← Torna al blog
Security Briefing4 min di lettura2026-04-25

Security Briefing, 25 aprile 2026: persistenza di Firestarter, esposizione di Zimbra ed estorsione vishing di BlackFile

Il modello di oggi è brutto ma chiaro: appliance di frontiera, caselle email e flussi di fiducia del helpdesk vengono abusati in modi che sopravvivono a una remediation superficiale.


In sintesi: Tre storie meritano attenzione immediata stamattina: malware su firewall che sopravvive al ciclo di patching, una piattaforma email con migliaia di server esposti ancora vulnerabili e un gruppo di estorsione guidato dal vishing che trasforma normali workflow di supporto in percorsi di compromissione.


1. Firestarter trasforma il patching dei firewall Cisco in un falso traguardo

CISA e il britannico NCSC avvertono che la backdoor Firestarter può persistere sui dispositivi Cisco Firepower e Secure Firewall anche dopo riavvii, aggiornamenti firmware e patch di sicurezza. Il malware, collegato a un attore di spionaggio monitorato da Cisco, si aggancia al processo LINA, si reinstalla quando viene terminato e può essere attivato tramite traffico WebVPN appositamente costruito. La guida di Cisco è netta: le release corrette contano, ma il percorso di bonifica raccomandato è il reimaging del dispositivo.


2. Oltre 10.000 server Zimbra esposti restano ancora nel raggio d’impatto

Shadowserver afferma che oltre 10.500 server Zimbra Collaboration Suite esposti su Internet restano vulnerabili a CVE-2025-48700, una falla XSS che CISA ha già inserito tra quelle sfruttate attivamente. Il bug colpisce più rami ZCS e può consentire ad attaccanti non autenticati di eseguire JavaScript nella sessione webmail della vittima quando un’email malevola viene aperta nella Classic UI. È importante perché Zimbra ha una lunga storia come trampolino per furto di email e operazioni statali.


3. BlackFile dimostra che le false chiamate helpdesk spezzano ancora le aziende moderne

BlackFile viene collegato a un’ondata di attacchi di estorsione guidati dal vishing contro retail e hospitality. Gli attaccanti si fingono supporto IT, rubano credenziali e codici monouso tramite finte pagine di login e poi registrano i propri dispositivi per aggirare la MFA. Da lì saccheggiano sistemi come Salesforce e SharePoint usando API standard, rubano file sensibili e aumentano la pressione con richieste di riscatto e perfino swatting.


Cosa dovrebbero fare oggi i team di sicurezza

  1. Eseguire controlli di compromissione sui firewall Cisco e pianificare reimaging dove compaiono indicatori.
  2. Chiudere il patching Zimbra e cercare abusi di sessione guidati da email malevole.
  3. Rafforzare i controlli identità del helpdesk, soprattutto per supporto remoto e reset MFA.
  4. Rivedere attività di export SaaS ed eventi di registrazione dispositivi cercando pattern stile BlackFile.

Fonti


Conclusione: Il modello di oggi è brutto ma chiaro: appliance di frontiera, caselle email e flussi di fiducia del helpdesk vengono abusati in modi che sopravvivono a una remediation superficiale.

Trova le rotture di fiducia prima che diventino incidenti

KENSAI aiuta i team a far emergere percorsi di attacco esposti su appliance di frontiera, sistemi email, flussi identità e strumenti cloud prima che gli attaccanti trasformino processi normali in infrastruttura di intrusione.

Scansione gratuita →

Resta affilato.

🗡️ Team Sicurezza KENSAI