剣 KENSAI
← Back to archive
KENSAI Intelligence

Bollettino di Sicurezza

2026-03-20 · Giovedì → Venerdì · 04:00 CET
3
Violazioni di Dati
6
CVE Critiche
3
Zero-Day
4
Round di Finanziamento

⚡ TL;DR — Le Notizie Chiave di Oggi

  • Kit di exploit iOS DarkSword — secondo kit full-chain per iOS in un mese, 3 zero-day, gruppo di spionaggio russo UNC6353 prende di mira l'Ucraina. iOS 18.4–18.7 coinvolti.
  • Gli hacktivisti Handala hanno cancellato 80.000 dispositivi Stryker tramite Microsoft Intune — l'FBI ha sequestrato il loro sito di leak. CISA ha emesso linee guida per il rafforzamento di Intune.
  • PolyShell RCE su tutti i Magento/Adobe Commerce v2 — esecuzione di codice remoto non autenticata tramite upload di file poliglotti. Nessuna patch di produzione disponibile.
  • Zero-day su Cisco FMC sfruttato dal ransomware Interlock da gennaio — Amazon ha trovato collegamenti con la Russia.
  • Violazione Navia impatta 2,7 milioni di persone — esposti dati sensibili sui benefit aziendali.
  • APT28 (Russia) sfrutta una falla nella sanitizzazione CSS di Zimbra contro il governo ucraino.
  • 9 vulnerabilità critiche nei KVM IP di 4 fornitori — accesso root non autenticato a livello di BIOS.
🔓

Violazioni di Dati

Navia Benefit Solutions — 2,7 Milioni di Record Esposti

La società di amministrazione benefit Navia ha dichiarato una violazione che coinvolge quasi 2,7 milioni di individui. Gli aggressori hanno avuto accesso a informazioni personali sensibili, inclusi dati sui benefit, codici fiscali e registri finanziari. L'azienda sta fornendo servizi di monitoraggio del credito alle persone coinvolte.

CRITICO 2,7M COINVOLTI fonte →

Aura Security — 900.000 Record tramite Phishing

Ironia della sorte: la società di protezione dell'identità Aura ha dichiarato una violazione che impatta 900.000 record. Un dipendente è caduto vittima di un attacco di phishing telefonico mirato (vishing), concedendo agli aggressori l'accesso a uno strumento di marketing contenente dati dei clienti.

ALTO 900K RECORD fonte →

Violazione Marquis — 672.000 Confermati

Rivista al ribasso rispetto a una stima iniziale di 1,6 milioni, la violazione Marquis conferma ora 672.000 individui coinvolti. I tipi di dati e i dettagli del vettore di attacco sono ancora sotto indagine.

ALTO 672K COINVOLTI fonte →
⚠️

Vulnerabilità Critiche

Kit di Exploit iOS DarkSword — 6 Falle, 3 Zero-Day

Google Threat Intelligence, iVerify e Lookout hanno congiuntamente divulgato "DarkSword" — un kit di exploit full-chain per iOS che prende di mira iOS 18.4–18.7. Sfrutta 6 vulnerabilità, di cui 3 zero-day (CVE-2026-20700, CVE-2025-43529, CVE-2025-14174). Utilizzato dal gruppo russo UNC6353, da fornitori di sorveglianza commerciale e da attori statali che prendono di mira Ucraina, Arabia Saudita, Turchia e Malesia. Adotta un approccio "mordi e fuggi", esflitrando dati in pochi secondi. Secondo kit di exploit iOS dopo Coruna scoperto nell'arco di un mese.

3 ZERO-DAY UNC6353 / RUSSIA iOS 18.4–18.7 fonte →

PolyShell — RCE Non Autenticata su Tutti i Magento/Adobe Commerce v2

Sansec ha scoperto "PolyShell", una vulnerabilità nella gestione degli upload di file tramite REST API di Magento. Gli aggressori caricano file poliglotti (validi sia come immagine che come script) per ottenere esecuzione di codice remoto non autenticata o XSS persistente per il takeover dell'account. Coinvolge tutte le installazioni di produzione di Magento Open Source e Adobe Commerce v2. La patch è disponibile solo nella versione alpha 2.4.9 — nessuna correzione di produzione ancora disponibile. Il metodo di exploit è già in circolazione.

CRITICO — NESSUNA PATCH TUTTI I MAGENTO V2 fonte →

Ubiquiti UniFi — Takeover dell'Account con Severità Massima

Ubiquiti ha rilasciato patch per due vulnerabilità nell'applicazione UniFi Network, inclusa una falla con severità massima che consente il takeover dell'account. Gli amministratori devono aggiornare immediatamente.

CVSS 10.0 PATCH DISPONIBILE fonte →

ScreenConnect — Esposizione Critica delle Chiavi Macchina

ConnectWise ha rilasciato una patch per una vulnerabilità critica di ScreenConnect che esponeva le chiavi macchina, potenzialmente consentendo accesso remoto non autorizzato. L'ultima versione aggiunge archiviazione crittografata e gestione per la protezione delle chiavi.

CRITICO PATCH DISPONIBILE fonte →

SharePoint RCE (CVE-2026-20963) — Sfruttamento Attivo

CISA ha aggiunto la CVE-2026-20963 di Microsoft SharePoint al suo catalogo delle Vulnerabilità Conosciute Sfruttate. La falla RCE, corretta nel Patch Tuesday di gennaio, è ora confermata come attivamente sfruttata in ambienti reali.

SFRUTTAMENTO ATTIVO PATCH DISPONIBILE fonte →

9 Falle Critiche nei KVM IP — Accesso Root Non Autenticato

Eclypsium ha scoperto 9 vulnerabilità in 4 prodotti KVM IP (GL-iNet Comet RM-1, Angeet/Yeeso ES3, Sipeed NanoKVM, JetKVM). Assenza di validazione della firma del firmware, nessuna protezione contro attacchi brute-force, controlli di accesso difettosi, interfacce di debug esposte. Gli aggressori possono ottenere accesso root a livello BIOS/UEFI — bypassando tutte le misure di sicurezza a livello di sistema operativo.

CRITICO 4 FORNITORI fonte →
💀

Ransomware e Attacchi Principali

Gli Hacktivisti Handala Cancellano 80.000 Dispositivi Stryker tramite Microsoft Intune

Il gruppo hacktivista Handala ha condotto un devastante attacco distruttivo contro il gigante della tecnologia medica Stryker, cancellando circa 80.000 dispositivi sfruttando Microsoft Intune come arma per la gestione degli endpoint. L'FBI ha sequestrato due siti web di data leak gestiti da Handala. CISA ha successivamente emesso linee guida urgenti per tutte le organizzazioni statunitensi per il rafforzamento delle implementazioni di Microsoft Intune.

DISTRUTTIVO 80K DISPOSITIVI CANCELLATI SEQUESTRO FBI fonte →

Zero-Day su Cisco FMC Sfruttato dal Ransomware Interlock

Amazon ha scoperto che una vulnerabilità del Cisco Firewall Management Center (FMC) viene sfruttata come zero-day dalla fine di gennaio dal gruppo ransomware Interlock. Le prove indicano collegamenti con la Russia. La recente serie di vulnerabilità di Cisco mostra un preoccupante schema di falle nei firewall e SD-WAN attivamente sfruttate.

ZERO-DAY INTERLOCK COLLEGAMENTO RUSSIA fonte →

Bitrefill Attribuisce l'Attacco al Gruppo Lazarus/Bluenoroff della Corea del Nord

La piattaforma di gift card crypto Bitrefill ha dichiarato che il loro attacco informatico di inizio marzo è stato probabilmente condotto dal gruppo nordcoreano Bluenoroff (sottogruppo di Lazarus). Si conferma il modello di DPRK che prende di mira piattaforme crypto e fintech per la generazione di entrate.

LAZARUS / BLUENOROFF CRYPTO fonte →

Attacco Insider in Carolina del Nord — Riscatto di $2,5M

Un lavoratore tech della Carolina del Nord è stato dichiarato colpevole di aver condotto un attacco insider contro un'azienda tecnologica di Washington, ottenendo un pagamento di riscatto di 2,5 milioni di dollari. Evidenzia il rischio persistente della minaccia interna.

MINACCIA INTERNA RISCATTO $2,5M fonte →
🎯

Attività Statali e APT

APT28 (Russia/GRU) Sfrutta Zimbra Contro l'Ucraina

APT28, legato all'intelligence militare russa, sta attivamente sfruttando una vulnerabilità di Zimbra Collaboration Suite in attacchi contro enti governativi ucraini. La falla riguarda un'insufficiente sanitizzazione CSS nelle email HTML, che consente l'esecuzione di script inline quando i messaggi vengono aperti nel browser.

APT28 / FANCY BEAR UCRAINA fonte →

Rivelata l'Espansione dell'Infrastruttura Cyber Iraniana

Un'analisi rivela un'espansione di sei mesi dell'infrastruttura cyber collegata all'Iran, incluse società di copertura con sede negli USA, progettata per garantire la resilienza delle operazioni di hacking globali e resistere a potenziali attacchi cinetici. Le autorità federali sono in massima allerta per attacchi informatici iraniani a seguito dell'incidente Stryker.

IRAN INFRASTRUTTURA fonte →

The Gentlemen RaaS — Operazione Focalizzata su FortiGate

Group-IB ha dettagliato "The Gentlemen", un'operazione nascente di Ransomware-as-a-Service composta da circa 20 membri che sfrutta specificamente le vulnerabilità dei firewall FortiGate. Parte della tendenza continua di sfruttamento dei dispositivi di rete perimetrali per l'accesso iniziale.

RaaS FORTIGATE fonte →
🛠️

Strumenti di Sicurezza e Industria

Oasis Security — $120M per la Gestione degli Accessi Agentici

Oasis Security ha raccolto 120 milioni di dollari per espandere la propria piattaforma di gestione degli accessi agentici. Focus su R&D, espansione dei prodotti per framework AI e scaling go-to-market. Segnala un crescente interesse degli investitori nei controlli di sicurezza per gli agenti AI.

$120M RACCOLTI fonte →

Cloaked Piattaforma Privacy — Finanziamento di $375M

La piattaforma privacy Cloaked ha raccolto 375 milioni di dollari per espandersi nei mercati enterprise. Prevede l'introduzione di agenti AI che monitorano, gestiscono e applicano le preferenze di privacy e le posture di sicurezza per conto degli utenti.

$375M RACCOLTI fonte →

1stProtect — Lancio Stealth da $20M

La startup di sicurezza endpoint 1stProtect è emersa dalla modalità stealth con 20 milioni di dollari. La loro piattaforma monitora il comportamento e verifica l'intenzione dell'utente per bloccare gli attacchi in tempo reale — un approccio innovativo alla protezione degli endpoint.

$20M RACCOLTI fonte →

Raven — $20M per il Rilevamento di Anomalie Runtime

Raven è emersa dalla modalità stealth con 20 milioni di dollari. La loro piattaforma osserva le applicazioni a runtime per rilevare comportamenti anomali e prevenire attacchi informatici — colmando il divario tra l'analisi statica e lo sfruttamento reale.

$20M RACCOLTI fonte →

Ceros — Livello di Fiducia AI per Claude Code

Beyond Identity ha lanciato Ceros, un "AI Trust Layer" che fornisce visibilità in tempo reale, applicazione delle policy a runtime e tracce di audit crittografiche per le operazioni degli agenti Claude Code. Affronta il rischio emergente degli agenti AI di coding che operano con permessi completi da sviluppatore al di fuori dei controlli di sicurezza esistenti.

SICUREZZA AGENTI AI fonte →
📊

Pattern di Minacce Emergenti

Proliferazione degli Exploit iOS

Due kit di exploit full-chain per iOS (Coruna e DarkSword) scoperti nell'arco di un mese, utilizzati da un mix di attori statali e fornitori di sorveglianza commerciale. Dimostra un fiorente mercato secondario in cui anche gruppi con motivazioni finanziarie possono acquisire exploit mobili di livello statale. L'approccio di esfiltrazione "mordi e fuggi" — secondi, non ore — rende il rilevamento forense estremamente difficile.

TREND: EXPLOIT MOBILI

Continua lo Sfruttamento dei Dispositivi Perimetrali

FortiGate (The Gentlemen RaaS), Cisco FMC (ransomware Interlock), Ubiquiti UniFi, Zimbra, dispositivi KVM IP — il pattern è chiaro. Gli aggressori prendono sistematicamente di mira l'infrastruttura di rete perimetrale. La nuova ricerca sui KVM IP dimostra che anche l'accesso a livello BIOS è a rischio attraverso hardware economico e mal protetto. Le organizzazioni devono trattare ogni dispositivo perimetrale come una superficie di attacco critica.

TREND: DISPOSITIVI PERIMETRALI

Microsoft Intune come Vettore di Attacco

L'uso di Microsoft Intune come arma da parte di Handala per cancellare 80.000 dispositivi Stryker è un campanello d'allarme. Gli strumenti di gestione degli endpoint progettati per proteggere i dispositivi possono essere trasformati in armi per la distruzione di massa quando compromessi. La risposta di CISA con linee guida segnala che questo è ora un pattern di attacco riconosciuto contro cui le aziende devono difendersi.

TREND: WEAPONIZZAZIONE MDM

La Sicurezza degli Agenti AI Emerge come Categoria

Numerose startup (oltre $535M in finanziamenti solo questa settimana) stanno costruendo prodotti specifici per la sicurezza degli agenti AI — gestione degli accessi, monitoraggio runtime, applicazione della privacy. Ceros (per Claude Code), Oasis (accesso agentico) e Cloaked (agenti AI per la privacy) segnalano che la protezione degli agenti AI sta diventando una disciplina di sicurezza distinta. Rilevante per la roadmap di KENSAI.

TREND: SICUREZZA AGENTI AI