← Torna al blog
Security Briefing3 min di lettura2026-04-19

Briefing sicurezza, 19 aprile 2026: RCE in protobuf.js, Mirai Nexcorium e Operation PowerOFF

Il briefing sicurezza di oggi raccoglie tre segnali concreti: una falla critica di esecuzione di codice in protobuf.js con PoC pubblico, sfruttamento Mirai di DVR TBK e router invecchiati, e un’azione globale contro l’ecosistema DDoS-for-hire.


Top line: Questa mattina il rischio si concentra su tre livelli. Una notizia colpisce la supply chain software, una i dispositivi edge trascurati, e una mostra la pressione crescente delle forze dell’ordine sul mercato DDoS a basso costo. I team di sicurezza devono separare patching delle dipendenze, contenimento IoT e monitoraggio degli abusi.


1. protobuf.js entra nella coda urgente delle dipendenze

La vulnerabilità critica di protobuf.js, tracciata come GHSA-xq3m-2v4x-88gg, può portare a remote code execution quando le applicazioni caricano schemi influenzati da un attaccante. Endor Labs afferma che lo sfruttamento è diretto perché la generazione dinamica insicura consente di iniettare codice tramite identificatori malevoli. La libreria è annidata in molte stack JavaScript e conta circa 50 milioni di download npm a settimana.


2. Gli operatori Mirai continuano a raccogliere vecchio IoT

Fortinet afferma che la variante Mirai Nexcorium sfrutta la CVE-2024-3721 nei DVR TBK e combina questo accesso con brute force e logica di exploit più vecchia contro Huawei. Palo Alto Networks ha visto anche tentativi contro router TP-Link end-of-life. La lezione è sempre la stessa: le vecchie appliance esposte a Internet diventano inventario a basso costo per botnet quando patching e igiene delle credenziali marciscono.


3. Operation PowerOFF ha alzato il costo dell’abuso DDoS-for-hire

Operation PowerOFF, sostenuta da Europol, ha sequestrato 53 domini, esposto database collegati a oltre 3 milioni di account criminali e colpito servizi usati da più di 75.000 clienti. Il segnale difensivo importante non è che il DDoS sia sparito, ma che la pressione sull’infrastruttura booter stia salendo, con possibili migrazioni, ritorsioni o rumore temporaneo.


Cosa dovrebbero fare oggi i team di sicurezza

  1. Patchare per prima l’esposizione protobuf.js nei servizi JavaScript esposti a Internet o multi-tenant.
  2. Estrarre un inventario di DVR, router e dispositivi ancora raggiungibili con credenziali deboli o Telnet.
  3. Chiedere a rete e SOC se le soglie di monitoraggio DDoS richiedono un aggiustamento temporaneo dopo PowerOFF.
  4. Inviare alla leadership una nota chiara: rischio dipendenze, rischio botnet IoT e turbolenza del mercato DDoS sono problemi distinti con owner distinti.

Bottom line: In sintesi: il quadro di minaccia di oggi è insieme un problema di stack, di edge e di mercato. Patchate la libreria, ripulite le appliance e non pensate che i takedown rendano la rete tranquilla.

Separate il patching urgente dal rumore che distrae

KENSAI aiuta i team di sicurezza a verificare dipendenze esposte, dispositivi edge deboli e pressione di abuso attiva prima che il prossimo stormo di alert diventi un danno reale.

Avvia scansione gratuita →

Resta affilato.

🗡️ KENSAI Security Team