← Torna al Blog
Briefing di Sicurezza 🔴 Critico

Cloud Sotto Assedio: Vulnerabilità Critiche AWS, Azure & GCP

6 min di lettura
URGENZA CRITICA

Sintesi Esecutiva

Vulnerabilità critiche scoperte in AWS IAM Identity Center e Azure Active Directory rappresentano un rischio immediato per gli ambienti cloud. Google Cloud Platform conferma accessi non autorizzati ai metadati di Cloud SQL. Le organizzazioni multi-cloud affrontano attacchi coordinati che sfruttano le relazioni di trust tra i provider.

⚡ In sintesi: Applichi immediatamente le patch per AWS IAM Identity Center e Azure AD. Verifichi le relazioni di trust cross-cloud.

☁️
Critico — CVSS 9.8

CVE-2026-22103: Bypass dell'Autenticazione AWS IAM Identity Center

Perché È Importante

Una vulnerabilità critica di bypass dell'autenticazione in AWS IAM Identity Center consente agli aggressori con accesso di rete ai provider di identità federati di assumere qualsiasi ruolo negli account AWS connessi. Rilevato sfruttamento attivo in ambiente reale.

Impatto Descrizione
Acquisizione Account Accesso amministrativo completo a tutti gli account AWS connessi
Esfiltrazione Dati Accesso a S3, RDS, Secrets Manager e tutti i servizi
Persistenza Creazione di utenti e ruoli IAM backdoor
Frode di Fatturazione Cryptomining e abuso di risorse

Come Proteggersi — Azioni da Intraprendere

  • Applichi immediatamente la patch di emergenza AWS tramite la console Identity Center
  • Verifichi i log CloudTrail per eventi AssumeRole sospetti dal 15 gennaio
  • Abiliti AWS CloudTrail Lake per analisi forensi avanzate
  • Ruoti tutti i certificati dei provider di identità federati
  • Abiliti IAM Access Analyzer per la verifica degli accessi cross-account
🔵
Critico

Bypass delle Policy di Conditional Access di Azure AD (CVE-2026-22198)

Perché È Importante

Una falla nel motore di valutazione del Conditional Access di Azure Active Directory consente agli aggressori di bypassare le policy di conformità dei dispositivi e basate sulla posizione utilizzando token di autenticazione manipolati. Microsoft conferma lo sfruttamento attivo mirato alle aziende con deployment ibridi Azure AD.

Scenario Peggiore

🔓

Bypass MFA

Bypass dei requisiti di autenticazione multifattore per account privilegiati.

📍

Spoofing della Posizione

Accesso da località/dispositivi non attendibili che appaiono legittimi.

🔗

Compromissione SaaS

Compromissione delle applicazioni SaaS connesse ad Azure AD.

Come Proteggersi — Azioni da Intraprendere

  • Applichi l'aggiornamento di sicurezza di emergenza Microsoft KB5034441
  • Abiliti la Continuous Access Evaluation (CAE) per tutte le app critiche
  • Verifichi i log di accesso di Azure AD per claim di token anomali
  • Implementi le policy basate sul rischio di Azure AD Identity Protection
  • Distribuisca le regole di rilevamento di Microsoft Sentinel per tentativi di bypass delle policy
🟢
Urgente

Incidente di Esposizione dei Metadati Google Cloud SQL

Perché È Importante

Google ha divulgato un accesso non autorizzato ai metadati delle istanze Cloud SQL che interessa i clienti nelle regioni us-central1 ed europe-west1. I dati esposti includono stringhe di connessione al database, indirizzi IP e, in alcuni casi, credenziali memorizzate.

Come Proteggersi — Azioni da Intraprendere

  • Ruoti tutte le credenziali dei database Cloud SQL
  • Verifichi le istanze Cloud SQL per whitelist IP non autorizzate
  • Abiliti Cloud SQL Insights per il monitoraggio delle query
  • Migri i carichi di lavoro sensibili a Cloud SQL con solo IP privato
  • Verifichi le autorizzazioni IAM per i ruoli cloudsql.instances.*
🌐
Campagna Attiva

Campagna di Sfruttamento del Trust Cross-Cloud

Perché È Importante

L'attore di minaccia "CloudHopper 2.0" sta attivamente sfruttando le relazioni di trust tra AWS, Azure e GCP negli ambienti multi-cloud. L'accesso iniziale avviene tipicamente dal cloud meno protetto, per poi ruotare attraverso credenziali condivise e identità federate.

Come Proteggersi — Azioni da Intraprendere

  • Verifichi i ruoli IAM cross-cloud e gli account di servizio
  • Implementi credenziali univoche per ciascun provider cloud
  • Distribuisca strumenti CSPM cloud-nativi per visibilità unificata
  • Segmenti le reti cloud a livello di identità
  • Verifichi le configurazioni VPN e peering cloud-to-cloud
📦
Alto

Esposizione dei File di Stato Terraform tramite Errata Configurazione S3

Perché È Importante

I ricercatori hanno scoperto oltre 2.400 file di stato Terraform pubblicamente accessibili in bucket S3 contenenti credenziali cloud, chiavi API e dettagli dell'infrastruttura. Molti appartengono ad aziende Fortune 500.

Come Proteggersi — Azioni da Intraprendere

  • Abiliti S3 Block Public Access a livello di account
  • Migri lo stato Terraform a backend crittografati (S3+DynamoDB con KMS)
  • Utilizzi terraform-compliance per verificare le configurazioni di stato
  • Abiliti le regole AWS Config per il rilevamento di bucket S3 pubblici

Esegua ora una scansione KENSAI per verificare se la Sua infrastruttura cloud è interessata

🗡️ Scansioni i Suoi Sistemi →

La Sua Checklist di Azioni per Questa Settimana

Critico — Da Fare Oggi
  • Applichi immediatamente la patch per AWS IAM Identity Center
  • Applichi l'aggiornamento di sicurezza Azure AD KB5034441
  • Ruoti le credenziali Google Cloud SQL se nelle regioni interessate
Alto — Da Fare Questa Settimana
  • Verifichi le relazioni di trust cross-cloud e le credenziali condivise
  • Abiliti il logging avanzato su tutti i provider cloud
  • Verifichi l'archiviazione e la crittografia dei file di stato Terraform
Medio — In Corso
  • Implementi le regole di rilevamento SIEM cloud-native
  • Pianifichi una valutazione della postura di sicurezza multi-cloud
  • Distribuisca strumenti CSPM per visibilità unificata

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home