KENSAI Ricerca sulla Sicurezza
🔴 Vulnerabilità critiche
Chrome 146 corregge due Zero-Day sfruttati (CVE-2026-3909 & CVE-2026-3910)
Google ha rilasciato patch di emergenza per due Zero-Day ad alta severità attivamente sfruttati. CVE-2026-3909 (CVSS 8.8) è una scrittura fuori limiti nella libreria grafica 2D Skia; CVE-2026-3910 colpisce il motore JavaScript V8. Entrambi consentono l'esecuzione remota di codice tramite pagine HTML appositamente create. Aggiornare Chrome immediatamente.
Vulnerabilità critica HPE AOS-CX consente il reset delle password admin
Una vulnerabilità critica negli switch di rete HPE Aruba AOS-CX consente ad attaccanti remoti non autenticati di aggirare i controlli di autenticazione e reimpostare le password degli amministratori. Le organizzazioni che utilizzano HPE AOS-CX dovrebbero applicare le patch con urgenza — nessuna interazione utente richiesta per lo sfruttamento.
9 falle «CrackArmor» in Linux AppArmor — Escalation a root e fuga da container
Qualys TRU ha divulgato nove vulnerabilità di tipo confused deputy nel modulo AppArmor del kernel Linux. Utenti non privilegiati possono scalare a root e violare l'isolamento dei container. Queste falle compromettono le garanzie di sicurezza fondamentali di Linux. Tutte le principali distribuzioni dovrebbero rilasciare patch del kernel questa settimana.
SQLi nel plugin WordPress «Ally» espone oltre 200.000 siti
Una vulnerabilità di SQL injection nel popolare plugin Ally per WordPress (oltre 200.000 installazioni) consente agli attaccanti di iniettare query ed estrarre contenuti sensibili dai database. Nessuna patch disponibile al momento della divulgazione. Gli amministratori dei siti dovrebbero disattivare il plugin fino al rilascio di una correzione.
💀 Violazioni dati e attacchi
Violazione dati dipendenti Starbucks tramite campagna di phishing
Starbucks ha confermato una violazione dei dati che ha colpito i dati dei dipendenti dopo attacchi di phishing mirati a un portale interno dei dipendenti. Centinaia di dipendenti colpiti con informazioni personali esposte. Il furto di credenziali è stato il vettore principale.
Attacco collegato all'Iran contro Stryker interrompe la produzione
Attori delle minacce iraniani hanno attaccato il produttore di dispositivi medici Stryker, interrompendo le operazioni di produzione e spedizione. Gli attaccanti hanno utilizzato strumenti di gestione degli endpoint esistenti (living off the land) invece di malware tradizionale per cancellare i dispositivi. Un impatto significativo sulla catena di approvvigionamento del settore sanitario.
Centro di ricerca nucleare polacco preso di mira da cyberattacco
Il Centro Nazionale di Ricerca Nucleare della Polonia (NCBJ) ha segnalato un cyberattacco contro la sua infrastruttura IT. L'attacco è stato rilevato e bloccato prima di causare danni, ma il prendere di mira istituzioni di ricerca nucleare segnala un'escalation delle operazioni cyber geopolitiche in Europa.
🕷️ Campagne di minacce e malware
APT cinese CL-STA-1087 prende di mira le forze armate del sud-est asiatico
Palo Alto Unit 42 ha scoperto una campagna APT collegata alla Cina che prende di mira organizzazioni militari del sud-est asiatico dal 2020. Utilizzando malware personalizzato (AppleChris, MemFun), il gruppo ha raccolto file specifici sulle capacità militari e sulla cooperazione militare occidentale. Dimostra «pazienza operativa strategica» — raccolta di intelligence altamente mirata, non furto di massa.
Storm-2561: Client VPN enterprise trojanizzati tramite avvelenamento SEO
Microsoft ha divulgato la campagna di Storm-2561 che distribuisce falsi client VPN di Ivanti, Cisco e Fortinet tramite avvelenamento SEO. Gli utenti che cercano software VPN enterprise legittimo vengono reindirizzati a siti controllati dagli attaccanti che servono trojan firmati digitalmente che rubano credenziali VPN. Tutti gli amministratori VPN enterprise dovrebbero emettere avvisi sulle fonti di download.
GlassWorm si intensifica: 72 estensioni Open VSX malevole
Un'importante escalation della campagna supply-chain GlassWorm ora abusa di extensionPack e extensionDependencies nel registro Open VSX per creare catene di infezione transitive attraverso 72 estensioni. Gli sviluppatori che utilizzano alternative a VS Code con Open VSX dovrebbero verificare le estensioni installate immediatamente.
SDK AppsFlyer dirottato per attacco supply-chain di furto crypto
L'SDK Web di AppsFlyer è stato temporaneamente compromesso con codice JavaScript malevolo progettato per rubare criptovalute. Questo attacco supply-chain ha colpito i siti che integravano il popolare SDK di analisi marketing. Il codice malevolo è stato rimosso, ma i siti che hanno memorizzato l'SDK in cache potrebbero ancora servirlo.
⚖️ Operazioni delle forze dell'ordine
INTERPOL Operazione Synergia III: 45.000 IP neutralizzati, 94 arresti
La più grande operazione anti-cybercrimine di INTERPOL ha coinvolto 72 paesi, neutralizzando 45.000 IP malevoli e sequestrando 212 server. 94 arresti effettuati con 110 ulteriori sotto indagine. Gli obiettivi includevano infrastrutture di phishing, distribuzione di malware e ransomware. Il solo Bangladesh ha visto 40 arresti e 134 dispositivi sequestrati.
Botnet proxy SocksEscort smantellato — 369.000 dispositivi in 163 paesi
Un'operazione internazionale autorizzata dal tribunale ha smantellato SocksEscort, un botnet proxy criminale che ha infettato 369.000 router residenziali con il malware AVrecon dal 2020. Il servizio vendeva l'accesso a router domestici compromessi per operazioni fraudolente, con 2.500 dispositivi statunitensi tra circa 8.000 nodi attivi.
L'FBI indaga sulla diffusione di malware tramite giochi Steam
L'FBI cerca vittime che hanno installato otto giochi malevoli caricati su Steam contenenti malware. L'indagine mira a una campagna che ha utilizzato la piattaforma di gaming come vettore di distribuzione di malware. I giocatori che hanno installato titoli sconosciuti nelle ultime settimane dovrebbero scansionare i propri sistemi.
🛡️ Strumenti di sicurezza e industria
Bold Security esce dalla modalità stealth — $40M di finanziamento
Bold Security è stata lanciata con $40M di finanziamento, utilizzando l'IA per trasformare gli endpoint in agenti di sicurezza attivi che comprendono il comportamento dell'utente e forniscono protezione in tempo reale. Rappresenta il continuo spostamento dell'industria verso la sicurezza degli endpoint autonoma e guidata dall'IA.
Onyx Security lanciata — $40M per la supervisione degli agenti IA
Onyx Security è stata lanciata con $40M per costruire un piano di controllo per la supervisione degli agenti IA autonomi. Direttamente rilevante per il mercato emergente della governance IA — aiutando le organizzazioni ad adottare agenti IA in sicurezza mantenendo i controlli di sicurezza.
Google ha pagato $17M in premi Bug Bounty nel 2025
Il programma Bug Bounty 2025 di Google ha pagato $17M in totale — $3,7M per vulnerabilità di Chrome e $3,5M per difetti di sicurezza cloud. Segnala il crescente valore (e volume) della ricerca sulle vulnerabilità nel mercato.
📌 Menzioni notevoli
Meta elimina la crittografia E2E delle chat Instagram (maggio 2026)
Meta interromperà la crittografia end-to-end per i messaggi diretti di Instagram dopo l'8 maggio 2026. Una significativa regressione della privacy che colpisce milioni di utenti. Media e messaggi dovrebbero essere scaricati prima della data limite.
Hacker collegati all'Iran espandono gli obiettivi negli USA
Gli hacker pro-iraniani stanno espandendo i loro obiettivi oltre il Medio Oriente verso appaltatori della difesa statunitensi, centrali elettriche e impianti idrici. L'escalation in condizioni di guerra aumenta il profilo di rischio per gli operatori di infrastrutture critiche statunitensi.
Hotpatch OOB di Microsoft per Windows 11 RRAS RCE
Microsoft ha rilasciato un aggiornamento fuori banda che corregge una vulnerabilità di sicurezza nel servizio Routing and Remote Access (RRAS) di Windows 11 Enterprise. Colpisce solo le distribuzioni Enterprise con hotpatch abilitato.
Apple aggiorna le versioni iOS precedenti contro gli exploit Coruna
Apple ha rilasciato iOS 16.7.15 e 15.8.7 per correggere gli exploit Coruna sui dispositivi più vecchi. Un appaltatore della difesa statunitense sarebbe dietro la catena di exploit Coruna. Gli iPhone e iPad più vecchi ancora in uso dovrebbero essere aggiornati immediatamente.
🎯 Rilevanza KENSAI e azioni raccomandate
- Attacchi supply-chain dominano: GlassWorm (VSX), SDK AppsFlyer e malware Steam — le capacità di scansione SBOM e analisi delle dipendenze di KENSAI sono angoli di contenuto direttamente rilevanti
- Falle Linux CrackArmor: Le vulnerabilità di fuga da container colpiscono le app ospitate nel cloud — angolo forte per contenuti di scansione dell'infrastruttura KENSAI rivolti ai team DevOps
- Due nuove startup di sicurezza IA ($80M combinati): Bold Security e Onyx Security validano il mercato della sicurezza IA. KENSAI dovrebbe posizionarsi rispetto a loro nella strategia di contenuto
- Escalation Iran APT: Obiettivi infrastrutture critiche USA + angoli di conformità NIS2 per contenuti del mercato DACH (energia, acqua, appaltatori della difesa)
- SQLi WordPress (200K siti): Buon candidato per la promozione della scansione gratuita KENSAI — «Il tuo sito WordPress è vulnerabile?»
- Furto credenziali VPN (Storm-2561): Opportunità di contenuto sull'igiene della sicurezza enterprise — monitoraggio credenziali, verifica dei download