剣 KENSAI
← Back to archive

🛡️ KENSAI Ricerca Quotidiana sulla Sicurezza

2026-03-26 — Giovedì
Rassegna di threat intelligence delle ultime 24 ore • Ricerca automatizzata da KENSAI
3
Violazioni
4
Vuln. Critiche
3
Ransomware
3
Nuovi Strumenti
4
Minacce Emergenti

📡 RSAC 2026 è in Corso

La RSA Conference 2026 è in corso — gli annunci del Giorno 2 stanno arrivando. Importanti rilasci da parte dei vendor, nuovi framework per la governance dell'AI agentica e report aggiornati sulle minacce da SentinelOne, PwC e SANS. Punto chiave: l'AI sta accelerando sia gli attacchi che gli strumenti di difesa.

🔓 Principali Violazioni di Dati

Dati dei Dipendenti HackerOne Esposti nella Violazione di Navia

HackerOne ha confermato che le informazioni personali di centinaia di dipendenti sono state rubate in una violazione che ha colpito il fornitore di benefit Navia. Dati PII sensibili tra cui nomi, indirizzi e dati relativi ai benefit sono stati esfiltrati. L'ironia di una piattaforma di bug bounty i cui dipendenti vengono coinvolti in una violazione di terze parti evidenzia il rischio della catena di fornitura.

Violazione Dati Rischio Terze Parti Fonte: SecurityWeek
KENSAI Take

Anche le aziende che mettono la sicurezza al primo posto sono esposte attraverso la propria catena di fornitori. L'Articolo 21 della NIS2 impone esplicitamente valutazioni della sicurezza della supply chain. La scansione del rischio di terze parti di KENSAI individua queste lacune.

Amministratore di LeakBase Arrestato in Russia — 147K Utenti, Centinaia di Milioni di Record

Le forze dell'ordine russe hanno arrestato l'amministratore del forum cybercriminale LeakBase a Taganrog. La piattaforma ospitava centinaia di milioni di account rubati, dati bancari, nomi utente, password e documenti aziendali. Oltre 147.000 utenti registrati potevano acquistare e vendere questi dati dal 2021.

Dark Web Forze dell'Ordine Fonte: The Hacker News

Il Ministero delle Finanze Olandese Indaga su una Violazione Informatica

Il Ministero delle Finanze dei Paesi Bassi sta indagando su una violazione informatica che ha interessato i sistemi interni. I dettagli rimangono limitati, ma la violazione ha colpito infrastrutture governative critiche. Contemporaneamente, Crunchyroll (streaming anime) ha rivelato un attacco che ha sottratto dati dei ticket di assistenza clienti, e Kaplan (istruzione) ha segnalato una violazione che ha interessato oltre 230.000 individui.

Governo UE Fonte: The Record
KENSAI Take

Le violazioni ai governi dell'UE accelerano i tempi di applicazione della NIS2. Le organizzazioni DACH dovrebbero considerare questo come un'anticipazione del maggiore scrutinio normativo nel 2026.

🚨 Vulnerabilità Critiche

Citrix NetScaler — CitrixBleed3 in Arrivo

Citrix ha rilasciato patch urgenti per due vulnerabilità in NetScaler ADC e NetScaler Gateway. Una falla è "molto simile" alle famigerate vulnerabilità CitrixBleed e CitrixBleed2 sfruttate come zero-day. Citrix esorta ad applicare le patch immediatamente — exploit PoC attesi entro pochi giorni.

Critico Citrix NetScaler Fonte: BleepingComputer
KENSAI Take

CitrixBleed ha portato ad alcune delle più grandi violazioni del 2023-2024. Le organizzazioni che utilizzano NetScaler devono applicare la patch SUBITO. La scansione esterna di KENSAI rileva le istanze NetScaler esposte e ne identifica le versioni.

TP-Link Archer NX — Bypass Critico dell'Autenticazione

TP-Link ha corretto una falla critica di bypass dell'autenticazione nella serie di router Archer NX che potrebbe consentire agli aggressori di eludere completamente l'autenticazione e caricare firmware malevolo. Considerato il nuovo divieto della FCC sui router prodotti all'estero, ciò aggrava le preoccupazioni sulla sicurezza della supply chain dei router.

Critico Router / IoT Fonte: BleepingComputer

PolyShell — Sfruttamento di Massa su Magento/Adobe Commerce

Lo sfruttamento attivo della vulnerabilità "PolyShell" sta colpendo il 56% di tutti gli store vulnerabili Magento Open Source e Adobe Commerce. Gli aggressori stanno distribuendo web shell su larga scala. Le aziende di e-commerce con Magento 2 devono applicare le patch immediatamente o rischiare la compromissione totale del sito e il furto dei dati di pagamento.

Sfruttamento Attivo E-Commerce Fonte: BleepingComputer

Apple iOS/macOS 26.4 — Patch di Sicurezza su Tutto l'Ecosistema

Apple ha rilasciato fix di sicurezza per iOS, macOS e iPadOS, incluse patch per dispositivi meno recenti (iOS 18.7.7, macOS Sequoia 15.7.5, macOS Sonoma 14.8.5). Corrette molteplici vulnerabilità WebKit e del kernel.

Alto Ecosistema Apple Fonte: SecurityWeek

💀 Attacchi Ransomware

Porto di Vigo (Spagna) — Operazioni Marittime Interrotte

Un attacco ransomware ha costretto il Porto di Vigo in Spagna a disconnettere i sistemi e passare alla gestione manuale del carico. L'attacco è stato rilevato martedì mattina, bloccando i server e richiedendo un riscatto. Il presidente del porto ha dichiarato: "Non ripristineremo le connessioni finché non ci saranno garanzie assolute." Nessun gruppo ha rivendicato la responsabilità. I movimenti delle navi continuano ma il coordinamento logistico è paralizzato.

Ransomware Infrastruttura Critica Fonte: The Record
KENSAI Take

Gli attacchi ai porti marittimi stanno accelerando — Nagoya (2023), ora Vigo (2026). Sotto la NIS2, i porti sono "entità essenziali" con obbligo di segnalazione degli incidenti entro 24 ore. Le autorità portuali dell'UE necessitano di monitoraggio continuo della sicurezza.

Stryker (Dispositivi Medici) — Linee di Produzione Riattivate Dopo Attacco Malware

Il produttore di dispositivi medici Stryker ha confermato il coinvolgimento di malware in un recente attacco informatico che ha fermato le linee di produzione. Le operazioni stanno ora riprendendo. L'attacco evidenzia il continuo prendere di mira delle catene di fornitura del settore sanitario e manifatturiero medicale.

Malware Sanità Fonte: The Record

Operatori Ransomware Russi Condannati negli USA

Ilya Angelov (TA551/Shathak) — 2 anni + multa di $100K per la gestione di una botnet utilizzata in campagne ransomware (2017-2021). Aleksei Volkov — 81 mesi (6,75 anni) per il suo ruolo come access broker negli attacchi ransomware Yanluowang. Il DoJ statunitense continua a perseguire i cybercriminali russi con portata extraterritoriale.

Forze dell'Ordine Ransomware Fonti: THN, SecurityWeek

🔧 Rilasci di Strumenti di Sicurezza

Kali Linux 2026.1 — 8 Nuovi Strumenti + Modalità BackTrack

La prima release dell'anno porta 8 nuovi strumenti di sicurezza, un aggiornamento del tema visivo e una nuova "modalità BackTrack" per Kali-Undercover. Un tocco di nostalgia unito ad aggiornamenti pratici per il pentesting.

Nuovo Strumento Penetration Testing Fonte: BleepingComputer

GitHub — Scansione di Sicurezza del Codice Basata sull'AI

GitHub sta espandendo il suo strumento Code Security oltre CodeQL con rilevamento delle vulnerabilità basato sull'AI. La nuova scansione copre più linguaggi e framework, abbassando la barriera per uno sviluppo consapevole della sicurezza. Questo avvicina il SAST ai flussi di lavoro mainstream degli sviluppatori.

Nuovo Strumento SAST / DevSecOps Fonte: BleepingComputer
KENSAI Take

Il SAST basato sull'AI sta diventando uno standard. Il vantaggio competitivo di KENSAI: combinare SAST con DAST, scansione esterna e conformità NIS2 in un'unica piattaforma — non solo rilevamento a livello di codice.

Onit Security — $11M di Raccolta per la Gestione dell'Esposizione

Onit Security ha raccolto $11M per costruire la propria piattaforma di gestione dell'esposizione. L'investimento è destinato allo sviluppo del prodotto e all'espansione GTM in nuovi settori. Segnala un continuo interesse dei VC per l'attack surface management nonostante il consolidamento del mercato.

Finanziamento Gestione dell'Esposizione Fonte: SecurityWeek

⚡ Minacce Emergenti

Escalation della Compromissione della Supply Chain — TeamPCP Colpisce LiteLLM, Docker Hub, VS Code, PyPI

L'attore di minacce TeamPCP (responsabile delle compromissioni di Trivy/KICS) ha ora inserito una backdoor nelle versioni 1.82.7–1.82.8 di LiteLLM tramite una compromissione della pipeline CI/CD. Il payload è un attacco in tre fasi: raccolta di credenziali (chiavi SSH, credenziali cloud, secret K8s), toolkit per il movimento laterale e backdoor persistente. Hanno colpito anche Docker Hub, il marketplace di VS Code e NPM — e si dice stiano ora collaborando con Lapsus$.

Critico Supply Chain Fonti: THN, SecurityWeek
KENSAI Take

Questo è l'attacco alla supply chain OSS più significativo del 2026 finora. Compromissione della pipeline CI/CD → avvelenamento dei pacchetti su larga scala. Le organizzazioni devono verificare l'integrità dei pacchetti e fissare le versioni. La scansione SBOM non è più opzionale.

Device Code Phishing — Oltre 340 Organizzazioni Microsoft 365 Compromesse

Una massiccia campagna di device code phishing sta prendendo di mira le identità M365 in oltre 340 organizzazioni negli USA, Canada, Australia, Nuova Zelanda e Germania. Utilizza Cloudflare Workers + Railway PaaS per la raccolta di credenziali. Sfrutta il flusso di autorizzazione OAuth device code per rubare token che sopravvivono al reset della password. Settori colpiti: edilizia, sanità, legale, governo, servizi finanziari.

Campagna Attiva Identità / OAuth Fonte: The Hacker News
KENSAI Take

La Germania è esplicitamente elencata come Paese bersaglio. Le organizzazioni DACH che utilizzano M365 dovrebbero verificare immediatamente le policy OAuth device code. Le policy di Accesso Condizionale dovrebbero bloccare il flusso device code dove non necessario.

GlassWorm — La Blockchain Solana come Dead Drop per il C2

La campagna GlassWorm utilizza ora i memo della blockchain Solana come resolver dead drop per la comunicazione C2. Distribuisce un'estensione Chrome mascherata da Google Docs Offline, registra le sequenze di tasti, esfiltra cookie/sessioni, cattura screenshot e prende di mira oltre 728 wallet crypto. Si diffonde tramite pacchetti avvelenati su npm, PyPI, GitHub e il marketplace di VS Code.

Tecnica Innovativa Blockchain C2 Fonte: The Hacker News

Gli Agenti AI come Superficie di Attacco — "La Kill Chain è Obsoleta"

I ricercatori di sicurezza avvertono che gli agenti AI con accesso ai sistemi rappresentano un modello di minaccia fondamentalmente nuovo. A differenza delle kill chain tradizionali in cui gli aggressori devono guadagnare l'accesso passo dopo passo, gli agenti AI compromessi hanno già permessi, accesso e motivi legittimi per attraversare i sistemi. PwC e SANS confermano entrambi che l'AI sta accelerando la velocità e la scala degli attacchi, con il furto di identità che si evolve in una "catena di fornitura cybercriminale". Gli account AI premium rubati sono ora merce ricercata nei mercati underground.

Minacce AI Emergente Fonti: THN, SecurityWeek
KENSAI Take

SecurityWeek ha pubblicato un articolo sulla governance dell'AI agentica citando OpenClaw. La narrativa dell'AI come superficie di minaccia è l'opportunità di contenuto per KENSAI — dovremmo dominare questa conversazione nel mercato DACH.

📋 Normativa e Regolamentazione

La FCC Vieta i Router Consumer Prodotti all'Estero

La FCC ha vietato tutti i nuovi router consumer prodotti al di fuori degli Stati Uniti, citando rischi per la sicurezza nazionale. In linea con la determinazione della Casa Bianca secondo cui tutti i router di produzione estera rappresentano minacce inaccettabili. Importanti implicazioni per TP-Link, Huawei e altri produttori stranieri.

Regolamentazione Politica USA Fonte: SecurityWeek

Capo ad Interim CISA: Lo Shutdown Aumenta i Rischi Cyber e Causa Dimissioni

Il direttore ad interim di CISA ha avvertito che le dinamiche dello shutdown governativo in corso stanno aumentando i rischi di cybersicurezza e causando problemi di retention del personale. La postura di cybersicurezza del governo statunitense continua a deteriorarsi man mano che il personale esperto se ne va.

CISA Normativa Fonte: The Record

UK NCSC: Il "Vibe Coding" Potrebbe Aggiungere Rischi di Sicurezza al Settore SaaS

Il National Cyber Security Centre del Regno Unito ha avvertito che la tendenza del "vibe coding" — usare l'AI per generare intere applicazioni — potrebbe trasformare il settore SaaS introducendo al contempo rischi significativi per la sicurezza. Il codice generato dall'AI spesso manca di validazione degli input, controlli di autenticazione e impostazioni predefinite sicure.

Rischio AI UK NCSC Fonte: The Record