← Torna al Blog
Briefing di Sicurezza 8 min di lettura

L'exploit di VMware si scatena, aumento del phishing OAuth e violazione di LexisNexis

Pubblicato: 04-03-2026

CISA segnala VMware Aria Operations RCE come sfruttato attivamente. Microsoft espone un sofisticato attacco di reindirizzamento OAuth che aggira l'MFA. LexisNexis conferma che gli hacker hanno rubato 2 GB di dati compresi i registri dei dipendenti pubblici. Inoltre: AkzoNobel colpito dal ransomware Anubis e false campagne di supporto IT implementano Havoc C2.


🔴 Critico: operazioni VMware Aria sotto attacco attivo

CVE-2026-22719 — PATCH IMMEDIATAMENTE

CISA ha aggiunto una vulnerabilità di command injection di VMware Aria Operations al suo catalogo delle vulnerabilità sfruttate note (KEV). Il difetto consente aggressori non autenticati di eseguire comandi arbitrari, portando all'esecuzione completa del codice remoto.

Punteggio CVSS: 8.1 (Alto)  |  Scadenza:24 marzo 2026

La vulnerabilità esiste nel componente del servizio di migrazione di VMware Aria Operations. Durante la migrazione del prodotto assistita dal supporto, un attore non autenticato può inserire comandi eseguiti come root tramite un'errata configurazione di sudoers in vmware-casa-workflow.sh.

Broadcom released patches on febbraio 24 along with a temporary workaround script (aria-ops-rce-workaround.sh) che disabilita i componenti vulnerabili della migrazione. La società ha riconosciuto le segnalazioni di sfruttamento attivo ma ha affermato che "non può confermarne in modo indipendente la validità".

Patch anche in VMSA-2026-0001:

CVEDigitareImpatto
CVE-2026-22719Inserimento comandiRCE non autenticato
CVE-2026-22720XSS memorizzatoDirottamento della sessione
CVE-2026-22721Escalation dei privilegiAccesso amministratore

🟠 Abuso di reindirizzamento OAuth: bypassare l'MFA su larga scala

I ricercatori di Microsoft Defender hanno scoperto una sofisticata campagna in cui gli autori delle minacce abusano del meccanismo di reindirizzamento legittimo OAuth 2.0 per aggirare le protezioni anti-phishing della posta elettronica e del browser. Gli attacchi prendono di mira principalmente il governo e le organizzazioni del settore pubblico.

Come funziona l'attacco:

  1. Consegna dell'esca: Le e-mail di phishing mascherate da richieste di firma elettronica, avvisi SSA o inviti a riunioni contengono URL di reindirizzamento OAuth
  2. Errore di autenticazione silenziosa: Gli aggressori registrano app OAuth dannose con ambiti non validi e prompt=none, forzando errori di autenticazione
  3. Dirottamento del reindirizzamento: Il provider di identità reindirizza le vittime all'URI di reindirizzamento controllato dall'aggressore
  4. Furto di credenziali: I framework attacker-in-the-middle di EvilProxy intercettano i cookie di sessione, bypassando MFA

In alcune varianti, le vittime vengono reindirizzate a /download percorso che consegna automaticamente file ZIP contenenti .LNK dannosi file. Questi avviano PowerShell per la ricognizione prima che il caricamento laterale della DLL distribuisca il payload finale.

Punti salienti: Questo attacco abusa di comportamento previsto nel framework OAuth. Il meccanismo di gestione degli errori funziona esattamente come specificato dallo standard: gli aggressori semplicemente utilizzano come arma il flusso di reindirizzamento.


🔴 Violazione di LexisNexis: dati governativi esposti

Legal data giant LexisNexis Legal & Professional has confirmed hackers breached its AWS infrastructure on febbraio 24 by exploiting theVulnerabilità React2Shell in un'applicazione frontend React senza patch.

L'autore della minaccia "FulcrumSec" ha fatto trapelare 2 GB di dati strutturati dalla violazione, rivendicando l'accesso a:

LexisNexis ha affermato che i dati compromessi erano "per lo più dati legacy e deprecati precedenti al 2020" e non includevano SSN, informazioni finanziarie o password attive. L'azienda afferma che l'intrusione è stata contenuta.


🟠 Il ransomware Anubis colpisce AkzoNobel

Gigante olandese delle vernici e dei rivestimenti AkzoNobel (oltre 12 miliardi di dollari di fatturato, 35.000 dipendenti, oltre 150 paesi) ha confermato una violazione della rete in uno dei suoi siti negli Stati Uniti. La banda del ransomware Anubis afferma di aver esfiltrato 170 GB di dati compreso:

Anubis, a RaaS operation active since dicembre 2024, offers affiliates 80% of ransom payments and added a destructivecancellazione dati capacità a metà del 2025.


🟡 Il supporto IT falso distribuisce il framework Havoc C2

I ricercatori di Huntress hanno identificato una campagna in cinque organizzazioni in cui gli aggressori si mascheravano da personale di supporto IT per implementare il Quadro di comando e controllo Havoc. Il playbook rispecchia da vicino le tattiche utilizzate dall'ex Basta Nero affiliati ransomware:

  1. Bombardare via email la casella di posta del bersaglio con spam
  2. Chiama fingendo di essere un supporto IT che offre aiuto
  3. Distribuire payload Havoc Demon e strumenti RMM legittimi
  4. Muoviti lateralmente: in un caso, 9 endpoint compromessi in 11 ore

La velocità del movimento laterale suggerisce gli obiettivi finali dell’esfiltrazione dei dati o dell’implementazione del ransomware.


📊 Altri titoli in breve

StoriaImpatto
Attacchi iraniani sui data center AWS negli Emirati Arabi UnitiVulnerabilità dell'infrastruttura fisica esposta; due strutture colpite direttamente
Violazione del Cancer Center dell'Università delle Hawaii1,2 milioni di persone colpite; SSN, dati sanitari, schede elettorali rubate
Svolta quantistica RSAIl nuovo algoritmo suggerisce che la decrittazione RSA sia fattibile prima del previsto
Android Qualcomm zero-day patchatoL'overflow di numeri interi nel componente grafico porta al danneggiamento della memoria
SloppyLemming prende di mira Pakistan e BangladeshDoppie catene di malware che prendono di mira le infrastrutture governative
Interruzione mondiale di FacebookAccounts unavailable globally on marzo 3

Come Kensai ti protegge

Monitoraggio CVE in tempo reale — CVE-2026-22719 indicizzato e contrassegnato entro poche ore dall'aggiunta del KEV

Rilevamento attacchi OAuth — Monitora le registrazioni delle app OAuth sospette e i modelli di reindirizzamento

Scansione dell'infrastruttura cloud — Rileva React2Shell e vulnerabilità simili delle app Web prima che lo facciano gli aggressori

Preparazione al ransomware — Gestione continua dell'esposizione contro minacce come Anubis RaaS


Azioni consigliate

  1. Immediato: Applicare la patch a VMware Aria Operations o applicare lo script di soluzione alternativa per CVE-2026-22719
  2. Immediato: Controlla le registrazioni delle applicazioni OAuth nel tuo tenant Entra ID
  3. Oggi: Controllare i frontend React/Node.js per la vulnerabilità React2Shell
  4. Questa settimana: Esaminare i criteri di accesso condizionale e limitare il consenso delle app OAuth
  5. In corso: Formare il personale sulle tattiche di ingegneria sociale di supporto informatico falso

Proteggi la tua organizzazione con Kensai

Gestione delle vulnerabilità basata sull'intelligenza artificiale con oltre 335.000 CVE indicizzati.

Inizia la prova gratuita

Stai al sicuro. Rimani vigile.

🗡️ Squadra di sicurezza KENSAI