← Torna al blog
Security Briefing4 min di lettura2026-04-17

Briefing sicurezza, 17 aprile 2026: azione Cisco Webex, botnet PowMix e sabotaggio OT ZionSiphon

Il briefing sicurezza di oggi segue tre segnali concreti: la correzione SSO di Webex di Cisco che richiede ancora azione del cliente, il botnet PowMix di Talos contro i lavoratori cechi con comportamento C2 furtivo, e la logica di sabotaggio OT di ZionSiphon sui controlli di cloro e pressione nel settore idrico.


Top line: Lo schema di questa mattina è l’abuso della fiducia su tre livelli insieme: identità, catene di consegna verso la forza lavoro e logica di controllo industriale. I difensori non dovrebbero trattarlo come code separate.


1. Cisco ha corretto Webex, ma i clienti hanno ancora lavoro da fare

Cisco ha corretto CVE-2026-20184 in Webex Services, un difetto di validazione del certificato nell’integrazione SSO con Control Hub che potrebbe consentire a un attaccante non autenticato di impersonare utenti. La correzione lato servizio non basta: le organizzazioni che usano SSO devono anche caricare un nuovo certificato SAML per il proprio identity provider per evitare interruzioni e chiudere davvero il gap.


2. PowMix mostra quanto il phishing sia sempre più bravo a mimetizzarsi

Cisco Talos ha divulgato PowMix, un botnet prima non documentato, attivo almeno da dicembre 2025 e rivolto alla forza lavoro nella Repubblica Ceca. Il malware usa intervalli casuali di beaconing, nasconde heartbeat cifrati dentro percorsi URL che sembrano traffico REST API, e può aggiornare dinamicamente il proprio dominio C2. Talos ha inoltre visto sovrapposizioni tattiche con la precedente attività ZipLine e con infrastrutture C2 basate su Heroku.


3. ZionSiphon è un campanello d’allarme per operatori idrici e di desalinizzazione

I ricercatori dicono che il campione attuale di ZionSiphon è rotto da un errore di validazione, ma l’intento è chiaro e brutale. Il malware controlla intervalli IP israeliani e software per il trattamento dell’acqua, poi tenta di modificare dose di cloro, stato delle valvole, stato delle pompe e pressione di osmosi inversa. Include anche propagazione via USB, elemento importante in ambienti industriali ancora dipendenti da supporti rimovibili.


Cosa dovrebbero fare oggi i team di sicurezza

  1. Completare la rotazione del certificato Cisco Webex SSO e verificarla, non solo controllare lo stato della patch del vendor.
  2. Allineare team e-mail, identità ed endpoint su esche PowMix ed esecuzione PowerShell.
  3. Per gli operatori OT, testare se modifiche non autorizzate a cloro o pressione verrebbero rilevate abbastanza in fretta.
  4. Dare alla leadership un aggiornamento semplice che unisca fiducia nella collaborazione, phishing verso i lavoratori e sabotaggio industriale in un unico quadro di rischio.

Bottom line: La lezione più forte di oggi è semplice: agli attaccanti non importa se la debolezza vive nell’identità, nel workflow utente o nel controllo dei processi fisici. Se porta fiducia, è un bersaglio.

Chiudi i gap di fiducia prima che diventino ponti verso l’incidente

KENSAI aiuta i team a verificare percorsi di identità esposti, catene di attacco guidate dal phishing e rischio operativo reale prima che la fiducia si trasformi in compromissione.

Avvia scansione gratuita →

Resta allerta.

🗡️ KENSAI Security Team