← Torna al blog
Briefing sicurezza5 min read2026-05-03

Briefing sicurezza, 3 maggio 2026: ransomware su cPanel, ConsentFix v3, Copy Fail e risposta della Instructure all’incidente

Il brutto schema di stamattina è un collasso della fiducia su larga scala: pannelli di hosting, flussi OAuth, assunzioni di memoria Linux e piattaforme educative mostrano tutti come l’infrastruttura “normale” diventi un percorso di attacco.


Punto chiave: Quattro storie contano adesso: i server cPanel vengono colpiti abbastanza in fretta da spingere CISA a fissare una scadenza federale, ConsentFix v3 industrializza il furto di token Azure, Copy Fail mette un’enorme base Linux a un singolo foothold locale da root, e Instructure sta ancora cercando di definire l’impatto di un nuovo incidente.


1. cPanel è passato quasi subito da bug critico a problema ransomware attivo

CVE-2026-41940 non è più qualcosa da correggere “più tardi”. Gli attaccanti stanno sfruttando in massa il bypass di autenticazione di cPanel e WHM e BleepingComputer riporta che viene già usato per distribuire il ransomware Linux Sorry. The Record scrive che CISA ha ordinato alle agenzie federali di patchare entro il 3 maggio. Basta questo per capire la gravità.


2. ConsentFix v3 rende il furto OAuth su Azure più scalabile e più credibile

ConsentFix era già pericoloso perché abusava di un flusso di autorizzazione Microsoft legittimo invece di rubare password. La versione 3 aggiunge automazione: validazione del tenant, profilazione delle vittime, infrastruttura di phishing, scambio in tempo reale dei token via Pipedream e accesso post-compromissione più rapido alle risorse Microsoft. Qui l’MFA non basta.


3. Copy Fail è il tipo di bug Linux che distrugge silenziosamente i confini di fiducia cloud

Copy Fail, tracciato come CVE-2026-31431, colpisce le principali distribuzioni Linux rilasciate dal 2017 e può dare root a un utente a basso privilegio. Peggio ancora, può anche consentire container escape sugli host colpiti. Theori l’ha trovato con analisi assistita da IA, CERT-EU ha chiesto patch rapide e l’ampiezza dell’impatto impone di metterlo in cima alla lista del weekend di ogni team infrastrutturale serio.


4. L’incidente Instructure ricorda che le piattaforme educative restano bersagli di alto valore

Instructure ha divulgato un nuovo incidente di cybersecurity e ha detto di stare ancora indagando l’impatto con supporto forense esterno. La manutenzione di Canvas Data 2 e Canvas Beta, insieme agli avvisi sugli strumenti dipendenti da API key, basta a rendere la vicenda operativamente rilevante anche prima che tutti i fatti siano noti. Queste piattaforme custodiscono grandi volumi di dati di studenti e personale; qui l’ambiguità è rischio.


Cosa dovrebbero fare oggi i team di sicurezza

  1. Patchare subito cPanel e WHM e poi investigare per compromissione invece di fermarsi ai controlli di versione.
  2. Espandere il rilevamento dell’abuso OAuth su Azure, soprattutto per emissione di token e consent workflow sospetti.
  3. Portare Copy Fail in cima alla coda di patching Linux e host container.
  4. Rivedere l’esposizione operativa a Instructure e prepararsi a effetti successivi su API, dati e fiducia.

Fonti


In sintesi: Oggi non si parla di un singolo zero-day spettacolare. Si parla di infrastruttura di routine che dimostra come le scorciatoie di fiducia non resistano a fronte di attaccanti motivati.

Trova le rotture di fiducia prima che gli attaccanti le incatenino

KENSAI aiuta i team a individuare percorsi admin esposti, flussi di identità rischiosi e debolezze infrastrutturali prima che diventino ransomware, furto di token o compromissione completa dell’host.

Avvia scansione gratuita →

Restate affilati.

🗡️ Team Sicurezza KENSAI