Cloud Sotto Assedio: Falle Critiche in AWS, Azure e GCP
Sintesi Esecutiva
Vulnerabilità critiche scoperte in AWS IAM Identity Center e Azure Active Directory rappresentano un rischio immediato per gli ambienti cloud. Google Cloud Platform conferma accesso non autorizzato ai metadati di Cloud SQL. Le organizzazioni multi-cloud affrontano attacchi coordinati che sfruttano le relazioni di fiducia tra i provider.
⚡ In breve: Applichi immediatamente le patch ad AWS IAM Identity Center e Azure AD. Auditi le relazioni di fiducia cross-cloud.
CVE-2026-22103: Bypass Autenticazione AWS IAM Identity Center
Perché È Importante
Una vulnerabilità critica di bypass dell'autenticazione in AWS IAM Identity Center consente agli aggressori con accesso di rete ai provider di identità federati di assumere qualsiasi ruolo negli account AWS connessi. Rilevato sfruttamento attivo in natura.
| Impatto | Descrizione |
|---|---|
| Takeover Account | Accesso amministrativo completo a tutti gli account AWS connessi |
| Esfiltrazione Dati | Accesso a S3, RDS, Secrets Manager e tutti i servizi |
| Persistenza | Creazione di utenti e ruoli IAM backdoor |
| Frode Fatturazione | Cryptomining e abuso di risorse |
Come Proteggersi — Azioni da Intraprendere
- Applichi la patch d'emergenza AWS tramite la console Identity Center immediatamente
- Riveda i log CloudTrail per eventi AssumeRole sospetti dal 15 gennaio
- Abiliti AWS CloudTrail Lake per forensics avanzata
- Ruoti tutti i certificati dei provider di identità federati
- Abiliti IAM Access Analyzer per la revisione dell'accesso cross-account
Bypass Policy Conditional Access Azure AD (CVE-2026-22198)
Perché È Importante
Una falla nel motore di valutazione Conditional Access di Azure Active Directory consente agli aggressori di bypassare le policy di compliance del dispositivo e basate sulla posizione utilizzando token di autenticazione forgiati. Microsoft conferma lo sfruttamento attivo rivolto a imprese con deployment Azure AD ibridi.
Scenario Peggiore
Bypass MFA
Aggiramento dei requisiti MFA per account privilegiati.
Spoofing Posizione
Accesso da posizioni/dispositivi non affidabili che appaiono legittimi.
Compromissione SaaS
Compromissione di applicazioni SaaS connesse ad Azure AD.
Come Proteggersi — Azioni da Intraprendere
- Applichi l'aggiornamento di sicurezza d'emergenza Microsoft KB5034441
- Abiliti Continuous Access Evaluation (CAE) per tutte le app critiche
- Riveda i log di accesso Azure AD per claim token anomali
- Implementi policy basate sul rischio di Azure AD Identity Protection
- Distribuisca regole di rilevamento Microsoft Sentinel per tentativi di bypass delle policy
Incidente Esposizione Metadati Google Cloud SQL
Perché È Importante
Google ha comunicato accesso non autorizzato ai metadati delle istanze Cloud SQL che interessa i clienti nelle regioni us-central1 ed europe-west1. I dati esposti includono stringhe di connessione database, indirizzi IP e, in alcuni casi, credenziali memorizzate.
Come Proteggersi — Azioni da Intraprendere
- Ruoti tutte le credenziali database Cloud SQL
- Riveda le istanze Cloud SQL per whitelist IP non autorizzate
- Abiliti Cloud SQL Insights per il monitoraggio delle query
- Migri i workload sensibili a Cloud SQL solo con IP privato
- Riveda i permessi IAM per i ruoli cloudsql.instances.*
Campagna di Sfruttamento Trust Cross-Cloud
Perché È Importante
L'attore di minacce "CloudHopper 2.0" sta attivamente sfruttando le relazioni di fiducia tra AWS, Azure e GCP in ambienti multi-cloud. L'accesso iniziale tipicamente proviene dal cloud meno protetto, poi fa pivot attraverso credenziali condivise e identità federate.
Come Proteggersi — Azioni da Intraprendere
- Auditi i ruoli IAM cross-cloud e gli account di servizio
- Implementi credenziali uniche per cloud provider
- Distribuisca strumenti CSPM cloud-native per visibilità unificata
- Segmenti le reti cloud a livello di identità
- Riveda le configurazioni VPN e peering cloud-to-cloud
Esposizione File State Terraform via Errore Configurazione S3
Perché È Importante
I ricercatori hanno scoperto oltre 2.400 file state Terraform pubblicamente accessibili in bucket S3 contenenti credenziali cloud, chiavi API e dettagli infrastrutturali. Molti appartengono a aziende Fortune 500.
Come Proteggersi — Azioni da Intraprendere
- Abiliti S3 Block Public Access a livello account
- Migri lo state Terraform a backend crittografati (S3+DynamoDB con KMS)
- Utilizzi terraform-compliance per auditare le configurazioni state
- Abiliti regole AWS Config per il rilevamento S3 pubblico