come ACR Stealer e TELEPUZ che usano ClickFix per sottrarre cookie, token, documenti e credenziali enterprise. Parallelamente, varie analisi mostrano che anche gli attaccanti stanno integrando AI per generare lures più credibili e automatizzare fasi della catena. Il risultato è una minaccia che sfugge spesso ad antivirus e controlli endpoint tradizionali perché sfrutta l’utente come meccanismo di esecuzione. La rilevanza è alta perché la tecnica funziona sia su Windows sia su macOS e continua a essere riutilizzata in contesti diversi.

Prodotto
terminale, finestra Run
Azione
awareness, blocco script
Impatto
malware, furto account
Altre notizie