Il modello di oggi è brutto ma chiaro: appliance di frontiera, caselle email e flussi di fiducia del helpdesk vengono abusati in modi che sopravvivono a una remediation superficiale.
In sintesi: Tre storie meritano attenzione immediata stamattina: malware su firewall che sopravvive al ciclo di patching, una piattaforma email con migliaia di server esposti ancora vulnerabili e un gruppo di estorsione guidato dal vishing che trasforma normali workflow di supporto in percorsi di compromissione.
CISA e il britannico NCSC avvertono che la backdoor Firestarter può persistere sui dispositivi Cisco Firepower e Secure Firewall anche dopo riavvii, aggiornamenti firmware e patch di sicurezza. Il malware, collegato a un attore di spionaggio monitorato da Cisco, si aggancia al processo LINA, si reinstalla quando viene terminato e può essere attivato tramite traffico WebVPN appositamente costruito. La guida di Cisco è netta: le release corrette contano, ma il percorso di bonifica raccomandato è il reimaging del dispositivo.
Shadowserver afferma che oltre 10.500 server Zimbra Collaboration Suite esposti su Internet restano vulnerabili a CVE-2025-48700, una falla XSS che CISA ha già inserito tra quelle sfruttate attivamente. Il bug colpisce più rami ZCS e può consentire ad attaccanti non autenticati di eseguire JavaScript nella sessione webmail della vittima quando un’email malevola viene aperta nella Classic UI. È importante perché Zimbra ha una lunga storia come trampolino per furto di email e operazioni statali.
BlackFile viene collegato a un’ondata di attacchi di estorsione guidati dal vishing contro retail e hospitality. Gli attaccanti si fingono supporto IT, rubano credenziali e codici monouso tramite finte pagine di login e poi registrano i propri dispositivi per aggirare la MFA. Da lì saccheggiano sistemi come Salesforce e SharePoint usando API standard, rubano file sensibili e aumentano la pressione con richieste di riscatto e perfino swatting.
Conclusione: Il modello di oggi è brutto ma chiaro: appliance di frontiera, caselle email e flussi di fiducia del helpdesk vengono abusati in modi che sopravvivono a una remediation superficiale.
KENSAI aiuta i team a far emergere percorsi di attacco esposti su appliance di frontiera, sistemi email, flussi identità e strumenti cloud prima che gli attaccanti trasformino processi normali in infrastruttura di intrusione.
Scansione gratuita →Resta affilato.
🗡️ Team Sicurezza KENSAI