← Torna al blog
Briefing sicurezza5 min read2026-05-05

Briefing sicurezza, 5 maggio 2026: RCE di Weaver, Copy Fail, backdoor in PyTorch Lightning e phishing con Amazon SES

Il modello di questa mattina è l’effetto leva attraverso infrastruttura fidata: software di workflow, kernel Linux, dipendenze di sviluppo ed e-mail cloud legittima diventano corsie veloci di attacco quando i team danno per sicuro il canale stesso.


In breve: Patchate rapidamente Weaver E-cology e i kernel Linux, rimuovete lightning 2.6.3 ovunque sia stato importato, ruotate i segreti esposti e trattate l’abuso di Amazon SES come un problema di identità cloud, non solo di filtraggio e-mail.


1. Weaver E-cology ricorda che i percorsi di debug nascosti diventano veri percorsi di intrusione

BleepingComputer riferisce che CVE-2026-22679 in Weaver E-cology viene sfruttata da metà marzo. Vega descrive una RCE senza autenticazione tramite una API di debug esposta che permetteva ai parametri controllati dall’attaccante di raggiungere funzioni RPC backend e comandi di sistema. L’attività osservata include ricognizione, payload PowerShell e recuperi ripetuti di script fileless.


2. Copy Fail è già passato dal paper al rischio reale di root

CISA ha aggiunto CVE-2026-31431, nota come Copy Fail, al catalogo KEV un giorno dopo la divulgazione pubblica. Il bug si trova nell’interfaccia algif_aead e consente a utenti locali non privilegiati di ottenere root scrivendo byte controllati nella page cache di qualsiasi file leggibile. Theori afferma che lo stesso exploit ha funzionato in modo affidabile su Ubuntu, Amazon Linux, RHEL e SUSE.


3. PyTorch Lightning 2.6.3 ha trasformato una dipendenza AI molto usata in una trappola per segreti all’import

Una release malevola di lightning 2.6.3 su PyPI scaricava automaticamente Bun ed eseguiva un payload JavaScript offuscato al momento dell’import. Secondo il report, il payload puntava a dati del browser, file .env, chiavi API, credenziali cloud e supportava esecuzione arbitraria di comandi. Con oltre 11 milioni di download al mese, non serve una diffusione enorme per causare una grave rottura di fiducia.


4. Il phishing via Amazon SES mostra come la fiducia cloud neutralizza le difese basate sulla reputazione

Kaspersky osserva un aumento di phishing inviato tramite Amazon SES, spesso reso possibile da chiavi AWS IAM esposte in repository pubblici, file .env, backup, immagini o bucket S3 aperti. Poiché i messaggi partono da infrastruttura SES legittima, possono superare SPF, DKIM e DMARC e rendere molto meno efficaci i blocchi tradizionali.


Cosa dovrebbero fare oggi i team di sicurezza

  1. Patchare Weaver E-cology e i kernel Linux vulnerabili prima di qualsiasi attività di igiene meno prioritaria.
  2. Controllare inventari software e pipeline CI per lightning 2.6.3, poi ruotare ogni segreto coinvolto.
  3. Rivedere i percorsi di esposizione AWS IAM e trattare l’abuso di SES come un fallimento di identità e gestione dei segreti.
  4. Allineare i responder sul tema di oggi: anche l’infrastruttura fidata va verificata, che si tratti di endpoint di debug, kernel, pacchetti o cloud mail.

Fonti


Conclusione: L’errore comune di oggi è fidarsi troppo di canali che sembrano legittimi. La risposta è noiosa ma giusta: patch rapide, rotazione immediata dei segreti e verifica di ogni piattaforma fidata come se fosse già parte del percorso di attacco.

Individua prima i percorsi fidati che gli attaccanti abuseranno

KENSAI aiuta i team a mappare servizi esposti, percorsi di identità deboli, dipendenze rischiose e superfici cloud prima che l’infrastruttura fidata diventi carburante per incidenti.

Avvia scansione gratuita →

Restate lucidi.

🗡️ KENSAI Security Team