← Torna al blog
Briefing sicurezza4 min read2026-04-29

Briefing sicurezza, 29 aprile 2026: furto di segreti LiteLLM, escalation PhantomRPC su Windows e breach del fornitore Vimeo

Il modello di oggi è brutto e coerente: middleware fidato, plumbing fidato del sistema operativo e fornitori fidati vengono tutti usati come punti di rottura ad alto leverage.


In sintesi: Tre storie contano questa mattina: sfruttamento attivo di LiteLLM mirato direttamente alle credenziali dei provider di modelli, un percorso di privilege escalation Windows non corretto chiamato PhantomRPC e Vimeo che conferma che una violazione di terza parte ha esposto dati cliente.


1. LiteLLM è passato dalla disclosure al furto di segreti in circa 36 ore

Gli attaccanti stanno sfruttando CVE-2026-42208, una SQL injection pre-auth nella verifica delle chiavi API proxy di LiteLLM. Sysdig ha osservato query mirate verso tabelle con credenziali provider, chiavi API, segreti di ambiente e dati di configurazione. È importante perché LiteLLM si trova davanti a più provider di modelli; una singola istanza esposta può diventare un pivot verso OpenAI, Anthropic, Bedrock e tutto il resto gestito dal proxy.


2. PhantomRPC mostra che i confini di privilegio di Windows sono ancora troppo fiduciosi

La ricerca PhantomRPC di Kaspersky descrive una debolezza architetturale in Windows RPC: il runtime non verifica che un server RPC sia legittimo prima che i client privilegiati gli parlino. Un servizio compromesso può esporre un endpoint falso, attendere una chiamata RPC privilegiata e impersonare il chiamante fino a SYSTEM. Microsoft avrebbe classificato il problema come moderato e non prevede una remediation immediata, quindi i difensori devono ragionare su controlli compensativi invece di aspettare la magia del Patch Tuesday.


3. Vimeo ha confermato il raggio reale del breach Anodot

Vimeo ha dichiarato che gli attaccanti hanno avuto accesso a database con indirizzi email, dati tecnici e metadati video dopo la compromissione della piattaforma di analytics Anodot. L’azienda afferma che contenuti video, credenziali valide e dati di pagamento non sono stati esposti, ma resta un classico problema di fiducia nel fornitore: le integrazioni analytics sono spesso abbastanza vicine alla produzione da trasformare un incidente del vendor in un vero breach. ShinyHunters rivendica l’intrusione e minaccia di diffondere i dati se non verrà pagato un riscatto entro il 30 aprile.

Cosa fare oggi

Date priorità prima all’infrastruttura AI esposta, poi chiudete le assunzioni deboli sui privilegi in Windows e infine riauditare gli accessi vendor che tutti avevano dimenticato ma che di fatto sono produzione. Il fallimento comune qui non è una sola classe di bug. È la fiducia mal riposta nel tessuto connettivo.

Fonti

  • BleepingComputer sullo sfruttamento attivo di LiteLLM (CVE-2026-42208).
  • SecurityWeek sulla ricerca PhantomRPC di Kaspersky.
  • SecurityWeek e la disclosure di Vimeo sul breach collegato ad Anodot.