KENSAI Intelligence sulla Sicurezza
Briefing giornaliero sulle minacce
Ricerca sulla sicurezza automatizzata — ultime 24 ore
2026-03-21 · Venerdì 20 marzo → Sabato 21 marzo
Vulnerabilità critiche ed exploit attivi
Falla critica di autenticazione mancante e iniezione di codice in Langflow (CVSS 9.3) attivamente sfruttata. Attaccanti non autenticati possono ottenere l'esecuzione remota di codice tramite endpoint POST /api/v1. Lo sfruttamento è iniziato entro 20 ore dalla divulgazione pubblica — applicare la patch immediatamente.
Oracle ha rilasciato un aggiornamento di sicurezza fuori ciclo per una vulnerabilità RCE critica non autenticata in Identity Manager e Web Services Manager. Questo rilascio fuori dal ciclo trimestrale regolare di Oracle indica la gravità e il potenziale rischio di sfruttamento.
La CISA ha ordinato a tutte le agenzie federali di correggere una vulnerabilità di gravità massima nel Cisco Secure Firewall Management Center entro domenica 22 marzo. L'urgenza della scadenza nel fine settimana segnala uno sfruttamento attivo o imminente.
ConnectWise ScreenConnect ha corretto una vulnerabilità critica che esponeva le chiavi macchina, consentendo potenzialmente l'accesso non autorizzato alle sessioni di gestione remota. L'ultima versione aggiunge archiviazione crittografata e gestione delle chiavi.
Sansec ha scoperto una falla critica nell'API REST di Magento che consente ad attaccanti non autenticati di caricare eseguibili mascherati (immagini che nascondono codice malevolo) per RCE e takeover degli account. Migliaia di siti Magento già colpiti in una campagna di defacement in corso dal 27 febbraio.
Attacchi alla catena di fornitura del software
Lo scanner Trivy di Aqua Security è stato compromesso per la seconda volta in un mese. Gli attaccanti hanno dirottato 75 tag nelle GitHub Actions «aquasecurity/trivy-action» e «aquasecurity/setup-trivy» per rubare segreti CI/CD. Qualsiasi pipeline che utilizzi queste azioni potrebbe aver esposto credenziali.
Il nuovo malware «Speagle» dirotta il software legittimo Cobra DocGuard, utilizzando server compromessi per esfiltrare dati mascherando il traffico come comunicazione applicativa legittima. Un attacco sofisticato adiacente alla catena di fornitura.
L'analisi rivela che 54 programmi killer di EDR abusano di 35 driver legittimamente firmati ma vulnerabili per disabilitare la sicurezza degli endpoint prima di distribuire ransomware. BYOVD (Bring Your Own Vulnerable Driver) è ora una tecnica standard nel playbook del ransomware.
Violazioni di dati e minacce interne
Gli hacker hanno rubato informazioni personali e di piani sanitari dall'ambiente di Navia tra la fine di dicembre 2025 e metà gennaio 2026. 2,7 milioni di individui colpiti. Le violazioni di dati nel settore sanitario continuano ad essere le più impattanti per volume.
Un uomo della Carolina del Nord è stato riconosciuto colpevole di aver rubato dati aziendali ed estorto 2,5 M$ a una società tecnologica di Washington D.C. (Brightly Software) — mentre era ancora impiegato come appaltatore. La minaccia interna rimane un rischio di primo livello.
Michael Smith si è dichiarato colpevole di aver utilizzato bot IA per generare oltre 10 M$ in royalty di streaming fraudolente su Spotify, Apple Music, Amazon Music e YouTube Music. Frode abilitata dall'IA su larga scala.
Forze dell'ordine e geopolitica
USA, Germania e Canada hanno smantellato l'infrastruttura C2 delle botnet AISURU, KimWolf, JackSkid e Mossad (3 milioni di dispositivi IoT). Queste botnet alimentavano attacchi DDoS record da 31,4 Tbps. Grande collaborazione con il settore privato (Akamai, AWS, Cloudflare, Google, Oracle e altri).
Le forze dell'ordine internazionali hanno chiuso 373.000 siti del dark web nell'«Operazione Alice». Una delle più grandi operazioni coordinate di smantellamento di infrastrutture illecite fino ad oggi.
L'FBI ha emesso un avviso indicando che attori legati all'intelligence russa stanno conducendo attivamente campagne di phishing contro gli utenti di Signal e WhatsApp. Migliaia di account di messaggistica crittografata già compromessi. Gli obiettivi includono giornalisti, attivisti e funzionari governativi.
Gli Stati Uniti hanno confermato che il gruppo hacker Handala è collegato al governo iraniano e hanno sequestrato diversi domini utilizzati in operazioni psicologiche informatiche.
Tre individui sono stati accusati di aver violato le leggi statunitensi sul controllo delle esportazioni cospirando per dirottare server IA ad alte prestazioni assemblati negli Stati Uniti verso la Cina. Parte dell'escalation della guerra fredda tecnologica.
Minacce emergenti e tendenze
I cybercriminali utilizzano l'IA per generare phishing personalizzato, deepfake e malware che eludono il rilevamento tradizionale imitando l'attività normale degli utenti. L'analisi comportamentale emerge come contromisura necessaria — il rilevamento basato su firme diventa sempre più insufficiente.
Apple sollecita aggiornamenti iOS contro kit di exploit web (Coruna, DarkSword) che prendono di mira dispositivi obsoleti. Questi kit innescano catene di infezione attraverso contenuti web malevoli che portano al furto di dati.
Google ha introdotto un periodo di riflessione obbligatorio di 24 ore per il sideloading di app da sviluppatori non verificati su Android. Parte del mandato di verifica degli sviluppatori annunciato lo scorso anno. Bilancia apertura e riduzione di truffe/malware.
The Gentlemen — Nuova operazione RaaS emergente
Group-IB ha dettagliato «The Gentlemen», una nuova operazione Ransomware-as-a-Service con ~20 membri che sfruttano vulnerabilità FortiGate. I gruppi RaaS emergenti continuano ad abbassare la barriera d'ingresso per gli attacchi ransomware.
Industria della sicurezza e finanziamenti
Round massiccio focalizzato sulla gestione delle identità e degli accessi per agenti IA. Investimento in R&S, espansione del framework IA e go-to-market. Segnale: il mercato vede la sicurezza degli agenti IA come una categoria emergente critica.
MVNO focalizzato sulla privacy per consumatori, aziende e governi. Affronta le minacce di sorveglianza e intercettazione cellulare.
Espansione delle capacità della piattaforma per l'integrità della catena di fornitura di firmware e hardware.
Monitora il comportamento e verifica l'intento dell'utente per fermare gli attacchi in tempo reale. Emergono dalla modalità stealth.
Scalando la protezione digitale del brand contro phishing, impersonificazione e abuso del marchio.
Rilevanza KENSAI e conclusioni
Per il posizionamento di KENSAI:
- Langflow CVE-2026-33017 — sfruttata in 20 ore. Questa è la proposta di valore fondamentale di KENSAI: la scansione continua rileva queste vulnerabilità prima degli attaccanti. Opportunità di contenuto per un articolo sulla «finestra di 20 ore».
- Magento PolyShell — migliaia di siti e-commerce colpiti. Le aziende UE regolate da NIS2 che utilizzano Magento sono obiettivi perfetti per la scansione DAST di KENSAI.
- 54 killer di EDR con BYOVD — la sicurezza degli endpoint da sola non basta. L'approccio multilivello di KENSAI (DAST + SAST + segreti + infrastruttura) è la risposta.
- 282 M$ in finanziamenti di sicurezza questa settimana — il mercato è caldo. Il round da 120 M$ di Oasis per la «gestione degli accessi agentici» valida la categoria sicurezza IA che KENSAI occupa.
- Compromissione della catena di fornitura di Trivy — la sicurezza delle pipeline CI/CD è un'area sotto-servita. Potenziale futuro modulo KENSAI.
- Phishing statale russo su Signal — la conformità NIS2 richiede comunicazioni sicure. Angolo di contenuto per il mercato DACH.