Il brutto schema di stamattina è un collasso della fiducia su larga scala: pannelli di hosting, flussi OAuth, assunzioni di memoria Linux e piattaforme educative mostrano tutti come l’infrastruttura “normale” diventi un percorso di attacco.
Punto chiave: Quattro storie contano adesso: i server cPanel vengono colpiti abbastanza in fretta da spingere CISA a fissare una scadenza federale, ConsentFix v3 industrializza il furto di token Azure, Copy Fail mette un’enorme base Linux a un singolo foothold locale da root, e Instructure sta ancora cercando di definire l’impatto di un nuovo incidente.
CVE-2026-41940 non è più qualcosa da correggere “più tardi”. Gli attaccanti stanno sfruttando in massa il bypass di autenticazione di cPanel e WHM e BleepingComputer riporta che viene già usato per distribuire il ransomware Linux Sorry. The Record scrive che CISA ha ordinato alle agenzie federali di patchare entro il 3 maggio. Basta questo per capire la gravità.
ConsentFix era già pericoloso perché abusava di un flusso di autorizzazione Microsoft legittimo invece di rubare password. La versione 3 aggiunge automazione: validazione del tenant, profilazione delle vittime, infrastruttura di phishing, scambio in tempo reale dei token via Pipedream e accesso post-compromissione più rapido alle risorse Microsoft. Qui l’MFA non basta.
Copy Fail, tracciato come CVE-2026-31431, colpisce le principali distribuzioni Linux rilasciate dal 2017 e può dare root a un utente a basso privilegio. Peggio ancora, può anche consentire container escape sugli host colpiti. Theori l’ha trovato con analisi assistita da IA, CERT-EU ha chiesto patch rapide e l’ampiezza dell’impatto impone di metterlo in cima alla lista del weekend di ogni team infrastrutturale serio.
Instructure ha divulgato un nuovo incidente di cybersecurity e ha detto di stare ancora indagando l’impatto con supporto forense esterno. La manutenzione di Canvas Data 2 e Canvas Beta, insieme agli avvisi sugli strumenti dipendenti da API key, basta a rendere la vicenda operativamente rilevante anche prima che tutti i fatti siano noti. Queste piattaforme custodiscono grandi volumi di dati di studenti e personale; qui l’ambiguità è rischio.
In sintesi: Oggi non si parla di un singolo zero-day spettacolare. Si parla di infrastruttura di routine che dimostra come le scorciatoie di fiducia non resistano a fronte di attaccanti motivati.
KENSAI aiuta i team a individuare percorsi admin esposti, flussi di identità rischiosi e debolezze infrastrutturali prima che diventino ransomware, furto di token o compromissione completa dell’host.
Avvia scansione gratuita →Restate affilati.
🗡️ Team Sicurezza KENSAI