Ricerca quotidiana sulla sicurezza
22/03/2026 · Sabato 21 marzo → Domenica 22 marzo · Generato automaticamente alle 04:00 CET
⚡ In breve — Cosa conta oggi
- L'attacco alla supply chain di Trivy evolve — il nuovo worm autopropagante «CanisterWorm» colpisce 47 pacchetti npm usando C2 basato su blockchain
- Patch di emergenza Oracle — CVE-2026-21992 (CVSS 9.8) consente RCE non autenticata in Identity Manager
- L'FBI avverte del phishing russo su Signal/WhatsApp — migliaia di account già compromessi
- Il DoJ smantella botnet DDoS da record — 3M+ dispositivi, attacchi da 31,4 Tbps interrotti
- Scadenza CISA OGGI — la vulnerabilità di massima gravità Cisco FMC CVE-2026-20131 deve essere corretta entro il 22 marzo
- RCE di Langflow sfruttata in 20 ore — CVE-2026-33017 (CVSS 9.3) attivamente presa di mira
- La violazione di Navia colpisce 2,7M di persone — dati personali e sanitari rubati
Scanner Trivy compromesso — CanisterWorm si propaga a 47 pacchetti npm
supply chain criticoLo scanner di vulnerabilità Trivy di Aqua Security è stato compromesso per la seconda volta in un mese. Il gruppo di minacce TeamPCP ha dirottato 75 tag GitHub Action in aquasecurity/trivy-action e aquasecurity/setup-trivy, iniettando malware di furto credenziali nelle pipeline CI/CD. Un attacco successivo ha distribuito CanisterWorm, un worm autopropagante che ha infettato 47 pacchetti npm in @EmilGroup, @opengov e altri scope. Il worm utilizza canister blockchain Internet Computer Protocol (ICP) come resolver C2 dead-drop — il primo caso documentato di questa tecnica — rendendo la rimozione estremamente difficile. Persistenza tramite servizi systemd mascherati da strumenti PostgreSQL.
Fonti: The Hacker News · BleepingComputer
Magento PolyShell — Upload non autenticato e RCE via API REST
criticoSansec ha scoperto una falla critica nell'API REST di Magento che consente ad attaccanti non autenticati di caricare eseguibili arbitrari mascherati da immagini, ottenendo esecuzione remota di codice e acquisizione di account. Denominato PolyShell, l'attacco sfrutta la gestione dei file immagine. Nessuno sfruttamento pubblico osservato finora, ma migliaia di siti Magento sono già sotto una campagna di defacement separata iniziata il 27 febbraio.
Fonti: The Hacker News · SecurityWeek
CVE-2026-21992 — RCE non autenticata in Oracle Identity Manager
critico CVSS 9.8Oracle ha rilasciato una patch di emergenza fuori ciclo per una vulnerabilità critica di esecuzione remota di codice non autenticata in Identity Manager e Web Services Manager. Nessuna autenticazione richiesta per lo sfruttamento. Oracle ha esortato alla correzione immediata.
Fonte: The Hacker News
CVE-2026-20131 — Cisco Secure Firewall Management Center (Gravità massima)
critico CVSS 10.0CISA ha ordinato a tutte le agenzie federali di correggere questa vulnerabilità di gravità massima in Cisco FMC entro oggi, 22 marzo. I dettagli indicano che potrebbe consentire la compromissione completa del sistema. Aggiunta al catalogo delle vulnerabilità sfruttate note di CISA.
Fonte: BleepingComputer
CVE-2026-33017 — RCE non autenticata in Langflow (Sfruttata in 20 ore)
critico CVSS 9.3Falla critica di autenticazione mancante e code injection in Langflow (popolare builder di workflow IA). Gli attori malevoli hanno armato la vulnerabilità entro 20 ore dalla divulgazione pubblica tramite l'endpoint POST /api/v1. Evidenzia la finestra sempre più ridotta per il deployment delle patch.
Fonte: The Hacker News
CISA aggiunge Apple, Craft CMS, Laravel Livewire al catalogo KEV
sfruttamento attivoCinque vulnerabilità aggiuntive aggiunte al catalogo KEV di CISA con scadenza per la correzione al 3 aprile 2026. Include CVE-2025-31277 (Apple, CVSS 8.8) più falle in Craft CMS e Laravel Livewire. Tutte confermate sotto sfruttamento attivo.
Fonte: The Hacker News
CVE-2025-32975 — Sfruttamento di Quest KACE nel settore educativo
criticoVulnerabilità critica nell'appliance di gestione sistemi Quest KACE potenzialmente sfruttata contro obiettivi del settore educativo. Le organizzazioni che utilizzano Quest KACE devono correggere immediatamente.
Fonte: SecurityWeek
FBI/CISA: l'intelligence russa prende di mira Signal e WhatsApp su larga scala
stato-nazione alto impattoL'FBI e la CISA hanno emesso un avviso congiunto avvertendo che i servizi di intelligence russi stanno conducendo campagne di phishing di massa contro gli utenti di Signal e WhatsApp. I bersagli includono funzionari governativi statunitensi attuali ed ex, personale militare, figure politiche e giornalisti. Migliaia di account già compromessi. Dopo l'accesso, gli attori visualizzano i messaggi, rubano i contatti, impersonano le vittime e concatenano ulteriore phishing da identità fidate. Il direttore dell'FBI Kash Patel ha confermato la campagna su X.
Fonti: The Hacker News · BleepingComputer
Gli USA confermano il legame di Handala con il governo iraniano
stato-nazioneIl governo statunitense ha sequestrato diversi domini utilizzati da Handala, confermando il suo legame con il governo iraniano. Il gruppo ha condotto operazioni psicologiche abilitate dal cyber. I domini sono stati rimossi in uno sforzo coordinato.
Fonte: SecurityWeek
3 uomini incriminati per contrabbando di hardware IA verso la Cina
controlli all'esportazioneTre individui incriminati per violazione delle leggi statunitensi sul controllo delle esportazioni, avendo cospirato per dirottare grandi quantità di server IA ad alte prestazioni assemblati negli Stati Uniti verso la Cina.
Fonte: SecurityWeek
Il DoJ smantella botnet IoT da 3M di dispositivi — DDoS record da 31,4 Tbps
criticoIl Dipartimento di Giustizia statunitense, insieme alle autorità canadesi e tedesche, ha smantellato l'infrastruttura C2 delle botnet AISURU, Kimwolf, JackSkid e Mossad — che controllavano collettivamente oltre 3 milioni di dispositivi IoT infetti (DVR, smart TV, set-top box). Queste botnet hanno lanciato attacchi DDoS record raggiungendo 31,4 Tbps. Una vasta coalizione del settore privato ha assistito (Akamai, AWS, Cloudflare, Google, Oracle, PayPal e altri). I sospetti includono un canadese di 23 anni e un tedesco di 15 anni. Nessun arresto annunciato.
Fonte: The Hacker News
Violazione dati Navia — 2,7 milioni di persone colpite
su larga scalaTra la fine di dicembre 2025 e la metà di gennaio 2026, gli hacker hanno rubato informazioni personali e sui piani sanitari dall'ambiente di Navia, impattando 2,7 milioni di individui. Dati sanitari e previdenziali compromessi.
Fonte: SecurityWeek
Migliaia di siti Magento colpiti da campagna di defacement in corso
attacchi webUna campagna di defacement di massa iniziata il 27 febbraio ha colpito migliaia di siti e-commerce basati su Magento, prendendo di mira brand globali e persino servizi governativi. Combinata con la nuova vulnerabilità PolyShell, gli operatori Magento affrontano un panorama di minacce serio.
Fonte: SecurityWeek
Alert Microsoft Azure Monitor abusati per callback phishing
phishingGli attaccanti stanno abusando degli alert di Microsoft Azure Monitor per inviare e-mail di callback phishing impersonando il Microsoft Security Team. Le e-mail avvisano di addebiti non autorizzati, attirando le vittime a chiamare numeri di telefono controllati dagli attaccanti.
Fonte: BleepingComputer
Google Android «Advanced Flow» — 24 ore di attesa per il sideloading
AndroidGoogle ha annunciato un nuovo meccanismo di sideloading per Android: le app da sviluppatori non verificati ora richiedono un periodo di attesa obbligatorio di 24 ore prima dell'installazione. Parte del mandato di verifica degli sviluppatori per ridurre la distribuzione di malware e app fraudolente.
Fonte: The Hacker News
Operazione Alice — 373.000 siti del dark web chiusi
forze dell'ordineUn'operazione internazionale delle forze dell'ordine ha chiuso oltre 373.000 siti del dark web che offrivano pacchetti falsi di materiale illegale.
Fonte: BleepingComputer
Il Regno Unito inasprisce gli obblighi di segnalazione degli incidenti cyber
regolamentazioneIl Regno Unito sta inasprendo gli obblighi di segnalazione degli incidenti cyber per le organizzazioni, unendosi alla tendenza NIS2 dell'UE verso requisiti più rigorosi di divulgazione delle violazioni.
Fonte: SecurityWeek
Oasis Security — 120 M$ per la gestione dell'accesso agentico
Espansione R&S per la gestione dell'accesso ai framework IA e scalabilità go-to-market.
Cape — 100 M$ per la sicurezza cellulare
MVNO incentrato sulla privacy per consumatori, aziende e governi.
Eclypsium — 25 M$ per la sicurezza della supply chain dei dispositivi
Espansione delle capacità della piattaforma di sicurezza firmware e supply chain.
1stProtect — 20 M$ (uscita dallo stealth) per la sicurezza degli endpoint
Monitoraggio comportamentale e verifica dell'intento dell'utente per bloccare gli attacchi in tempo reale.
Allure Security — 17 M$ per la protezione del marchio online
Espansione della piattaforma di protezione digitale del marchio.
Tendenze chiave di questa settimana
1. Gli attacchi alla supply chain accelerano: Trivy/CanisterWorm mostra che gli attaccanti concatenano le compromissioni — una violazione porta a worm autopropaganti attraverso interi ecosistemi. Il C2 basato su blockchain (canister ICP) rende la rimozione quasi impossibile.
2. Il time-to-exploit crolla: Langflow CVE-2026-33017 è stata sfruttata entro 20 ore dalla divulgazione. La finestra di patching è effettivamente zero per i servizi esposti su Internet.
3. Crescente sofisticazione del phishing abilitato dall'IA: L'analisi comportamentale diventa essenziale poiché l'IA genera phishing personalizzato che aggira i sistemi di rilevamento legacy. Gli attacchi AITM basati su browser e le tecniche ClickFix guidano le violazioni principali.
4. Targeting statale delle app di messaggistica: I servizi di intelligence russi conducono campagne su scala industriale contro la messaggistica crittografata (Signal, WhatsApp). Le catene di fiducia vengono sfruttate — gli account compromessi vengono usati per il phishing dei contatti.
5. La scala delle botnet IoT raggiunge livelli infrastrutturali: 31,4 Tbps di capacità DDoS da dispositivi consumer compromessi. Anche dopo le rimozioni, la popolazione di dispositivi infetti persiste.
6. L'inasprimento normativo continua: Il Regno Unito adotta mandati di segnalazione in stile NIS2. Il carico di conformità aumenta per le organizzazioni UE/UK.
Cosa significa per i clienti KENSAI
Monitoraggio della supply chain: La compromissione di Trivy/npm rafforza l'importanza della scansione continua delle dipendenze. L'analisi SBOM e i controlli delle dipendenze di KENSAI individuano esattamente questi pattern.
Urgenza nella gestione delle patch: Con finestre di sfruttamento dei CVE ridotte a ore (Langflow) e CISA che impone patch nello stesso giorno (Cisco), la scansione automatizzata delle vulnerabilità non è più opzionale — è sopravvivenza.
Segnalazione NIS2: Le regole di segnalazione rafforzate del Regno Unito rispecchiano l'Articolo 23 di NIS2. Le organizzazioni DACH affrontano gli stessi obblighi. Le capacità di reporting di conformità di KENSAI rispondono direttamente a questa esigenza.
Sicurezza della messaggistica: La campagna russa su Signal/WhatsApp è un campanello d'allarme per qualsiasi organizzazione che si affida alla messaggistica consumer per le comunicazioni sensibili.