剣 KENSAI
← Back to archive
🛡️ KENSAI INTELLIGENCE SULLE MINACCE

Ricerca quotidiana sulla sicurezza

22/03/2026 · Sabato 21 marzo → Domenica 22 marzo · Generato automaticamente alle 04:00 CET

⚡ In breve — Cosa conta oggi

  • L'attacco alla supply chain di Trivy evolve — il nuovo worm autopropagante «CanisterWorm» colpisce 47 pacchetti npm usando C2 basato su blockchain
  • Patch di emergenza Oracle — CVE-2026-21992 (CVSS 9.8) consente RCE non autenticata in Identity Manager
  • L'FBI avverte del phishing russo su Signal/WhatsApp — migliaia di account già compromessi
  • Il DoJ smantella botnet DDoS da record — 3M+ dispositivi, attacchi da 31,4 Tbps interrotti
  • Scadenza CISA OGGI — la vulnerabilità di massima gravità Cisco FMC CVE-2026-20131 deve essere corretta entro il 22 marzo
  • RCE di Langflow sfruttata in 20 ore — CVE-2026-33017 (CVSS 9.3) attivamente presa di mira
  • La violazione di Navia colpisce 2,7M di persone — dati personali e sanitari rubati
🔗 Attacchi alla supply chain

Scanner Trivy compromesso — CanisterWorm si propaga a 47 pacchetti npm

supply chain critico

Lo scanner di vulnerabilità Trivy di Aqua Security è stato compromesso per la seconda volta in un mese. Il gruppo di minacce TeamPCP ha dirottato 75 tag GitHub Action in aquasecurity/trivy-action e aquasecurity/setup-trivy, iniettando malware di furto credenziali nelle pipeline CI/CD. Un attacco successivo ha distribuito CanisterWorm, un worm autopropagante che ha infettato 47 pacchetti npm in @EmilGroup, @opengov e altri scope. Il worm utilizza canister blockchain Internet Computer Protocol (ICP) come resolver C2 dead-drop — il primo caso documentato di questa tecnica — rendendo la rimozione estremamente difficile. Persistenza tramite servizi systemd mascherati da strumenti PostgreSQL.

Fonti: The Hacker News · BleepingComputer

Magento PolyShell — Upload non autenticato e RCE via API REST

critico

Sansec ha scoperto una falla critica nell'API REST di Magento che consente ad attaccanti non autenticati di caricare eseguibili arbitrari mascherati da immagini, ottenendo esecuzione remota di codice e acquisizione di account. Denominato PolyShell, l'attacco sfrutta la gestione dei file immagine. Nessuno sfruttamento pubblico osservato finora, ma migliaia di siti Magento sono già sotto una campagna di defacement separata iniziata il 27 febbraio.

Fonti: The Hacker News · SecurityWeek

🚨 CVE critici e patch

CVE-2026-21992 — RCE non autenticata in Oracle Identity Manager

critico CVSS 9.8

Oracle ha rilasciato una patch di emergenza fuori ciclo per una vulnerabilità critica di esecuzione remota di codice non autenticata in Identity Manager e Web Services Manager. Nessuna autenticazione richiesta per lo sfruttamento. Oracle ha esortato alla correzione immediata.

Fonte: The Hacker News

CVE-2026-20131 — Cisco Secure Firewall Management Center (Gravità massima)

critico CVSS 10.0

CISA ha ordinato a tutte le agenzie federali di correggere questa vulnerabilità di gravità massima in Cisco FMC entro oggi, 22 marzo. I dettagli indicano che potrebbe consentire la compromissione completa del sistema. Aggiunta al catalogo delle vulnerabilità sfruttate note di CISA.

Fonte: BleepingComputer

CVE-2026-33017 — RCE non autenticata in Langflow (Sfruttata in 20 ore)

critico CVSS 9.3

Falla critica di autenticazione mancante e code injection in Langflow (popolare builder di workflow IA). Gli attori malevoli hanno armato la vulnerabilità entro 20 ore dalla divulgazione pubblica tramite l'endpoint POST /api/v1. Evidenzia la finestra sempre più ridotta per il deployment delle patch.

Fonte: The Hacker News

CISA aggiunge Apple, Craft CMS, Laravel Livewire al catalogo KEV

sfruttamento attivo

Cinque vulnerabilità aggiuntive aggiunte al catalogo KEV di CISA con scadenza per la correzione al 3 aprile 2026. Include CVE-2025-31277 (Apple, CVSS 8.8) più falle in Craft CMS e Laravel Livewire. Tutte confermate sotto sfruttamento attivo.

Fonte: The Hacker News

CVE-2025-32975 — Sfruttamento di Quest KACE nel settore educativo

critico

Vulnerabilità critica nell'appliance di gestione sistemi Quest KACE potenzialmente sfruttata contro obiettivi del settore educativo. Le organizzazioni che utilizzano Quest KACE devono correggere immediatamente.

Fonte: SecurityWeek

🎯 Stati-nazione e spionaggio

FBI/CISA: l'intelligence russa prende di mira Signal e WhatsApp su larga scala

stato-nazione alto impatto

L'FBI e la CISA hanno emesso un avviso congiunto avvertendo che i servizi di intelligence russi stanno conducendo campagne di phishing di massa contro gli utenti di Signal e WhatsApp. I bersagli includono funzionari governativi statunitensi attuali ed ex, personale militare, figure politiche e giornalisti. Migliaia di account già compromessi. Dopo l'accesso, gli attori visualizzano i messaggi, rubano i contatti, impersonano le vittime e concatenano ulteriore phishing da identità fidate. Il direttore dell'FBI Kash Patel ha confermato la campagna su X.

Fonti: The Hacker News · BleepingComputer

Gli USA confermano il legame di Handala con il governo iraniano

stato-nazione

Il governo statunitense ha sequestrato diversi domini utilizzati da Handala, confermando il suo legame con il governo iraniano. Il gruppo ha condotto operazioni psicologiche abilitate dal cyber. I domini sono stati rimossi in uno sforzo coordinato.

Fonte: SecurityWeek

3 uomini incriminati per contrabbando di hardware IA verso la Cina

controlli all'esportazione

Tre individui incriminati per violazione delle leggi statunitensi sul controllo delle esportazioni, avendo cospirato per dirottare grandi quantità di server IA ad alte prestazioni assemblati negli Stati Uniti verso la Cina.

Fonte: SecurityWeek

🤖 Botnet e DDoS

Il DoJ smantella botnet IoT da 3M di dispositivi — DDoS record da 31,4 Tbps

critico

Il Dipartimento di Giustizia statunitense, insieme alle autorità canadesi e tedesche, ha smantellato l'infrastruttura C2 delle botnet AISURU, Kimwolf, JackSkid e Mossad — che controllavano collettivamente oltre 3 milioni di dispositivi IoT infetti (DVR, smart TV, set-top box). Queste botnet hanno lanciato attacchi DDoS record raggiungendo 31,4 Tbps. Una vasta coalizione del settore privato ha assistito (Akamai, AWS, Cloudflare, Google, Oracle, PayPal e altri). I sospetti includono un canadese di 23 anni e un tedesco di 15 anni. Nessun arresto annunciato.

Fonte: The Hacker News

💀 Violazioni di dati

Violazione dati Navia — 2,7 milioni di persone colpite

su larga scala

Tra la fine di dicembre 2025 e la metà di gennaio 2026, gli hacker hanno rubato informazioni personali e sui piani sanitari dall'ambiente di Navia, impattando 2,7 milioni di individui. Dati sanitari e previdenziali compromessi.

Fonte: SecurityWeek

Migliaia di siti Magento colpiti da campagna di defacement in corso

attacchi web

Una campagna di defacement di massa iniziata il 27 febbraio ha colpito migliaia di siti e-commerce basati su Magento, prendendo di mira brand globali e persino servizi governativi. Combinata con la nuova vulnerabilità PolyShell, gli operatori Magento affrontano un panorama di minacce serio.

Fonte: SecurityWeek

🎣 Phishing e ingegneria sociale

Alert Microsoft Azure Monitor abusati per callback phishing

phishing

Gli attaccanti stanno abusando degli alert di Microsoft Azure Monitor per inviare e-mail di callback phishing impersonando il Microsoft Security Team. Le e-mail avvisano di addebiti non autorizzati, attirando le vittime a chiamare numeri di telefono controllati dagli attaccanti.

Fonte: BleepingComputer

📱 Aggiornamenti piattaforme e strumenti

Google Android «Advanced Flow» — 24 ore di attesa per il sideloading

Android

Google ha annunciato un nuovo meccanismo di sideloading per Android: le app da sviluppatori non verificati ora richiedono un periodo di attesa obbligatorio di 24 ore prima dell'installazione. Parte del mandato di verifica degli sviluppatori per ridurre la distribuzione di malware e app fraudolente.

Fonte: The Hacker News

Operazione Alice — 373.000 siti del dark web chiusi

forze dell'ordine

Un'operazione internazionale delle forze dell'ordine ha chiuso oltre 373.000 siti del dark web che offrivano pacchetti falsi di materiale illegale.

Fonte: BleepingComputer

Il Regno Unito inasprisce gli obblighi di segnalazione degli incidenti cyber

regolamentazione

Il Regno Unito sta inasprendo gli obblighi di segnalazione degli incidenti cyber per le organizzazioni, unendosi alla tendenza NIS2 dell'UE verso requisiti più rigorosi di divulgazione delle violazioni.

Fonte: SecurityWeek

💰 Finanziamenti nel settore sicurezza

Oasis Security — 120 M$ per la gestione dell'accesso agentico

Espansione R&S per la gestione dell'accesso ai framework IA e scalabilità go-to-market.

Cape — 100 M$ per la sicurezza cellulare

MVNO incentrato sulla privacy per consumatori, aziende e governi.

Eclypsium — 25 M$ per la sicurezza della supply chain dei dispositivi

Espansione delle capacità della piattaforma di sicurezza firmware e supply chain.

1stProtect — 20 M$ (uscita dallo stealth) per la sicurezza degli endpoint

Monitoraggio comportamentale e verifica dell'intento dell'utente per bloccare gli attacchi in tempo reale.

Allure Security — 17 M$ per la protezione del marchio online

Espansione della piattaforma di protezione digitale del marchio.

📊 Pattern emergenti delle minacce

Tendenze chiave di questa settimana

1. Gli attacchi alla supply chain accelerano: Trivy/CanisterWorm mostra che gli attaccanti concatenano le compromissioni — una violazione porta a worm autopropaganti attraverso interi ecosistemi. Il C2 basato su blockchain (canister ICP) rende la rimozione quasi impossibile.

2. Il time-to-exploit crolla: Langflow CVE-2026-33017 è stata sfruttata entro 20 ore dalla divulgazione. La finestra di patching è effettivamente zero per i servizi esposti su Internet.

3. Crescente sofisticazione del phishing abilitato dall'IA: L'analisi comportamentale diventa essenziale poiché l'IA genera phishing personalizzato che aggira i sistemi di rilevamento legacy. Gli attacchi AITM basati su browser e le tecniche ClickFix guidano le violazioni principali.

4. Targeting statale delle app di messaggistica: I servizi di intelligence russi conducono campagne su scala industriale contro la messaggistica crittografata (Signal, WhatsApp). Le catene di fiducia vengono sfruttate — gli account compromessi vengono usati per il phishing dei contatti.

5. La scala delle botnet IoT raggiunge livelli infrastrutturali: 31,4 Tbps di capacità DDoS da dispositivi consumer compromessi. Anche dopo le rimozioni, la popolazione di dispositivi infetti persiste.

6. L'inasprimento normativo continua: Il Regno Unito adotta mandati di segnalazione in stile NIS2. Il carico di conformità aumenta per le organizzazioni UE/UK.

🇪🇺 NIS2 e rilevanza di KENSAI

Cosa significa per i clienti KENSAI

Monitoraggio della supply chain: La compromissione di Trivy/npm rafforza l'importanza della scansione continua delle dipendenze. L'analisi SBOM e i controlli delle dipendenze di KENSAI individuano esattamente questi pattern.

Urgenza nella gestione delle patch: Con finestre di sfruttamento dei CVE ridotte a ore (Langflow) e CISA che impone patch nello stesso giorno (Cisco), la scansione automatizzata delle vulnerabilità non è più opzionale — è sopravvivenza.

Segnalazione NIS2: Le regole di segnalazione rafforzate del Regno Unito rispecchiano l'Articolo 23 di NIS2. Le organizzazioni DACH affrontano gli stessi obblighi. Le capacità di reporting di conformità di KENSAI rispondono direttamente a questa esigenza.

Sicurezza della messaggistica: La campagna russa su Signal/WhatsApp è un campanello d'allarme per qualsiasi organizzazione che si affida alla messaggistica consumer per le comunicazioni sensibili.