Bollettino di Sicurezza
⚡ TL;DR — Le Notizie Chiave di Oggi
- Kit di exploit iOS DarkSword — secondo kit full-chain per iOS in un mese, 3 zero-day, gruppo di spionaggio russo UNC6353 prende di mira l'Ucraina. iOS 18.4–18.7 coinvolti.
- Gli hacktivisti Handala hanno cancellato 80.000 dispositivi Stryker tramite Microsoft Intune — l'FBI ha sequestrato il loro sito di leak. CISA ha emesso linee guida per il rafforzamento di Intune.
- PolyShell RCE su tutti i Magento/Adobe Commerce v2 — esecuzione di codice remoto non autenticata tramite upload di file poliglotti. Nessuna patch di produzione disponibile.
- Zero-day su Cisco FMC sfruttato dal ransomware Interlock da gennaio — Amazon ha trovato collegamenti con la Russia.
- Violazione Navia impatta 2,7 milioni di persone — esposti dati sensibili sui benefit aziendali.
- APT28 (Russia) sfrutta una falla nella sanitizzazione CSS di Zimbra contro il governo ucraino.
- 9 vulnerabilità critiche nei KVM IP di 4 fornitori — accesso root non autenticato a livello di BIOS.
Violazioni di Dati
Navia Benefit Solutions — 2,7 Milioni di Record Esposti
La società di amministrazione benefit Navia ha dichiarato una violazione che coinvolge quasi 2,7 milioni di individui. Gli aggressori hanno avuto accesso a informazioni personali sensibili, inclusi dati sui benefit, codici fiscali e registri finanziari. L'azienda sta fornendo servizi di monitoraggio del credito alle persone coinvolte.
Aura Security — 900.000 Record tramite Phishing
Ironia della sorte: la società di protezione dell'identità Aura ha dichiarato una violazione che impatta 900.000 record. Un dipendente è caduto vittima di un attacco di phishing telefonico mirato (vishing), concedendo agli aggressori l'accesso a uno strumento di marketing contenente dati dei clienti.
Violazione Marquis — 672.000 Confermati
Rivista al ribasso rispetto a una stima iniziale di 1,6 milioni, la violazione Marquis conferma ora 672.000 individui coinvolti. I tipi di dati e i dettagli del vettore di attacco sono ancora sotto indagine.
Vulnerabilità Critiche
Kit di Exploit iOS DarkSword — 6 Falle, 3 Zero-Day
Google Threat Intelligence, iVerify e Lookout hanno congiuntamente divulgato "DarkSword" — un kit di exploit full-chain per iOS che prende di mira iOS 18.4–18.7. Sfrutta 6 vulnerabilità, di cui 3 zero-day (CVE-2026-20700, CVE-2025-43529, CVE-2025-14174). Utilizzato dal gruppo russo UNC6353, da fornitori di sorveglianza commerciale e da attori statali che prendono di mira Ucraina, Arabia Saudita, Turchia e Malesia. Adotta un approccio "mordi e fuggi", esflitrando dati in pochi secondi. Secondo kit di exploit iOS dopo Coruna scoperto nell'arco di un mese.
PolyShell — RCE Non Autenticata su Tutti i Magento/Adobe Commerce v2
Sansec ha scoperto "PolyShell", una vulnerabilità nella gestione degli upload di file tramite REST API di Magento. Gli aggressori caricano file poliglotti (validi sia come immagine che come script) per ottenere esecuzione di codice remoto non autenticata o XSS persistente per il takeover dell'account. Coinvolge tutte le installazioni di produzione di Magento Open Source e Adobe Commerce v2. La patch è disponibile solo nella versione alpha 2.4.9 — nessuna correzione di produzione ancora disponibile. Il metodo di exploit è già in circolazione.
Ubiquiti UniFi — Takeover dell'Account con Severità Massima
Ubiquiti ha rilasciato patch per due vulnerabilità nell'applicazione UniFi Network, inclusa una falla con severità massima che consente il takeover dell'account. Gli amministratori devono aggiornare immediatamente.
ScreenConnect — Esposizione Critica delle Chiavi Macchina
ConnectWise ha rilasciato una patch per una vulnerabilità critica di ScreenConnect che esponeva le chiavi macchina, potenzialmente consentendo accesso remoto non autorizzato. L'ultima versione aggiunge archiviazione crittografata e gestione per la protezione delle chiavi.
SharePoint RCE (CVE-2026-20963) — Sfruttamento Attivo
CISA ha aggiunto la CVE-2026-20963 di Microsoft SharePoint al suo catalogo delle Vulnerabilità Conosciute Sfruttate. La falla RCE, corretta nel Patch Tuesday di gennaio, è ora confermata come attivamente sfruttata in ambienti reali.
9 Falle Critiche nei KVM IP — Accesso Root Non Autenticato
Eclypsium ha scoperto 9 vulnerabilità in 4 prodotti KVM IP (GL-iNet Comet RM-1, Angeet/Yeeso ES3, Sipeed NanoKVM, JetKVM). Assenza di validazione della firma del firmware, nessuna protezione contro attacchi brute-force, controlli di accesso difettosi, interfacce di debug esposte. Gli aggressori possono ottenere accesso root a livello BIOS/UEFI — bypassando tutte le misure di sicurezza a livello di sistema operativo.
Ransomware e Attacchi Principali
Gli Hacktivisti Handala Cancellano 80.000 Dispositivi Stryker tramite Microsoft Intune
Il gruppo hacktivista Handala ha condotto un devastante attacco distruttivo contro il gigante della tecnologia medica Stryker, cancellando circa 80.000 dispositivi sfruttando Microsoft Intune come arma per la gestione degli endpoint. L'FBI ha sequestrato due siti web di data leak gestiti da Handala. CISA ha successivamente emesso linee guida urgenti per tutte le organizzazioni statunitensi per il rafforzamento delle implementazioni di Microsoft Intune.
Zero-Day su Cisco FMC Sfruttato dal Ransomware Interlock
Amazon ha scoperto che una vulnerabilità del Cisco Firewall Management Center (FMC) viene sfruttata come zero-day dalla fine di gennaio dal gruppo ransomware Interlock. Le prove indicano collegamenti con la Russia. La recente serie di vulnerabilità di Cisco mostra un preoccupante schema di falle nei firewall e SD-WAN attivamente sfruttate.
Bitrefill Attribuisce l'Attacco al Gruppo Lazarus/Bluenoroff della Corea del Nord
La piattaforma di gift card crypto Bitrefill ha dichiarato che il loro attacco informatico di inizio marzo è stato probabilmente condotto dal gruppo nordcoreano Bluenoroff (sottogruppo di Lazarus). Si conferma il modello di DPRK che prende di mira piattaforme crypto e fintech per la generazione di entrate.
Attacco Insider in Carolina del Nord — Riscatto di $2,5M
Un lavoratore tech della Carolina del Nord è stato dichiarato colpevole di aver condotto un attacco insider contro un'azienda tecnologica di Washington, ottenendo un pagamento di riscatto di 2,5 milioni di dollari. Evidenzia il rischio persistente della minaccia interna.
Attività Statali e APT
APT28 (Russia/GRU) Sfrutta Zimbra Contro l'Ucraina
APT28, legato all'intelligence militare russa, sta attivamente sfruttando una vulnerabilità di Zimbra Collaboration Suite in attacchi contro enti governativi ucraini. La falla riguarda un'insufficiente sanitizzazione CSS nelle email HTML, che consente l'esecuzione di script inline quando i messaggi vengono aperti nel browser.
Rivelata l'Espansione dell'Infrastruttura Cyber Iraniana
Un'analisi rivela un'espansione di sei mesi dell'infrastruttura cyber collegata all'Iran, incluse società di copertura con sede negli USA, progettata per garantire la resilienza delle operazioni di hacking globali e resistere a potenziali attacchi cinetici. Le autorità federali sono in massima allerta per attacchi informatici iraniani a seguito dell'incidente Stryker.
The Gentlemen RaaS — Operazione Focalizzata su FortiGate
Group-IB ha dettagliato "The Gentlemen", un'operazione nascente di Ransomware-as-a-Service composta da circa 20 membri che sfrutta specificamente le vulnerabilità dei firewall FortiGate. Parte della tendenza continua di sfruttamento dei dispositivi di rete perimetrali per l'accesso iniziale.
Strumenti di Sicurezza e Industria
Oasis Security — $120M per la Gestione degli Accessi Agentici
Oasis Security ha raccolto 120 milioni di dollari per espandere la propria piattaforma di gestione degli accessi agentici. Focus su R&D, espansione dei prodotti per framework AI e scaling go-to-market. Segnala un crescente interesse degli investitori nei controlli di sicurezza per gli agenti AI.
Cloaked Piattaforma Privacy — Finanziamento di $375M
La piattaforma privacy Cloaked ha raccolto 375 milioni di dollari per espandersi nei mercati enterprise. Prevede l'introduzione di agenti AI che monitorano, gestiscono e applicano le preferenze di privacy e le posture di sicurezza per conto degli utenti.
1stProtect — Lancio Stealth da $20M
La startup di sicurezza endpoint 1stProtect è emersa dalla modalità stealth con 20 milioni di dollari. La loro piattaforma monitora il comportamento e verifica l'intenzione dell'utente per bloccare gli attacchi in tempo reale — un approccio innovativo alla protezione degli endpoint.
Raven — $20M per il Rilevamento di Anomalie Runtime
Raven è emersa dalla modalità stealth con 20 milioni di dollari. La loro piattaforma osserva le applicazioni a runtime per rilevare comportamenti anomali e prevenire attacchi informatici — colmando il divario tra l'analisi statica e lo sfruttamento reale.
Ceros — Livello di Fiducia AI per Claude Code
Beyond Identity ha lanciato Ceros, un "AI Trust Layer" che fornisce visibilità in tempo reale, applicazione delle policy a runtime e tracce di audit crittografiche per le operazioni degli agenti Claude Code. Affronta il rischio emergente degli agenti AI di coding che operano con permessi completi da sviluppatore al di fuori dei controlli di sicurezza esistenti.
Pattern di Minacce Emergenti
Proliferazione degli Exploit iOS
Due kit di exploit full-chain per iOS (Coruna e DarkSword) scoperti nell'arco di un mese, utilizzati da un mix di attori statali e fornitori di sorveglianza commerciale. Dimostra un fiorente mercato secondario in cui anche gruppi con motivazioni finanziarie possono acquisire exploit mobili di livello statale. L'approccio di esfiltrazione "mordi e fuggi" — secondi, non ore — rende il rilevamento forense estremamente difficile.
Continua lo Sfruttamento dei Dispositivi Perimetrali
FortiGate (The Gentlemen RaaS), Cisco FMC (ransomware Interlock), Ubiquiti UniFi, Zimbra, dispositivi KVM IP — il pattern è chiaro. Gli aggressori prendono sistematicamente di mira l'infrastruttura di rete perimetrale. La nuova ricerca sui KVM IP dimostra che anche l'accesso a livello BIOS è a rischio attraverso hardware economico e mal protetto. Le organizzazioni devono trattare ogni dispositivo perimetrale come una superficie di attacco critica.
Microsoft Intune come Vettore di Attacco
L'uso di Microsoft Intune come arma da parte di Handala per cancellare 80.000 dispositivi Stryker è un campanello d'allarme. Gli strumenti di gestione degli endpoint progettati per proteggere i dispositivi possono essere trasformati in armi per la distruzione di massa quando compromessi. La risposta di CISA con linee guida segnala che questo è ora un pattern di attacco riconosciuto contro cui le aziende devono difendersi.
La Sicurezza degli Agenti AI Emerge come Categoria
Numerose startup (oltre $535M in finanziamenti solo questa settimana) stanno costruendo prodotti specifici per la sicurezza degli agenti AI — gestione degli accessi, monitoraggio runtime, applicazione della privacy. Ceros (per Claude Code), Oasis (accesso agentico) e Cloaked (agenti AI per la privacy) segnalano che la protezione degli agenti AI sta diventando una disciplina di sicurezza distinta. Rilevante per la roadmap di KENSAI.