La CISA aggiunge il Kit di exploit iOS Coruna prendendo di mira 23 vulnerabilità nel suo elenco di vulnerabilità sfruttate note. Cisco Catalyst SD-WAN CVE-2026-20127 deve affrontare uno sfruttamento di massa da parte di centinaia di IP. Il rapporto zero-day di Google del 2025 rivela 90 zero-day sfruttati — la metà si rivolge alle imprese. Inoltre: round di finanziamento ArmorCode ed Evervault, ladro BoryptGrab su GitHub e difetti di Rockwell ICS sfruttati in libertà.
La CISA ha aggiunto 23 vulnerabilità sfruttato dal Kit di exploit iOS Coruna al suo catalogo delle vulnerabilità sfruttate note (KEV). L’exploit kit di livello nazionale prende di mira le versioni iOS dalla 13 alla 17.2.1, concatenando molteplici difetti per compromettere l’intero dispositivo.
| Palcoscenico | Tipo di vulnerabilità | Impatto |
|---|---|---|
| Accesso iniziale | Corruzione della memoria di WebKit | Esecuzione di codice remoto tramite contenuto Web dannoso |
| Fuga dalla sandbox | Escalation dei privilegi del kernel | Uscire dalla sandbox WebKit |
| Persistenza | Aggirare il quadro di sicurezza | Eludere la firma del codice e il sandboxing delle app |
| Compromesso totale | Primitiva di lettura/scrittura del kernel | Controllo completo del dispositivo, esfiltrazione dei dati |
Le agenzie federali si trovano ad affrontare una scadenza obbligatoria per l'applicazione delle patch. Tutte le organizzazioni dovrebbero aggiornare immediatamente i dispositivi iOS alla versione più recente e controllare la propria flotta per i dispositivi con iOS 13–17.2.1. Le soluzioni MDM aziendali dovrebbero applicare policy relative alla versione minima del sistema operativo.
Torre di guardia i ricercatori riferiscono che CVE-2026-20127, un bypass di autenticazione critico in Cisco Catalyst SD-WAN Manager, è ora in sfruttamento di massa da numerosi indirizzi IP univoci in tutto il mondo.
| Metrica | Valore |
|---|---|
| IP di attacco univoci | Oltre 400 osservati da WatchTowr |
| Diffusione geografica | Globale: origini USA, UE, APAC |
| Primo sfruttamento | Late febbraio 2026 (targeted) |
| Inizio dello sfruttamento di massa | 6 marzo 2026 |
| Versioni interessate | Tutti i Catalyst SD-WAN Manager prima della patch |
Patch immediatamente — Cisco ha rilasciato patch di emergenza. Se l'applicazione delle patch non è possibile, limitare l'accesso all'interfaccia di gestione solo alle reti attendibili. Controlla i log per sessioni amministrative e chiamate API non autorizzate. Assumere un compromesso se esposto a Internet.
Il Threat Analysis Group (TAG) di Google e Mandiant hanno pubblicato il loro rapporto annuale sullo sfruttamento zero-day per il 2025, documentando 90 vulnerabilità zero-day sfruttati in modo selvaggio, con un drammatico spostamento verso il targeting dei prodotti aziendali.
| Anno | Totale giorni zero | Mirato alle aziende | Attribuzione principale |
|---|---|---|---|
| 2023 | 62 | 24 (39%) | Venditori di spyware |
| 2024 | 73 | 33 (45%) | Venditori di spyware |
| 2025 | 90 | 45 (50%) | Venditori di spyware + Cina |
Il tasso di targeting aziendale del 50% indica che gli aggressori sono passaggio dagli endpoint consumer alle infrastrutture aziendali. I dispositivi di sicurezza di rete (firewall, VPN) sono ora la classe target numero 1: le organizzazioni devono dare priorità all'applicazione di patch ai dispositivi edge e all'implementazione di una difesa approfondita per i perimetri di rete.
CodiceArmatura, la società ASPM (Application Security Posture Management), ha sollevato 16 milioni di dollari in nuovi finanziamenti per accelerare lo sviluppo della sua piattaforma di gestione dell’esposizione.
Il mercato ASPM continua a crescere mentre le organizzazioni lottano con espansione degli strumenti — l'azienda media utilizza più di 40 strumenti di sicurezza che generano migliaia di avvisi ogni giorno. Le piattaforme di consolidamento come ArmorCode affrontano l'affaticamento degli avvisi fornendo visibilità unificata e definizione intelligente delle priorità.
Evervault ha chiuso un Serie B da 25 milioni di dollari round per espandere la propria piattaforma di crittografia e orchestrazione dei dati focalizzata sugli sviluppatori.
Con l'inasprimento delle normative sulla privacy dei dati a livello globale, l'approccio di Evervault di rendere la crittografia facile da usare per gli sviluppatori colma una lacuna critica. La maggior parte delle violazioni sfrutta i dati archiviati in testo normale o con crittografia debole: Evervault mira a rendere la crittografia forte il percorso di minor resistenza per gli sviluppatori.
I ricercatori sulla sicurezza hanno identificato oltre 100 repository GitHub dannosi distribuendo il BoryptGrab ladro di informazioni, che prende di mira le credenziali del browser, i dati del portafoglio di criptovaluta e i token di sessione.
Verifica i repository GitHub prima della clonazione: controlla l'età dell'account, la cronologia dei commit e i profili dei contributori. Utilizzare strumenti di scansione delle dipendenze nelle pipeline CI/CD. Non eseguire mai codice da repository sconosciuti senza revisione. Prendi in considerazione l'utilizzo dei badge editore verificato di GitHub come segnale di fiducia.
Una vulnerabilità ICS di Rockwell Automation originariamente divulgato nel 2021 viene ora attivamente sfruttato allo stato selvatico, evidenziando il rischio persistente di sistemi di controllo industriale privi di patch.
Questo sfruttamento sottolinea il Lacuna nell'applicazione delle patch OT — le vulnerabilità divulgate anni fa rimangono irrisolte in molti ambienti industriali. Le organizzazioni devono implementare segmentazione della rete, monitorare il traffico OT per rilevare anomalie e dare priorità all'applicazione di patch ai componenti ICS collegati a Internet. La convergenza di IT e OT fa sì che le vulnerabilità aziendali abbiano un impatto diretto sulla sicurezza industriale.
| Minaccia/Evento | Gravità | Azione richiesta |
|---|---|---|
| Kit di exploit iOS Coruna → KEV | 🔴 Critico | Applicare patch a tutti i dispositivi iOS, applicare le versioni minime MDM |
| Cisco SD-WAN CVE-2026-20127 | 🔴 Critico | Applicare immediatamente la patch, limitare l'accesso alla gestione |
| Rapporto Google sui 90 giorni zero | 🟠 Alto | Dai priorità all'applicazione di patch ai dispositivi periferici e alla difesa approfondita |
| ArmorCode raccoglie 16 milioni di dollari | 🟢Informazioni | Valutare ASPM per il consolidamento delle vulnerabilità |
| Evervault $ 25 milioni di serie B | 🟢Informazioni | Considera la crittografia come codice per la protezione dei dati |
| BoryptGrab su GitHub | 🟠 Alto | Controlla le dipendenze, cerca pacchetti dannosi |
| Sfruttamento dell'ICS Rockwell | 🔴 Critico | Patchare sistemi OT, segmentare reti, monitorare il traffico |
KENSAI ricerca continuamente vulnerabilità, configurazioni errate e indicatori di compromissione, rilevando minacce come le catene di exploit Coruna e i bypass SD-WAN prima che gli aggressori colpiscano.
Avvia la scansione di sicurezza gratuitaRimani vigile. Rimani protetto.
🗡️Team di ricerca e prodotto KENSAI