Advisory
Advisory
Oltre al Patch Tuesday di Microsoft, nella settimana sono emersi numerosi aggiornamenti di sicurezza per prodotti ad ampia diffusione come Chrome, Firefox, Adobe, VMware, Zoom, Citrix, Cisco, IBM WebSphere, Splunk e altri.
Leggi tutto
Google ha corretto più vulnerabilità in Chrome, incluse falle critiche e ad alta gravità, mentre Mozilla ha sistemato due bug critici già sfruttati attivamente. ACN e altre fonti hanno segnalato vulnerabilità in prodotto enterprise come Cisco RoomOS, IBM WebSphere, Splunk e Citrix, spesso con impatti su autenticazione, accesso a informazioni sensibili o scrittura arbitraria di file. Questo tipo di ondata di patch è rilevante perché colpisce gli strati software usati come porta d’ingresso, canale di collaborazione o componente di piattaforma. Le organizzazioni che ignorano i vendor secondari rischiano di avere superfici esposte anche se hanno già coperto i sistemi operativi principali. La lezione è che la remediation deve essere multi-vendor e coordinata, non limitata ai soli endpoint.
- Prodotto
- Chrome, Firefox, VMware
- Gravità
- critica, alta
- Azione
- aggiornare tutti i vendor
- Impatto
- accesso, file, dati
Zero-day
Zero-day
SonicWall ha confermato lo sfruttamento attivo di due vulnerabilità zero-day che interessano gli appliance SMA 1000, costringendo i clienti ad aggiornare subito e a cercare segni di compromissione.
Leggi tutto
Le falle includono CVE-2026-15409, una SSRF critica che consente a un attaccante remoto non autenticato di forzare il dispositivo a effettuare richieste verso destinazioni arbitrarie, e CVE-2026-15410, una vulnerabilità di code injection post-autenticazione che può portare all’esecuzione di comandi sul sistema operativo. Le indicazioni di risposta sono severe: se compaiono IoC, SonicWall raccomanda il re-image degli appliance hardware o la ridistribuzione delle istanze virtuali, oltre al reset di password e token TOTP. La gravità è alta perché SMA 1000 viene spesso usato come punto d’accesso remoto per utenti e amministratori, quindi un compromesso può aprire la rete interna. La campagna è particolarmente preoccupante perché combina due vettori complementari, uno pre-auth e uno post-auth, ampliando le possibilità di exploit in scenari reali. Per i difensori, è una priorità di patching e di hunting nel breve termine.
- CVE
- CVE-2026-15409, 15410
- Prodotto
- SonicWall SMA 1000
- Gravità
- critica, alta
- Azione
- update, re-image, reset
Supply chain
Supply chain
L’organizzazione AsyncAPI è stata compromessa attraverso GitHub Actions e ha finito per pubblicare versioni malevole di più pacchetti npm molto scaricati. Le versioni infette hanno introdotto un payload install-time e un codice capace di rubare credenziali, token, chiavi SSH, wallet crypto e segreti cloud, colpendo un ecosistema con oltre due milioni di download settimanali.
Leggi tutto
Microsoft ha descritto l’attacco come una compromissione della CI/CD sfruttata per distribuire malware attraverso il software fidato, evidenziando quanto la catena di build sia un punto di ingresso molto potente. L’evento è rilevante non solo per gli sviluppatori che usano quei pacchetti, ma per tutte le organizzazioni che trattano npm e i workflow automatizzati come canali affidabili. La combinazione di supply chain compromise, trust abuse e persistence del payload rende il caso un esempio classico di rischio sistemico. È anche un segnale forte che le dipendenze popolari restano un obiettivo primario per gli attaccanti.
- Prodotto
- pacchetti npm AsyncAPI
- Azione
- ruotare segreti, audit
- Impatto
- furto credenziali, malware
Autenticazione
Autenticazione
Le campagne di account takeover stanno evolvendo da semplice password spraying a manipolazione dei flussi OAuth e device code. Proofpoint e Microsoft hanno descritto come il client ID spoofing in Entra ID permetta di enumerare account o inferire lo stato di autenticazione senza generare un classico sign-in riuscito.
Leggi tutto
Un’altra ricerca ha mostrato un “confused deputy” in Google IdP tramite device code flow hijacking, con possibilità di trasferire sessioni e arrivare a takeover invisibili. Questi vettori sono molto importanti perché aggirano parte della telemetria tradizionale e sfruttano la logica dell’identity provider stesso. In parallelo, campagne come Forg365 e EvilTokens usano device code phishing e session theft per mantenere accessi persistenti a Microsoft 365. Il risultato è una minaccia che non dipende più solo da password deboli, ma da come i protocolli di autenticazione sono implementati e loggati.
- Prodotto
- Entra ID, Google IdP
- Azione
- monitorare OAuth e flow
- Impatto
- account takeover stealth
Firmware
Firmware
Ricercatori di ESET e Binarly hanno evidenziato che più vecchi shim UEFI firmati da Microsoft possono ancora essere usati per aggirare Secure Boot. Le vulnerabilità interessano bootloader e componenti di avvio che, pur essendo stati revocati o corretti, restano un rischio se ancora presenti nella catena di boot o in immagini di recovery.
Leggi tutto
Il problema è serio perché consente di compromettere la fiducia a livello firmware, prima che il sistema operativo possa applicare controlli di sicurezza. Fonti diverse collegano la scoperta a 11 shim vulnerabili e a più vulnerabilità in U-Boot, con impatti su router, dispositivi embedded e infrastrutture critiche. Questo amplia la minaccia oltre i PC: anche camere smart, controller e apparati di rete possono diventare vettori di persistenza stealth. La conseguenza è una revisione urgente delle baseline di secure boot, revoche e aggiornamenti firmware.
- Prodotto
- UEFI shim, U-Boot
- Azione
- revoche, update firmware
- Impatto
- bypass Secure Boot
Ransomware
Ransomware
Gli attacchi contro Nichirei in Giappone e fairlife, il business lattiero-caseario di Coca-Cola negli Stati Uniti, mostrano come la cyber risk possa tradursi rapidamente in stop produttivi.
Leggi tutto
Nichirei ha subito un attacco che ha bloccato logistica e spedizioni, mentre fairlife ha sospeso parte della produzione USA dopo un incidente di tipo ransomware che ha toccato sistemi legati alla produzione. Entrambe le vicende evidenziano che il danno non è soltanto informativo: quando i sistemi operativi vengono colpiti, la continuità industriale e l’approvvigionamento dei clienti si interrompono. In nessuno dei casi, almeno nei primi report, c’erano attribuzioni pubbliche complete o dettagli certi sul ransomware group. Tuttavia, il fatto che la qualità e la sicurezza del prodotto vengano dichiarate intatte mentre le operations si fermano mostra il tipico trade-off delle crisi cyber-industriali. Per le aziende del manufacturing e del food chain, la resilienza operativa è ormai una misura di sicurezza a tutti gli effetti.
- Prodotto
- Nichirei, fairlife
- Azione
- contenimento, continuità
- Impatto
- stop produzione, spedizioni
Frodi
Frodi
Più operazioni di polizia in Europa hanno colpito reti di frode finanziaria estremamente redditizie, confermando che il cybercrime è ormai una vera industria. In Olanda e Spagna sono stati smantellati network che gestivano call center,
Leggi tutto
finti consulenti finanziari e piattaforme di investimento fraudolente, con profitti stimati fino a 100 milioni di euro al mese o oltre 140 milioni complessivi. Nel Regno Unito, cinque persone sono state accusate per un servizio di caller ID spoofing usato in più di un milione di chiamate fraudolente. Parallelamente, rapporti di threat intel mostrano che i tutorial nei forum underground stanno aumentando e che i criminali continuano a innovare su phishing, carding e cash-out. Questi casi sono rilevanti perché uniscono infrastruttura tecnica, social engineering e riciclaggio finanziario in una singola filiera. Per i difensori e le forze dell’ordine, la sfida è bloccare non solo l’accesso ma anche la monetizzazione.
- Prodotto
- call center, spoofing
- Azione
- arresti, sequestri
- Impatto
- perdite finanziarie
Enforcement
Enforcement
Gli Stati Uniti, l’Unione Europea e il Regno Unito hanno intensificato le misure contro operatori e infrastrutture legate a campagne russe di cyberespionage, sabotaggio e supporto al crimine.
Leggi tutto
Tra i bersagli figurano individui ed entità collegati all’FSB, fornitori di hosting bulletproof come Media Land e servizi VPN o cryptor usati dai ransomware affiliate. Le sanzioni mirano a interrompere il supporto logistico che consente a gruppi come Scattered Spider, operatori di ransomware e attori statali di muoversi con maggiore impunità. Questi provvedimenti mostrano che la cyber deterrence non riguarda solo malware e vulnerabilità, ma anche le aziende di supporto che rendono sostenibile l’ecosistema criminale. La rilevanza è alta perché colpisce la supply chain dell’attacco e non soltanto il payload finale. Anche se l’efficacia a lungo termine è difficile da misurare, la pressione coordinata segnala una maturazione della risposta geopolitica al cybercrime.
- Prodotto
- hosting, VPN, cryptor
- Azione
- sanzioni coordinate
- Impatto
- pressione sulle infrastrutture
Phishing
Phishing
ClickFix è emerso come uno dei vettori di social engineering più efficaci dell’ultimo periodo, passando da trucco occasionale a ecosistema industriale usato per installare malware e rubare credenziali.
Leggi tutto
Le campagne fanno leva su pagine false che imitano CAPTCHA, aggiornamenti browser o errori di riunione e spingono le vittime a eseguire comandi nel terminale o nella finestra Run. Microsoft e altri ricercatori hanno osservato famiglie come ACR Stealer e TELEPUZ che usano ClickFix per sottrarre cookie, token, documenti e credenziali enterprise. Parallelamente, varie analisi mostrano che anche gli attaccanti stanno integrando AI per generare lures più credibili e automatizzare fasi della catena. Il risultato è una minaccia che sfugge spesso ad antivirus e controlli endpoint tradizionali perché sfrutta l’utente come meccanismo di esecuzione. La rilevanza è alta perché la tecnica funziona sia su Windows sia su macOS e continua a essere riutilizzata in contesti diversi.
- Prodotto
- terminale, finestra Run
- Azione
- awareness, blocco script
- Impatto
- malware, furto account