Ricerca sulla Sicurezza
⚡ In Breve — Cosa Conta Oggi
- L'attacco alla supply chain di Trivy si intensifica: il malware autoproliferante CanisterWorm ora infetta oltre 47 pacchetti npm tramite GitHub Actions compromesse
- Patch di emergenza Oracle: CVE-2026-21992 (CVSS 9.8) — RCE non autenticato in Identity Manager, applicare la patch immediatamente
- Il DoJ smantella botnet DDoS da record: oltre 3 milioni di dispositivi in 4 botnet IoT neutralizzati (attacchi di picco a 31,4 Tbps)
- L'FBI avverte sul phishing russo via Signal/WhatsApp: migliaia di account già compromessi, bersagliando governo e militari
- Langflow CVE-2026-33017 sfruttato in 20 ore: CVSS 9.3, RCE non autenticato nello strumento di pipeline AI
- La violazione di Navia espone 2,7 milioni di record: dati personali e di piani sanitari rubati tra dicembre 2025 e gennaio 2026
La compromissione dello scanner Trivy genera CanisterWorm — 47 pacchetti npm infettati
CriticoL'attacco alla supply chain dello scanner di vulnerabilità Trivy da parte del gruppo criminale TeamPCP si è intensificato drammaticamente. Gli aggressori hanno compromesso le GitHub Actions aquasecurity/trivy-action e aquasecurity/setup-trivy, dirottando 75 tag per rubare segreti CI/CD. Un attacco successivo ha distribuito CanisterWorm, un worm autoproliferante che utilizza canister ICP (smart contract a prova di manomissione) e che si è diffuso in 47 pacchetti npm, rendendone estremamente difficile il contenimento.
VoidStealer aggira la crittografia Application-Bound di Chrome con un trucco del debugger
AltoUn nuovo info-stealer chiamato VoidStealer utilizza una tecnica inedita per aggirare la crittografia Application-Bound (ABE) di Chrome ed estrarre la chiave master del browser. Ciò consente la decrittazione di tutte le password salvate, i cookie e i dati sensibili. L'approccio basato sul debugger rappresenta un'evoluzione nelle tecniche di furto di credenziali che aggira le ultime protezioni di Chrome.
CVE-2026-21992 — RCE non autenticato in Oracle Identity Manager (CVSS 9.8)
CriticoOracle ha rilasciato una patch di emergenza fuori banda per una vulnerabilità critica di esecuzione remota di codice non autenticata in Identity Manager e Web Services Manager. La falla non richiede autenticazione ed è sfruttabile da remoto. Le organizzazioni che utilizzano Oracle Identity Manager dovrebbero applicare la patch immediatamente — si tratta di un rilascio di emergenza al di fuori del ciclo trimestrale regolare.
CVE-2026-33017 — RCE non autenticato in Langflow sfruttato in 20 ore
CriticoUna vulnerabilità critica in Langflow (CVSS 9.3), il popolare strumento di pipeline AI, è stata sfruttata in natura entro sole 20 ore dalla divulgazione pubblica. La falla combina l'assenza di autenticazione con l'iniezione di codice per ottenere l'esecuzione remota di codice tramite l'endpoint POST /api/v1. Sfruttamento attivo confermato — applicare la patch o mettere offline immediatamente.
CVE-2026-20131 — Cisco Secure Firewall Management Center (gravità massima)
CriticoCISA ha ordinato alle agenzie federali di applicare la patch per una vulnerabilità di gravità massima in Cisco Secure Firewall Management Center (FMC) entro il 22 marzo. La vulnerabilità è stata aggiunta al catalogo KEV, indicando uno sfruttamento confermato. Le organizzazioni che utilizzano Cisco FMC dovrebbero verificare immediatamente l'applicazione della patch.
CISA aggiunge vulnerabilità di Apple, Craft CMS e Laravel Livewire al KEV
AltoCISA ha aggiunto cinque vulnerabilità attivamente sfruttate al catalogo delle Vulnerabilità Sfruttate Note: CVE-2025-31277 (Apple, CVSS 8.8) e falle in Craft CMS e Laravel Livewire. Le agenzie federali devono applicare le patch entro il 3 aprile 2026. Lo sfruttamento attivo è confermato.
Magento PolyShell — RCE non autenticato tramite caricamento immagini API REST
CriticoSansec ha divulgato "PolyShell", una falla critica nell'API REST di Magento che consente ad aggressori non autenticati di caricare eseguibili arbitrari mascherati da immagini, ottenendo l'esecuzione di codice e il controllo degli account. Migliaia di siti Magento sono già sotto attacco in una campagna di defacement in corso che colpisce piattaforme di e-commerce e marchi globali dal 27 febbraio.
Vulnerabilità di Quest KACE sfruttata contro il settore dell'istruzione
AltoUna vulnerabilità critica in Quest KACE (CVE-2025-32975) è potenzialmente sfruttata in attacchi mirati al settore dell'istruzione. Quest KACE è ampiamente utilizzato per la gestione dei sistemi e la sicurezza degli endpoint in scuole e università.
Violazione dei dati di Navia — 2,7 milioni di record rubati
AltoL'azienda di amministrazione dei benefit Navia ha rivelato una violazione che ha colpito 2,7 milioni di individui. Tra la fine di dicembre 2025 e la metà di gennaio 2026, gli hacker hanno esfiltrato informazioni personali e dati di piani sanitari. Si tratta di una delle più grandi violazioni nel settore sanitario segnalate nel primo trimestre 2026.
FBI: l'intelligence russa prende di mira Signal e WhatsApp in una campagna di phishing di massa
AltoFBI e CISA hanno emesso un avviso congiunto secondo cui attori legati all'intelligence russa stanno conducendo campagne di phishing contro gli utenti di Signal e WhatsApp. I bersagli includono funzionari governativi americani attuali ed ex, personale militare, figure politiche e giornalisti. Migliaia di account sono già stati compromessi. Gli aggressori ottengono accesso completo a messaggi e contatti e utilizzano gli account compromessi per ulteriore phishing da identità fidate.
Avvisi di Azure Monitor usati abusivamente per phishing callback
MedioGli avvisi di Microsoft Azure Monitor vengono utilizzati come arma per inviare email di phishing callback dall'aspetto legittimo, impersonando il Team di Sicurezza Microsoft. Le email avvertono di "addebiti non autorizzati" e sfruttano la fiducia nell'infrastruttura Azure per aggirare i filtri di sicurezza delle email.
Gli USA confermano il legame di Handala con il governo iraniano, sequestrano domini
MedioGli Stati Uniti hanno confermato ufficialmente che il gruppo di hacking Handala opera per conto del governo iraniano e hanno sequestrato diversi domini utilizzati nelle loro operazioni psicologiche informatiche.
3 uomini accusati di contrabbando di hardware AI verso la Cina
IntelTre individui sono stati accusati di aver violato le leggi statunitensi sul controllo delle esportazioni, organizzando il dirottamento di ingenti quantità di server AI ad alte prestazioni dagli USA alla Cina, evidenziando le tensioni in corso sui trasferimenti di tecnologia AI.
Il DoJ smantella 4 botnet IoT — 3 milioni di dispositivi, DDoS record da 31,4 Tbps
IntelIl DoJ statunitense, insieme a Canada e Germania, ha smantellato l'infrastruttura C2 delle botnet AISURU, Kimwolf, JackSkid e Mossad. Queste botnet avevano asservito oltre 3 milioni di dispositivi IoT (DVR, telecamere, router, smart TV) e lanciato attacchi DDoS da record raggiungendo 31,4 Tbps. I partner del settore privato includevano Akamai, AWS, Cloudflare, Google e altri. Il gestore della botnet Kimwolf è collegato a un 23enne di Ottawa; si sospetta anche il coinvolgimento di un 15enne in Germania. Nessun arresto annunciato finora.
Operazione Alice — 373.000 siti del dark web abbattuti
IntelL'operazione internazionale delle forze dell'ordine "Operazione Alice" ha chiuso oltre 373.000 siti del dark web. Si tratta di una delle più grandi operazioni coordinate di smantellamento di infrastrutture illecite del dark web mai realizzate.
Le startup della sicurezza raccolgono oltre 282 milioni di dollari questa settimana
IntelPrincipali round di finanziamento nel settore sicurezza questa settimana:
- Oasis Security — 120 milioni di dollari per la gestione degli accessi agentici
- Cape — 100 milioni di dollari per la sicurezza cellulare / MVNO orientato alla privacy
- Eclypsium — 25 milioni di dollari per la sicurezza della supply chain dei dispositivi
- 1stProtect — 20 milioni di dollari (stealth) per il monitoraggio comportamentale degli endpoint
- Allure Security — 17 milioni di dollari per la protezione dei marchi online
Tendenze Chiave di Questa Settimana
Analisi1. Accelerazione degli attacchi alla supply chain: La compromissione di Trivy + CanisterWorm rappresenta un nuovo paradigma — worm autoproliferanti negli ecosistemi di pacchetti con C2 basato su blockchain. Le pipeline CI/CD sono ora una superficie di attacco primaria.
2. Il tempo di sfruttamento si riduce: Langflow CVE-2026-33017 è stato armato entro 20 ore dalla divulgazione. I difensori hanno meno di un giorno per reagire alle divulgazioni critiche — il patching automatizzato non è più opzionale.
3. La superficie di attacco degli strumenti AI si espande: Sia Langflow (strumento di pipeline AI) che le accuse di contrabbando di hardware AI evidenziano che l'infrastruttura AI è ora un obiettivo primario — sia gli strumenti che l'hardware.
4. Nazioni-stato prendono di mira le app di messaggistica: L'intelligence russa che prende di mira in massa Signal/WhatsApp segnala un cambiamento dal targeting delle email al targeting delle app di messaggistica crittografata, minando il consiglio di sicurezza "basta usare Signal".
5. Emerge la sicurezza agentica: La raccolta di 120 milioni di dollari di Oasis Security per la "gestione degli accessi agentici" e la tendenza più ampia verso strumenti di sicurezza guidati dall'AI riflettono una forte scommessa del settore sulle capacità di difesa autonoma.
Opportunità per KENSAI Questa Settimana
- Magento PolyShell: Migliaia di siti e-commerce colpiti → KENSAI può rilevarlo tramite scansione DAST. Opportunità di contenuto per il mercato e-commerce DACH.
- Attacchi alla supply chain: Trivy/CanisterWorm valida la proposta di valore della scansione SBOM/dipendenze di KENSAI. NIS2 richiede la gestione del rischio della supply chain.
- Finestra di sfruttamento di 20 ore: Punto di discussione perfetto per la proposta di scansione continua di KENSAI — "Il vostro team di sicurezza può applicare una patch in 20 ore?"
- Raccolta di 120M$ di Oasis: Valida l'appetito del mercato per strumenti di sicurezza autonomi — il posizionamento di KENSAI come pentest autonomo è in linea con la tendenza.
- Patch critiche Oracle/Cisco: Da evidenziare nei contenuti sulla conformità NIS2 — requisiti obbligatori di patching previsti dalla direttiva.