🛡️ KENSAI Security Intelligence
Riepilogo Esecutivo
- Violazione di Ericsson US tramite compromissione di un fornitore di servizi — sottratti dati di dipendenti e clienti
- 0-day Cisco SD-WAN (CVE-2026-20127) ora ampiamente sfruttato con PoC pubblico
- CISA aggiunge falle dell'exploit kit iOS — il kit Coruna prende di mira 23 vulnerabilità (iOS 13–17.2.1)
- Hacker statali russi prendono di mira account Signal e WhatsApp di funzionari governativi
- ShinyHunters sfrutta attivamente un bug di Salesforce Aura per il furto di dati
- FBI indaga su attività sospette in un sistema di sorveglianza sensibile
- OpenAI lancia Codex Security — agente AI ha analizzato 1,2 milioni di commit, trovati 10.500 problemi ad alta severità
🔓 Violazioni di dati e incidenti
Ericsson US rivela una violazione di dati dopo l'attacco a un fornitore di servizi
Ericsson Inc. (sussidiaria statunitense) ha confermato che gli aggressori hanno sottratto dati di dipendenti e clienti dopo aver compromesso uno dei suoi fornitori di servizi terzi. L'entità della violazione non è stata resa nota. Si tratta dell'ennesimo attacco alla supply chain che evidenzia le carenze nella gestione del rischio dei fornitori.
ShinyHunters sfrutta Salesforce Aura per il furto attivo di dati
Salesforce sta avvisando i clienti riguardo a piattaforme Experience Cloud mal configurate che concedono agli utenti ospiti un accesso eccessivo ai dati. Il gruppo di estorsione ShinyHunters afferma di sfruttare una nuova vulnerabilità per sottrarre attivamente dati dalle istanze Salesforce, andando oltre il problema di misconfiguration.
FBI indaga sulla violazione di un sistema di sorveglianza sensibile
L'FBI sta indagando su attività informatiche "sospette" su un sistema contenente informazioni di sorveglianza sensibili. L'agenzia ha notificato il Congresso e sta lavorando per determinare portata e impatto. I dettagli restano classificati.
UNC4899 (Corea del Nord) ha violato un'azienda crypto tramite AirDrop trojanizzato
L'attore di minaccia nordcoreano UNC4899 (noto anche come Jade Sleet/TraderTraitor) ha compromesso un'organizzazione di criptovalute inducendo uno sviluppatore, tramite ingegneria sociale, a trasferire via AirDrop un file trojanizzato sul proprio dispositivo di lavoro. Gli aggressori si sono spostati nell'infrastruttura cloud utilizzando tecniche living-off-the-cloud per rubare milioni in criptovaluta.
🚨 CVE critiche e vulnerabilità
Cisco Catalyst SD-WAN — Zero-Day attivamente sfruttato
Vulnerabilità di massima severità in Cisco Catalyst SD-WAN Controller e SD-WAN Manager. Rilasciato exploit PoC pubblico. WatchTowr segnala sfruttamento diffuso da numerosi IP univoci. Consente il bypass dell'autenticazione e l'accesso root. Applicare la patch immediatamente.
Nginx UI — Download e decrittazione di backup senza autenticazione
Vulnerabilità critica in Nginx UI consente ad aggressori non autenticati di scaricare e decrittare backup completi del sistema, esponendo file di configurazione, credenziali e dati sensibili.
Piattaforma AVideo — Iniezione di comandi zero-click
Falla zero-click di massima severità nella piattaforma di hosting video open-source AVideo consente agli aggressori di eseguire comandi arbitrari sui server di streaming senza alcuna interazione dell'utente.
MongoDB — Crash del server senza autenticazione
Vulnerabilità CVSS 7.5 consente ad aggressori non autenticati di mandare in crash server MongoDB esposti utilizzando una larghezza di banda minima. Scoperta dai ricercatori di Cato CTRL.
Plugin WordPress Membership — Creazione di account amministratore
Il plugin User Registration & Membership per WordPress consente ad aggressori non autenticati di aggirare i controlli di sicurezza e creare account amministratore.
CISA aggiunge le falle dell'exploit kit iOS Coruna al KEV
Exploit kit iOS di livello statale ("Coruna") prende di mira 23 vulnerabilità che interessano iOS da 13 a 17.2.1. CISA le ha aggiunte al catalogo Known Exploited Vulnerabilities il 5 marzo. Sfruttamento attivo confermato.
Cisco Secure Firewall Management Center — RCE e bypass dell'autenticazione
Due avvisi critici separati per Cisco FMC: uno consente l'esecuzione di codice remoto (massima severità), l'altro consente il bypass dell'autenticazione senza credenziali.
Falla in ExifTool — Immagini malevole attivano l'esecuzione di codice su macOS
I ricercatori di Kaspersky hanno scoperto una vulnerabilità in cui immagini malevole possono attivare l'esecuzione di codice su macOS tramite ExifTool, mettendo in discussione le convinzioni sull'immunità di macOS al malware.
Aggiornamento di emergenza di Google Chrome — 10 correzioni di sicurezza
Google ha aggiornato Chrome Stable alla versione 145.0.7632.159, correggendo 10 vulnerabilità di sicurezza incluse problematiche critiche.
🕵️ Attori di minaccia e campagne
Hacker statali russi dirottano account Signal e WhatsApp
Il governo olandese ha emesso un avviso: hacker sponsorizzati dallo stato russo stanno conducendo una campagna di phishing rivolta a funzionari governativi, personale militare e giornalisti per dirottare i loro account Signal e WhatsApp e accedere ai messaggi crittografati.
CL-UNK-1068 — Spionaggio cinese nelle infrastrutture critiche asiatiche
Palo Alto Unit 42 ha scoperto una campagna di spionaggio cinese pluriennale (CL-UNK-1068) rivolta ai settori aviazione, energia, governo, farmaceutico e telecomunicazioni nel Sud, Sud-Est e Est Asia. Utilizza malware personalizzato, strumenti open-source modificati e LOLBINs per la persistenza.
Phishing tramite Microsoft Teams distribuisce il malware A0Backdoor
Gli aggressori hanno contattato dipendenti di organizzazioni finanziarie e sanitarie tramite Microsoft Teams, inducendoli a concedere l'accesso remoto attraverso Quick Assist per distribuire un nuovo ceppo di malware chiamato "A0Backdoor".
L'attacco ClickFix usa Windows Terminal per eludere il rilevamento
Una nuova variante delle pagine di phishing con CAPTCHA fasullo istruisce le vittime a incollare comandi malevoli nel Windows Terminal anziché nella finestra Esegui, eludendo i metodi di rilevamento tradizionali.
Oltre 100 repository GitHub distribuiscono lo stealer BoryptGrab
Più di 100 repository GitHub stanno distribuendo l'information stealer BoryptGrab, che prende di mira dati del browser, portafogli di criptovalute, informazioni di sistema e file utente.
Estensioni Chrome diventano malevole dopo il trasferimento di proprietà
Due estensioni Chrome (QuickLens, ShotBird) sono diventate malevole dopo il trasferimento di proprietà, abilitando l'iniezione di codice e il furto di dati per circa 7.800 utenti. Evidenzia il rischio continuo della supply chain nell'ecosistema delle estensioni browser.
Pacchetto npm malevolo distribuisce RAT (stealer di credenziali)
JFrog ha scoperto un pacchetto npm malevolo che ruba credenziali di sistema, dati del browser, portafogli crypto, chiavi SSH, Apple Keychain e cronologia iMessage. Installa un RAT persistente con proxy SOCKS5 e clonazione di sessioni browser in tempo reale. 178 download prima della scoperta.
Mail2Shell — RCE zero-click nel help desk FreeScout
Vulnerabilità critica zero-click nel help desk open-source FreeScout consente agli aggressori di prendere il controllo dei server di posta semplicemente inviando un'email appositamente creata — nessuna interazione dell'utente necessaria.
🔧 Strumenti di sicurezza e aggiornamenti di settore
OpenAI lancia l'agente Codex Security
OpenAI ha rilasciato Codex Security — un agente di sicurezza basato su AI che individua, valida e propone correzioni per le vulnerabilità. In anteprima, ha analizzato 1,2 milioni di commit e trovato 10.561 problemi ad alta severità. Disponibile per gli utenti ChatGPT Pro/Enterprise/Business/Edu. Gratuito per il primo mese.
Google: gli attacchi cloud passano dalle credenziali deboli allo sfruttamento delle vulnerabilità
Il rapporto Cloud Threat Horizons H1 2026 di Google rivela che gli aggressori sfruttano sempre più le falle software di terze parti appena divulgate (non solo credenziali deboli) per compromettere gli ambienti cloud. La finestra di sfruttamento si è ridotta da settimane a giorni.
M&A nella cybersecurity: 42 operazioni a febbraio 2026
Operazioni importanti annunciate da Check Point, Booz Allen, Proofpoint, Sophos, Palo Alto Networks e Zscaler. Il consolidamento prosegue a ritmo aggressivo nel mercato della cybersecurity.
ArmorCode raccoglie 16 milioni di dollari per la gestione dell'esposizione
ArmorCode ha ottenuto 16 milioni di dollari per accelerare lo sviluppo della piattaforma per la gestione della postura di sicurezza applicativa e la gestione dell'esposizione.
Strategia cyber di Trump: avversari, infrastrutture critiche, tecnologie emergenti
La nuova strategia cyber statunitense chiede una deterrenza più forte contro gli avversari informatici, la modernizzazione delle reti federali, la protezione delle infrastrutture critiche e investimenti in AI e crittografia post-quantistica.
Corte UE: le banche devono rimborsare immediatamente le vittime di phishing
L'Avvocato Generale della Corte di Giustizia dell'UE ha emesso un parere formale che suggerisce che le banche debbano rimborsare immediatamente le vittime di transazioni non autorizzate legate al phishing. Potrebbe diventare un precedente vincolante in tutti gli Stati membri dell'UE.
📊 Pattern di minaccia emergenti
Tendenze chiave di questa settimana
1. Attacchi alla supply chain in accelerazione: Pacchetti npm malevoli, trasferimenti di proprietà di estensioni Chrome e compromissioni di fornitori di servizi (Ericsson) — tre diversi vettori di attacco alla supply chain in 24 ore. Le catene di fiducia sono la nuova superficie di attacco.
2. Finestra di sfruttamento cloud in contrazione: Il rapporto di Google conferma che gli aggressori sfruttano le vulnerabilità appena divulgate in giorni, non settimane. Gli SLA di patching devono essere misurati in ore per i servizi esposti al cloud.
3. App di messaggistica nel mirino degli stati-nazione: APT russi prendono specificamente di mira Signal e WhatsApp per il dirottamento degli account. Le app di messaggistica crittografata sono obiettivi ad alto valore per lo spionaggio, non rifugi sicuri.
4. Strumenti di sicurezza AI diventano mainstream: Il lancio di Codex Security di OpenAI (1,2 milioni di commit analizzati) segnala che il rilevamento delle vulnerabilità basato su AI sta passando da nicchia a strumento DevSecOps predefinito. Concorrenza diretta per il mercato di KENSAI.
5. Infrastruttura Cisco sotto assedio: 0-day SD-WAN, RCE nel Firewall Management e bypass dell'autenticazione — i prodotti Cisco stanno registrando un cluster di vulnerabilità critiche. Le organizzazioni con infrastruttura Cisco necessitano di cicli di patching d'emergenza.