Il briefing sicurezza di oggi segue tre segnali concreti: la correzione SSO di Webex di Cisco che richiede ancora azione del cliente, il botnet PowMix di Talos contro i lavoratori cechi con comportamento C2 furtivo, e la logica di sabotaggio OT di ZionSiphon sui controlli di cloro e pressione nel settore idrico.
Top line: Lo schema di questa mattina è l’abuso della fiducia su tre livelli insieme: identità, catene di consegna verso la forza lavoro e logica di controllo industriale. I difensori non dovrebbero trattarlo come code separate.
Cisco ha corretto CVE-2026-20184 in Webex Services, un difetto di validazione del certificato nell’integrazione SSO con Control Hub che potrebbe consentire a un attaccante non autenticato di impersonare utenti. La correzione lato servizio non basta: le organizzazioni che usano SSO devono anche caricare un nuovo certificato SAML per il proprio identity provider per evitare interruzioni e chiudere davvero il gap.
Cisco Talos ha divulgato PowMix, un botnet prima non documentato, attivo almeno da dicembre 2025 e rivolto alla forza lavoro nella Repubblica Ceca. Il malware usa intervalli casuali di beaconing, nasconde heartbeat cifrati dentro percorsi URL che sembrano traffico REST API, e può aggiornare dinamicamente il proprio dominio C2. Talos ha inoltre visto sovrapposizioni tattiche con la precedente attività ZipLine e con infrastrutture C2 basate su Heroku.
I ricercatori dicono che il campione attuale di ZionSiphon è rotto da un errore di validazione, ma l’intento è chiaro e brutale. Il malware controlla intervalli IP israeliani e software per il trattamento dell’acqua, poi tenta di modificare dose di cloro, stato delle valvole, stato delle pompe e pressione di osmosi inversa. Include anche propagazione via USB, elemento importante in ambienti industriali ancora dipendenti da supporti rimovibili.
Bottom line: La lezione più forte di oggi è semplice: agli attaccanti non importa se la debolezza vive nell’identità, nel workflow utente o nel controllo dei processi fisici. Se porta fiducia, è un bersaglio.
KENSAI aiuta i team a verificare percorsi di identità esposti, catene di attacco guidate dal phishing e rischio operativo reale prima che la fiducia si trasformi in compromissione.
Avvia scansione gratuita →Resta allerta.
🗡️ KENSAI Security Team