剣 KENSAI
← Back to archive

Briefing giornaliero sulle minacce

2026-03-27 · Venerdì · S13
Compilato da BleepingComputer, The Hacker News, SecurityWeek e altre fonti
4
CVE critici
3
Violazioni dati
2
Exploit attivi
6
Campagne di minacce

🔓 Violazioni dati e fughe di informazioni

Violazione dati Hightower Holding — 130.000 persone coinvolte

26 marSecurityWeek
ALTO IMPATTO

La società finanziaria Hightower ha rivelato che degli hacker hanno esfiltrato nomi, numeri di previdenza sociale e numeri di patente dal suo ambiente. Circa 130.000 individui sono stati coinvolti. La violazione evidenzia il costante prendere di mira le società di servizi finanziari che gestiscono grandi dataset di dati personali.

KENSAI Take: I servizi finanziari restano obiettivi primari. Le aziende che gestiscono dati personali su larga scala necessitano di monitoraggio continuo delle vulnerabilità — esattamente ciò che la scansione automatizzata di KENSAI offre.

securityweek.com

Ajax Amsterdam FC — Dati dei tifosi esposti, dirottamento biglietti

26 marBleepingComputer
MEDIO

Il club di calcio olandese AFC Ajax ha rivelato una violazione in cui un hacker ha sfruttato vulnerabilità nei suoi sistemi IT, accedendo ai dati personali di diverse centinaia di tifosi. L'accesso ha abilitato capacità di dirottamento dei biglietti. Dimostra come anche organizzazioni «non-tech» affrontino attacchi sofisticati quando detengono dati dei consumatori.

bleepingcomputer.com

Amministratore di LeakBase arrestato in Russia

25–26 marFonti multiple
FORZE DELL'ORDINE

La polizia russa ha arrestato un residente di Taganrog ritenuto il proprietario di LeakBase, un importante forum cybercriminale per lo scambio di database rubati e strumenti di hacking, attivo dal 2021. Apparecchiature tecniche sono state sequestrate. Separatamente, il presunto amministratore dell'infostealer RedLine, Hambardzum Minasyan, è stato estradato dall'Armenia agli USA per affrontare accuse penali.

thehackernews.com

🚨 CVE critici e vulnerabilità

CVE-2026-33017 — Langflow AI Framework RCE (CVSS 9.3)

ATTIVAMENTE SFRUTTATOCISA KEV
CRITICO 9.3

La CISA ha aggiunto CVE-2026-33017 al suo catalogo delle vulnerabilità sfruttate note. La falla interessa Langflow ≤1.8.1, un popolare framework AI open-source per workflow (145K stelle GitHub). Consente l'esecuzione remota di codice non autenticata tramite una singola richiesta HTTP manipolata a causa dell'esecuzione di flussi senza sandbox. Lo sfruttamento è iniziato solo 20 ore dopo la divulgazione — senza PoC pubblico esistente; gli attaccanti hanno applicato il reverse engineering degli exploit solo dall'avviso. Scansione automatizzata → sfruttamento → raccolta dati (.env, .db) è avvenuta in 24 ore.

KENSAI Take: L'infrastruttura AI sta diventando una superficie di attacco primaria. Tempistiche di sfruttamento di 20 ore significano che le organizzazioni hanno bisogno di scansione automatizzata continua, non di pentest trimestrali. Questa è la proposta di valore fondamentale di KENSAI.

bleepingcomputer.com

PolyShell — RCE non autenticata su Magento/Adobe Commerce

SFRUTTAMENTO DI MASSA56,7% dei negozi vulnerabili
CRITICO

Una nuova vulnerabilità chiamata PolyShell colpisce Magento Open Source e Adobe Commerce, consentendo l'upload di file non autenticato verso RCE tramite l'API REST. Sotto sfruttamento di massa dal 19 marzo, con oltre 50 IP che effettuano scansioni. Sansec riporta che il 56,7% dei negozi vulnerabili è stato attaccato. Un nuovo skimmer di pagamento basato su WebRTC è stato distribuito tramite questo vettore, aggirando la Content Security Policy utilizzando canali UDP crittografati DTLS invece di HTTP. Patch disponibile solo in beta (2.4.9-beta1).

KENSAI Take: Le piattaforme e-commerce sono infrastrutture critiche per le aziende. La tecnica di esfiltrazione WebRTC aggira le CSP tradizionali — gli strumenti DAST che monitorano solo HTTP non la rileveranno affatto. L'approccio multi-vettore di KENSAI rileva ciò che gli scanner tradizionali non vedono.

thehackernews.com

BIND DNS — Vulnerabilità OOM ad alta severità

26 marSecurityWeek
ALTO

ISC ha rilasciato aggiornamenti che correggono vulnerabilità ad alta severità nei resolver BIND DNS. Domini appositamente creati potevano innescare condizioni di memoria insufficiente portando a perdite di memoria e potenziale negazione del servizio. Gli operatori di infrastruttura DNS dovrebbero applicare le patch immediatamente.

securityweek.com

Cisco IOS — Molteplici vulnerabilità corrette

26 marSecurityWeek
ALTO

Cisco ha rilasciato patch per molteplici vulnerabilità nel software IOS, affrontando falle che potevano portare a negazione del servizio, bypass del boot sicuro, divulgazione di informazioni e escalation dei privilegi. L'infrastruttura di rete con Cisco IOS dovrebbe essere aggiornata.

securityweek.com

Apple iOS/macOS 26.4 — Aggiornamenti di sicurezza

26 marSecurityWeek
MEDIO

Apple ha rilasciato correzioni di sicurezza per iOS/macOS 26.4, oltre a backport per versioni precedenti: iOS 18.7.7, iPadOS 18.7.7, macOS Sequoia 15.7.5 e macOS Sonoma 14.8.5. Aggiornate tutti i dispositivi Apple tempestivamente.

securityweek.com

☠️ Campagne di minacce e malware

Red Menshen (Cina) — In profondità nel backbone delle telecomunicazioni tramite BPFDoor

26 marThe Hacker News / Rapid7
APTSPONSORIZZATO DA STATO

L'attore di minacce legato alla Cina Red Menshen (Earth Bluecrow / DecisiveArchitect) ha integrato impianti a livello kernel e backdoor passivi nelle reti di telecomunicazioni in Medio Oriente e Asia dal 2021. Rapid7 li ha descritti come «alcune delle cellule dormienti digitali più furtive» mai incontrate. Gli impianti BPFDoor consentono spionaggio persistente a lungo termine contro le reti governative attraverso la compromissione di infrastrutture telecom.

KENSAI Take: Attori sponsorizzati da stati che operano a livello kernel nei backbone delle telecomunicazioni — la conformità NIS2 richiede che le organizzazioni tengano conto esattamente di questi rischi della catena di fornitura. I fornitori telecom nella regione DACH dovrebbero valutare la propria esposizione.

thehackernews.com

Sandworm (Russia) — Backdoor tramite software pirata

26 marThe Hacker News
APTSPONSORIZZATO DA STATO

L'APT russo Sandworm sta distribuendo backdoor (Tambur, Sumbur, Kalambur, DemiMur) attraverso software pirata come «Microsoft.Office.2025x64». Utilizza Telegram come vettore di distribuzione puntando a utenti ucraini in cerca di crack software. DemiMur forza l'importazione di certificati root falsificati nel trust store del SO, abilitando la manipolazione persistente della catena di fiducia.

thehackernews.com

Coruna iOS Exploit Framework — Evoluzione dell'Operation Triangulation

26 marBleepingComputer
ZERO-CLICK

Il kit di exploit Coruna è stato identificato come un'evoluzione del framework usato nell'Operation Triangulation, la campagna del 2023 che prendeva di mira gli iPhone tramite exploit zero-click di iMessage. Questo rappresenta lo sviluppo continuo di capacità sofisticate di sfruttamento mobile.

bleepingcomputer.com

Keenadu — Backdoor a livello firmware Android in espansione

26 marSophos / The Hacker News
FIRMWARE

Sophos ha rilevato Keenadu, un backdoor firmware integrato nel libandroid_runtime.so di Android che si inietta nel processo Zygote (genitore di tutte le app Android), dando agli attaccanti il controllo totale del dispositivo. Oltre 500 dispositivi compromessi su ~50 modelli rilevati, principalmente dispositivi economici di Allview, BLU, Dcode, DOOGEE e altri. Viene spedito preinstallato dalla fabbrica.

thehackernews.com

TeamPCP — Compromissione della catena di fornitura OSS multi-ecosistema

26 marSecurityWeek
CATENA DI FORNITURA

Il gruppo di minacce TeamPCP si è espanso dalla compromissione dei tag GitHub Action (inizialmente Trivy) ad attacchi su NPM, Docker Hub, VS Code Extensions e PyPI. Il gruppo si sarebbe alleato con Lapsus$ per attacchi più ampi alla catena di fornitura attraverso molteplici ecosistemi di pacchetti.

securityweek.com

TikTok for Business — Campagna di phishing con evasione anti-bot

26 marBleepingComputer
PHISHING

Nuova campagna di phishing rivolta agli account TikTok for Business che utilizza tecniche anti-bot per impedire agli strumenti di sicurezza di analizzare le pagine malevole. Gli account aziendali sui social media restano obiettivi di alto valore per il furto di credenziali.

bleepingcomputer.com

Il Regno Unito sanziona il marketplace Xinbi

26 marBleepingComputer
SANZIONI

Il Regno Unito ha sanzionato Xinbi, un marketplace crypto in lingua cinese che vende dati rubati e apparecchiature Internet satellitare a reti di truffa nel Sud-est asiatico. Collegato a truffe «pig butchering» e altre operazioni di frode organizzata.

bleepingcomputer.com

🛡️ Strumenti di sicurezza e industria

Conferenza RSAC 2026 — Annunci del Giorno 2

26 marSecurityWeek
RSAC 2026

La RSAC 2026 è in corso con importanti annunci dei vendor. I temi chiave includono operazioni di sicurezza potenziate dall'IA, preparazione alla crittografia post-quantistica e strategie di difesa incentrate sull'identità.

securityweek.com

Dell e HP — Sicurezza dei dispositivi resistente al quantum

26 marSecurityWeek
PQC

Sia Dell che HP hanno annunciato nuove capacità di sicurezza resistenti al quantum per PC e stampanti, in linea con la timeline di migrazione PQC 2029 recentemente pubblicata da Google. Google sta integrando ML-DSA (Module-Lattice-Based Digital Signature Algorithm) nel processo di avvio verificato di Android 17.

securityweek.com

GitHub — Rilevamento vulnerabilità con IA

26 marThe Hacker News
AI SECURITY

GitHub ha annunciato rilevamenti di sicurezza basati su IA in GitHub Code Security, complementando CodeQL per trovare vulnerabilità che l'analisi statica tradizionale non rileva. Il modello di rilevamento ibrido evidenzia problemi e correzioni suggerite nei workflow di pull request. Anteprima pubblica prevista per l'inizio del Q2 2026.

thehackernews.com

Onit Security — 11 M$ per la gestione dell'esposizione

26 marSecurityWeek
FINANZIAMENTO

Onit Security ha raccolto 11 M$ per investire nella sua piattaforma di gestione dell'esposizione, espandendosi in nuovi settori. Lo spazio della gestione dell'esposizione continua ad attrarre investimenti mentre le organizzazioni cercano visibilità continua sulla loro superficie di attacco.

securityweek.com

La FCC vieta router consumer prodotti all'estero

26 marSecurityWeek
REGOLAMENTAZIONE

La FCC ha vietato nuovi router consumer prodotti al di fuori degli USA, citando rischi per la sicurezza nazionale. Il divieto è in linea con la determinazione della Casa Bianca che tutti i router di produzione estera costituiscono una minaccia alla sicurezza. Implicazioni significative per la catena di fornitura del settore networking.

securityweek.com

📊 Tendenze emergenti

1. L'infrastruttura AI è la nuova superficie di attacco

CVE-2026-33017 (Langflow) sfruttato in 20 ore. Gli strumenti di workflow AI sono esposti su Internet, spesso senza patch, e contengono chiavi API e credenziali cloud. Aspettatevi più CVE specifici per l'IA man mano che l'adozione accelera. Le organizzazioni che distribuiscono strumenti IA devono trattarli come infrastrutture critiche.

2. Bypass CSP tramite canali non-HTTP

Lo skimmer di pagamento WebRTC rappresenta un cambio di paradigma: gli attaccanti utilizzano canali dati UDP crittografati DTLS per esfiltrare dati completamente invisibili agli strumenti di sicurezza focalizzati su HTTP. La CSP da sola non è più sufficiente. Il monitoraggio della sicurezza deve estendersi oltre HTTP per coprire WebRTC, WebSocket e altre API del browser.

3. Gli attacchi alla catena di fornitura diventano multi-ecosistema

L'espansione di TeamPCP da GitHub Actions → NPM → Docker Hub → VS Code → PyPI dimostra che gli attaccanti trattano l'intero ecosistema OSS come un'unica superficie di attacco. Compromettere un gestore di pacchetti fornisce punti d'appoggio negli altri. SBOM e monitoraggio delle dipendenze sono ora essenziali, non opzionali.

4. Il calendario della crittografia post-quantistica si cristallizza

La scadenza di migrazione PQC 2029 di Google + annunci hardware Dell/HP + integrazione ML-DSA di Android 17 segnalano che la PQC sta passando da teorica a pratica. Gli attacchi «memorizza ora, decifra dopo» rendono questa una minaccia attuale, non futura. Le organizzazioni coperte da NIS2 dovrebbero iniziare le valutazioni di prontezza PQC.

5. L'identità resta l'anello più debole

La ricerca di PwC conferma che l'IA amplifica velocità e scala degli attacchi, mentre il furto di identità evolve in una catena di fornitura cybercriminale completa. L'estradizione dell'admin di RedLine e la chiusura di LeakBase mostrano quanto industrializzato sia diventato il furto di credenziali. Le tecniche di bypass MFA continuano ad avanzare parallelamente ai kit di phishing AITM.

6. Compromissione a livello firmware su larga scala

Keenadu spedito preinstallato su oltre 500 dispositivi in 50 modelli dimostra che gli attacchi alla catena di fornitura firmware sono reali e diffusi. I dispositivi economici restano vettori per la sorveglianza di massa. Le organizzazioni con politiche BYOD affrontano rischi maggiori da hardware consumer compromesso.