剣 KENSAI
← Back to archive

Briefing giornaliero sulle minacce

Mercoledì 18–19 marzo 2026 · 14 notizie da 4 fonti

⚡ In sintesi — Le 5 cose da sapere

  • Kit exploit iOS «DarkSword» — Attori statali sfruttano una catena di 6 vulnerabilità per la sorveglianza completa dell'iPhone
  • Zero-day Cisco FMC (CVE-2026-20131, CVSS 10.0) — Il ransomware Interlock lo sfrutta attivamente da gennaio
  • RCE GNU telnetd (CVE-2026-32746, CVSS 9.8) — Esecuzione di codice root senza autenticazione, senza patch disponibile
  • Escalation root Ubuntu (CVE-2026-3888) — Installazioni predefinite di 24.04+ vulnerabili tramite bug di timing in systemd
  • Sanzioni UE contro aziende cinesi e iraniane che sostengono operazioni di hacking statale contro gli stati membri

🔓 Violazioni ed esposizioni di dati

Aura conferma violazione che espone 900.000 contatti marketing

Violazione dati 18 mar

L'azienda di protezione dell'identità Aura ha confermato l'accesso non autorizzato a quasi 900.000 record clienti contenenti nomi e indirizzi e-mail. L'ironia che un'azienda di protezione dell'identità venga violata sottolinea che nessuna azienda è immune.

Marquis: gang ransomware ha rubato dati di 672.000 persone

Violazione dati Ransomware 18 mar

Il fornitore texano di servizi finanziari Marquis ha rivelato che una gang ransomware ha rubato i dati di oltre 670.000 individui in un attacco di agosto 2025 che ha anche interrotto le operazioni di 74 banche negli Stati Uniti.

UK Companies House ha esposto dettagli di milioni di aziende

Esposizione dati 18 mar

L'agenzia governativa britannica ha confermato una vulnerabilità che avrebbe potuto essere sfruttata per ottenere informazioni e alterare i registri di milioni di aziende registrate.

Hacker iraniani hanno usato credenziali rubate nella violazione di Stryker

Violazione dati Stato-nazione 18 mar

Il colosso della tecnologia medica Stryker sta ripristinando i sistemi dopo che il gruppo hacker Handala, legato all'Iran, ha utilizzato credenziali rubate tramite malware per penetrare nella loro rete.

🛡️ Vulnerabilità critiche

Zero-day Cisco FMC — CVE-2026-20131 (CVSS 10.0)

CRITICO Sfruttamento attivo 18 mar

La deserializzazione insicura di flussi di byte Java nel Cisco Secure Firewall Management Center consente ad attaccanti remoti non autenticati di ottenere accesso root. La gang ransomware Interlock sfrutta questa falla come zero-day dalla fine di gennaio 2026.

KENSAI Impact: Qualsiasi organizzazione che esegue Cisco FMC deve applicare la patch immediatamente. Questa è la classificazione di gravità più alta possibile ed è attivamente utilizzata come arma.

RCE GNU Telnetd — CVE-2026-32746 (CVSS 9.8)

CRITICO Senza patch 18 mar

Scrittura fuori dai limiti nella gestione LINEMODE Set del demone telnet GNU InetUtils consente l'esecuzione di codice remoto senza autenticazione con privilegi elevati. Attualmente senza patch — disabilitare telnetd se in esecuzione.

KENSAI Impact: L'infrastruttura legacy che ancora esegue telnetd è completamente esposta. Mitigazione immediata: disabilitare il servizio o bloccare la porta 23 con firewall.

Escalation root Ubuntu — CVE-2026-3888 (CVSS 7.8)

ALTO Installazioni predefinite interessate 18 mar

Un exploit di timing tra snap-confine e systemd-tmpfiles consente ad attaccanti locali senza privilegi di scalare a root completo su Ubuntu Desktop 24.04+. Richiede una finestra di 10–30 giorni ma porta alla compromissione completa dell'host.

Bypass Same-Origin Apple WebKit — CVE-2026-20643

ALTO Corretto 18 mar

Un problema cross-origin nell'API di Navigazione di WebKit aggira la policy same-origin su iOS, iPadOS e macOS. Apple l'ha corretto tramite il nuovo meccanismo «Background Security Improvements» — la prima volta che questo sistema leggero di distribuzione patch viene utilizzato.

Falla XSS in Zimbra — Sfruttamento attivo, CISA ordina la correzione

ALTO Sfruttamento attivo 18 mar

CISA ha ordinato alle agenzie federali statunitensi di correggere una vulnerabilità XSS attivamente sfruttata in Zimbra Collaboration Suite. I server di posta governativi che utilizzano ZCS sono a rischio.

Falla di verifica firma ConnectWise ScreenConnect

ALTO Corretto 18 mar

ConnectWise ha segnalato una vulnerabilità di verifica della firma crittografica in ScreenConnect che potrebbe portare ad accesso non autorizzato ed escalation di privilegi. Patch disponibile ora.

9 falle critiche IP KVM — Accesso root senza autenticazione

CRITICO 4 produttori interessati 18 mar

Nove vulnerabilità nei dispositivi GL-iNet, Angeet/Yeeso, Sipeed NanoKVM e JetKVM. Mancanza di validazione firmware, nessuna protezione contro brute force, controlli di accesso difettosi e interfacce di debug esposte consentono il controllo completo a livello BIOS.

Bypass WhatsApp View Once #4 — Meta non correggerà

Privacy Nessuna correzione prevista 18 mar

Un ricercatore ha divulgato il quarto metodo per aggirare la funzione «Visualizza una volta» di WhatsApp. Meta ha confermato che non lo correggerà perché richiede un'applicazione client modificata.

💀 Ransomware & attacchi attivi

Kit exploit iOS «DarkSword» — Sorveglianza statale

CRITICO Stato-nazione 18 mar

Un nuovo kit exploit che prende di mira sei vulnerabilità iOS consente la compromissione completa del dispositivo a scopi di sorveglianza. Utilizzato da hacker sponsorizzati da stati e fornitori commerciali di spyware. Ruba dati dai wallet di criptovalute e altre app. Si tratta di una catena di exploit completa — non di un singolo bug.

KENSAI Impact: Le organizzazioni con obiettivi di alto valore (dirigenti, funzionari governativi) devono assicurarsi che tutti i dispositivi iOS siano immediatamente aggiornati.

Rete di lavoratori IT DPRK sanzionata da OFAC

Stato-nazione Sanzioni 18 mar

Il Tesoro statunitense ha sanzionato sei individui e due entità coinvolti nello schema di lavoratori remoti fittizi della Corea del Nord. Gli agenti DPRK si infiltrano nelle aziende sotto false identità per generare entrate per i programmi di armamento.

L'UE sanziona aziende cinesi e iraniane per operazioni di hacking

Geopolitica Rilevante per NIS2 18 mar

L'UE ha sanzionato due individui cinesi, due aziende cinesi e un'azienda iraniana per il supporto a operazioni di hacking contro gli stati membri dell'UE. Significativo per il contesto di conformità NIS2.

KENSAI Impact: Le organizzazioni UE soggette a NIS2 devono aggiornare i propri feed di threat intelligence. Queste sanzioni validano il modello di minaccia statale per cui NIS2 è stata concepita.

Sistema e-mail di Nordstrom dirottato per truffe crypto

Abuso e-mail 18 mar

Gli attaccanti hanno abusato dell'infrastruttura e-mail legittima di Nordstrom per inviare messaggi di truffa crypto ai clienti, mascherati da promozione del giorno di San Patrizio. Hanno aggirato l'autenticazione e-mail perché i messaggi provenivano da indirizzi reali di Nordstrom.

🔧 Industria & strumenti

XBOW raccoglie 120 M$ con valutazione di 1 Mld$+ — Sicurezza offensiva autonoma

Finanziamento Monitoraggio concorrenza 18 mar

L'azienda di sicurezza offensiva autonoma XBOW ha raggiunto lo status di unicorno con un round da 120 M$. La loro piattaforma IA scopre e valida autonomamente vulnerabilità software — territorio di concorrenza diretta per il pentesting automatizzato di KENSAI.

KENSAI Impact: Valida il mercato per i test di sicurezza basati su IA. La valutazione di 1 Mld$+ di XBOW dimostra l'appetito degli investitori. Differenziatore chiave per KENSAI: focus multilingue sulla conformità NIS2 vs. l'approccio puro di scoperta vulnerabilità di XBOW.

Startup cloud security «Native» esce dalla modalità stealth — 42 M$ di finanziamento

Finanziamento 18 mar

La startup di sicurezza cloud Native ha raccolto 42 M$, con l'ex CISO di Google Cloud Phil Venables nel consiglio di amministrazione. Focus sulla sicurezza cloud-native.

Manifold raccoglie 8 M$ per rilevamento e risposta IA

Finanziamento 18 mar

Focalizzata sulla protezione dell'IA autonoma sugli endpoint, Manifold ha raccolto 8 M$ per investire nello sviluppo di prodotti di rilevamento minacce specifici per l'IA.

Giganti tech investono 12,5 M$ nella sicurezza open source

Open Source 18 mar

Anthropic, AWS, Google, Microsoft e OpenAI finanziano le iniziative di sicurezza a lungo termine della Linux Foundation focalizzate sulla sicurezza del software open source.

📡 Pattern di minacce emergenti

Infrastruttura IA sotto attacco — Amazon Bedrock, LangSmith, SGLang

Sicurezza IA Emergente 17–18 mar

Nuove ricerche mostrano che gli ambienti di esecuzione codice IA possono essere sfruttati tramite query DNS per l'esfiltrazione dei dati. La sandbox di Amazon Bedrock AgentCore consente DNS in uscita che gli attaccanti sfruttano per shell interattive. Anche LangSmith e SGLang sono interessati. Lo stack IA sta diventando una superficie di attacco di primo livello.

KENSAI Impact: La sicurezza IA non è più teorica — è una superficie di attacco attiva. Questo valida il posizionamento di KENSAI attorno ai test di sicurezza IA. Le aziende che implementano agenti IA necessitano di scansioni di sicurezza.

Il 67% dei CISOs ha visibilità limitata sull'utilizzo dell'IA

Sicurezza IA Ricerca 17 mar

Il report benchmark 2026 di Pentera ha rilevato che il 67% dei CISOs ha visibilità limitata su come l'IA viene utilizzata nella propria organizzazione. Nessun intervistato ha riportato visibilità completa. L'adozione dell'IA supera i controlli di sicurezza — gli strumenti e le competenze a difesa dei sistemi IA appartengono a un'era passata.

IA ombra nelle app SaaS abilita violazioni massive

IA ombra Rischio SaaS 18 mar

L'IA ombra nascosta nelle applicazioni SaaS sta creando percorsi dati incontrollati. Le funzionalità di IA agentica abilitate automaticamente negli strumenti già utilizzati dai dipendenti fanno sì che i team di sicurezza non abbiano visibilità su quali dati vengano elaborati e dove.

Attacchi basati sul browser aggirano i controlli di sicurezza

Sicurezza browser 18 mar

Il report di Push Security evidenzia phishing AITM, ClickFix, app OAuth malevole e session hijacking come i vettori di attacco dietro le più grandi violazioni attuali — tutti operano all'interno del browser dove gli strumenti di sicurezza tradizionali hanno visibilità limitata.

Magecart evolve: payload nascosti nei dati EXIF dei favicon dinamici

Supply Chain Evasione 18 mar

Nuova tecnica Magecart nasconde payload malevoli all'interno dei dati EXIF di favicon di terze parti caricati dinamicamente. Poiché il codice malevolo non tocca mai il repository, nessuno scanner di codice statico — nemmeno quelli alimentati da IA — lo rileverà. Solo il monitoraggio runtime lato client può individuarlo.