Il modello di questa mattina è l’effetto leva attraverso infrastruttura fidata: software di workflow, kernel Linux, dipendenze di sviluppo ed e-mail cloud legittima diventano corsie veloci di attacco quando i team danno per sicuro il canale stesso.
In breve: Patchate rapidamente Weaver E-cology e i kernel Linux, rimuovete lightning 2.6.3 ovunque sia stato importato, ruotate i segreti esposti e trattate l’abuso di Amazon SES come un problema di identità cloud, non solo di filtraggio e-mail.
BleepingComputer riferisce che CVE-2026-22679 in Weaver E-cology viene sfruttata da metà marzo. Vega descrive una RCE senza autenticazione tramite una API di debug esposta che permetteva ai parametri controllati dall’attaccante di raggiungere funzioni RPC backend e comandi di sistema. L’attività osservata include ricognizione, payload PowerShell e recuperi ripetuti di script fileless.
CISA ha aggiunto CVE-2026-31431, nota come Copy Fail, al catalogo KEV un giorno dopo la divulgazione pubblica. Il bug si trova nell’interfaccia algif_aead e consente a utenti locali non privilegiati di ottenere root scrivendo byte controllati nella page cache di qualsiasi file leggibile. Theori afferma che lo stesso exploit ha funzionato in modo affidabile su Ubuntu, Amazon Linux, RHEL e SUSE.
Una release malevola di lightning 2.6.3 su PyPI scaricava automaticamente Bun ed eseguiva un payload JavaScript offuscato al momento dell’import. Secondo il report, il payload puntava a dati del browser, file .env, chiavi API, credenziali cloud e supportava esecuzione arbitraria di comandi. Con oltre 11 milioni di download al mese, non serve una diffusione enorme per causare una grave rottura di fiducia.
Kaspersky osserva un aumento di phishing inviato tramite Amazon SES, spesso reso possibile da chiavi AWS IAM esposte in repository pubblici, file .env, backup, immagini o bucket S3 aperti. Poiché i messaggi partono da infrastruttura SES legittima, possono superare SPF, DKIM e DMARC e rendere molto meno efficaci i blocchi tradizionali.
Conclusione: L’errore comune di oggi è fidarsi troppo di canali che sembrano legittimi. La risposta è noiosa ma giusta: patch rapide, rotazione immediata dei segreti e verifica di ogni piattaforma fidata come se fosse già parte del percorso di attacco.
KENSAI aiuta i team a mappare servizi esposti, percorsi di identità deboli, dipendenze rischiose e superfici cloud prima che l’infrastruttura fidata diventi carburante per incidenti.
Avvia scansione gratuita →Restate lucidi.
🗡️ KENSAI Security Team