Briefing giornaliero sulle minacce
Mercoledì 18–19 marzo 2026 · 14 notizie da 4 fonti
⚡ In sintesi — Le 5 cose da sapere
- Kit exploit iOS «DarkSword» — Attori statali sfruttano una catena di 6 vulnerabilità per la sorveglianza completa dell'iPhone
- Zero-day Cisco FMC (CVE-2026-20131, CVSS 10.0) — Il ransomware Interlock lo sfrutta attivamente da gennaio
- RCE GNU telnetd (CVE-2026-32746, CVSS 9.8) — Esecuzione di codice root senza autenticazione, senza patch disponibile
- Escalation root Ubuntu (CVE-2026-3888) — Installazioni predefinite di 24.04+ vulnerabili tramite bug di timing in systemd
- Sanzioni UE contro aziende cinesi e iraniane che sostengono operazioni di hacking statale contro gli stati membri
🔓 Violazioni ed esposizioni di dati
Aura conferma violazione che espone 900.000 contatti marketing
L'azienda di protezione dell'identità Aura ha confermato l'accesso non autorizzato a quasi 900.000 record clienti contenenti nomi e indirizzi e-mail. L'ironia che un'azienda di protezione dell'identità venga violata sottolinea che nessuna azienda è immune.
Marquis: gang ransomware ha rubato dati di 672.000 persone
Il fornitore texano di servizi finanziari Marquis ha rivelato che una gang ransomware ha rubato i dati di oltre 670.000 individui in un attacco di agosto 2025 che ha anche interrotto le operazioni di 74 banche negli Stati Uniti.
UK Companies House ha esposto dettagli di milioni di aziende
L'agenzia governativa britannica ha confermato una vulnerabilità che avrebbe potuto essere sfruttata per ottenere informazioni e alterare i registri di milioni di aziende registrate.
Hacker iraniani hanno usato credenziali rubate nella violazione di Stryker
Il colosso della tecnologia medica Stryker sta ripristinando i sistemi dopo che il gruppo hacker Handala, legato all'Iran, ha utilizzato credenziali rubate tramite malware per penetrare nella loro rete.
🛡️ Vulnerabilità critiche
Zero-day Cisco FMC — CVE-2026-20131 (CVSS 10.0)
La deserializzazione insicura di flussi di byte Java nel Cisco Secure Firewall Management Center consente ad attaccanti remoti non autenticati di ottenere accesso root. La gang ransomware Interlock sfrutta questa falla come zero-day dalla fine di gennaio 2026.
KENSAI Impact: Qualsiasi organizzazione che esegue Cisco FMC deve applicare la patch immediatamente. Questa è la classificazione di gravità più alta possibile ed è attivamente utilizzata come arma.
RCE GNU Telnetd — CVE-2026-32746 (CVSS 9.8)
Scrittura fuori dai limiti nella gestione LINEMODE Set del demone telnet GNU InetUtils consente l'esecuzione di codice remoto senza autenticazione con privilegi elevati. Attualmente senza patch — disabilitare telnetd se in esecuzione.
KENSAI Impact: L'infrastruttura legacy che ancora esegue telnetd è completamente esposta. Mitigazione immediata: disabilitare il servizio o bloccare la porta 23 con firewall.
Escalation root Ubuntu — CVE-2026-3888 (CVSS 7.8)
Un exploit di timing tra snap-confine e systemd-tmpfiles consente ad attaccanti locali senza privilegi di scalare a root completo su Ubuntu Desktop 24.04+. Richiede una finestra di 10–30 giorni ma porta alla compromissione completa dell'host.
Bypass Same-Origin Apple WebKit — CVE-2026-20643
Un problema cross-origin nell'API di Navigazione di WebKit aggira la policy same-origin su iOS, iPadOS e macOS. Apple l'ha corretto tramite il nuovo meccanismo «Background Security Improvements» — la prima volta che questo sistema leggero di distribuzione patch viene utilizzato.
Falla XSS in Zimbra — Sfruttamento attivo, CISA ordina la correzione
CISA ha ordinato alle agenzie federali statunitensi di correggere una vulnerabilità XSS attivamente sfruttata in Zimbra Collaboration Suite. I server di posta governativi che utilizzano ZCS sono a rischio.
Falla di verifica firma ConnectWise ScreenConnect
ConnectWise ha segnalato una vulnerabilità di verifica della firma crittografica in ScreenConnect che potrebbe portare ad accesso non autorizzato ed escalation di privilegi. Patch disponibile ora.
9 falle critiche IP KVM — Accesso root senza autenticazione
Nove vulnerabilità nei dispositivi GL-iNet, Angeet/Yeeso, Sipeed NanoKVM e JetKVM. Mancanza di validazione firmware, nessuna protezione contro brute force, controlli di accesso difettosi e interfacce di debug esposte consentono il controllo completo a livello BIOS.
Bypass WhatsApp View Once #4 — Meta non correggerà
Un ricercatore ha divulgato il quarto metodo per aggirare la funzione «Visualizza una volta» di WhatsApp. Meta ha confermato che non lo correggerà perché richiede un'applicazione client modificata.
💀 Ransomware & attacchi attivi
Kit exploit iOS «DarkSword» — Sorveglianza statale
Un nuovo kit exploit che prende di mira sei vulnerabilità iOS consente la compromissione completa del dispositivo a scopi di sorveglianza. Utilizzato da hacker sponsorizzati da stati e fornitori commerciali di spyware. Ruba dati dai wallet di criptovalute e altre app. Si tratta di una catena di exploit completa — non di un singolo bug.
KENSAI Impact: Le organizzazioni con obiettivi di alto valore (dirigenti, funzionari governativi) devono assicurarsi che tutti i dispositivi iOS siano immediatamente aggiornati.
Rete di lavoratori IT DPRK sanzionata da OFAC
Il Tesoro statunitense ha sanzionato sei individui e due entità coinvolti nello schema di lavoratori remoti fittizi della Corea del Nord. Gli agenti DPRK si infiltrano nelle aziende sotto false identità per generare entrate per i programmi di armamento.
L'UE sanziona aziende cinesi e iraniane per operazioni di hacking
L'UE ha sanzionato due individui cinesi, due aziende cinesi e un'azienda iraniana per il supporto a operazioni di hacking contro gli stati membri dell'UE. Significativo per il contesto di conformità NIS2.
KENSAI Impact: Le organizzazioni UE soggette a NIS2 devono aggiornare i propri feed di threat intelligence. Queste sanzioni validano il modello di minaccia statale per cui NIS2 è stata concepita.
Sistema e-mail di Nordstrom dirottato per truffe crypto
Gli attaccanti hanno abusato dell'infrastruttura e-mail legittima di Nordstrom per inviare messaggi di truffa crypto ai clienti, mascherati da promozione del giorno di San Patrizio. Hanno aggirato l'autenticazione e-mail perché i messaggi provenivano da indirizzi reali di Nordstrom.
🔧 Industria & strumenti
XBOW raccoglie 120 M$ con valutazione di 1 Mld$+ — Sicurezza offensiva autonoma
L'azienda di sicurezza offensiva autonoma XBOW ha raggiunto lo status di unicorno con un round da 120 M$. La loro piattaforma IA scopre e valida autonomamente vulnerabilità software — territorio di concorrenza diretta per il pentesting automatizzato di KENSAI.
KENSAI Impact: Valida il mercato per i test di sicurezza basati su IA. La valutazione di 1 Mld$+ di XBOW dimostra l'appetito degli investitori. Differenziatore chiave per KENSAI: focus multilingue sulla conformità NIS2 vs. l'approccio puro di scoperta vulnerabilità di XBOW.
Startup cloud security «Native» esce dalla modalità stealth — 42 M$ di finanziamento
La startup di sicurezza cloud Native ha raccolto 42 M$, con l'ex CISO di Google Cloud Phil Venables nel consiglio di amministrazione. Focus sulla sicurezza cloud-native.
Manifold raccoglie 8 M$ per rilevamento e risposta IA
Focalizzata sulla protezione dell'IA autonoma sugli endpoint, Manifold ha raccolto 8 M$ per investire nello sviluppo di prodotti di rilevamento minacce specifici per l'IA.
Giganti tech investono 12,5 M$ nella sicurezza open source
Anthropic, AWS, Google, Microsoft e OpenAI finanziano le iniziative di sicurezza a lungo termine della Linux Foundation focalizzate sulla sicurezza del software open source.
📡 Pattern di minacce emergenti
Infrastruttura IA sotto attacco — Amazon Bedrock, LangSmith, SGLang
Nuove ricerche mostrano che gli ambienti di esecuzione codice IA possono essere sfruttati tramite query DNS per l'esfiltrazione dei dati. La sandbox di Amazon Bedrock AgentCore consente DNS in uscita che gli attaccanti sfruttano per shell interattive. Anche LangSmith e SGLang sono interessati. Lo stack IA sta diventando una superficie di attacco di primo livello.
KENSAI Impact: La sicurezza IA non è più teorica — è una superficie di attacco attiva. Questo valida il posizionamento di KENSAI attorno ai test di sicurezza IA. Le aziende che implementano agenti IA necessitano di scansioni di sicurezza.
Il 67% dei CISOs ha visibilità limitata sull'utilizzo dell'IA
Il report benchmark 2026 di Pentera ha rilevato che il 67% dei CISOs ha visibilità limitata su come l'IA viene utilizzata nella propria organizzazione. Nessun intervistato ha riportato visibilità completa. L'adozione dell'IA supera i controlli di sicurezza — gli strumenti e le competenze a difesa dei sistemi IA appartengono a un'era passata.
IA ombra nelle app SaaS abilita violazioni massive
L'IA ombra nascosta nelle applicazioni SaaS sta creando percorsi dati incontrollati. Le funzionalità di IA agentica abilitate automaticamente negli strumenti già utilizzati dai dipendenti fanno sì che i team di sicurezza non abbiano visibilità su quali dati vengano elaborati e dove.
Attacchi basati sul browser aggirano i controlli di sicurezza
Il report di Push Security evidenzia phishing AITM, ClickFix, app OAuth malevole e session hijacking come i vettori di attacco dietro le più grandi violazioni attuali — tutti operano all'interno del browser dove gli strumenti di sicurezza tradizionali hanno visibilità limitata.
Magecart evolve: payload nascosti nei dati EXIF dei favicon dinamici
Nuova tecnica Magecart nasconde payload malevoli all'interno dei dati EXIF di favicon di terze parti caricati dinamicamente. Poiché il codice malevolo non tocca mai il repository, nessuno scanner di codice statico — nemmeno quelli alimentati da IA — lo rileverà. Solo il monitoraggio runtime lato client può individuarlo.