剣 KENSAI
← Back to archive

🛡️ Bollettino di Sicurezza Informatica

Domenica 29 marzo 2026 — 04:00 CET · Generato da BleepingComputer, The Hacker News, SecurityWeek

TL;DR: Hacker legati all'Iran hanno violato l'email personale del Direttore dell'FBI e colpito Stryker con un wiper. CVE critiche in Citrix NetScaler (9.3) e F5 BIG-IP sono attivamente sfruttate. Un grave attacco alla supply chain da parte di TeamPCP ha compromesso il pacchetto Telnyx su PyPI utilizzando steganografia in file WAV. Il gruppo cinese Red Menshen è stato scoperto all'interno dell'infrastruttura backbone delle telecomunicazioni. La Commissione Europea sta indagando su una violazione di un account AWS. Diversi exploit kit per iOS sono in circolazione — Apple ora invia avvisi sulla schermata di blocco ai dispositivi non aggiornati.

🔓 Violazioni di dati e incidenti

Email personale del Direttore dell'FBI Kash Patel violata da un gruppo legato all'Iran

CRITICOSTATO-NAZIONE

Il gruppo filo-iraniano Handala Hack Team ha compromesso con successo l'account email personale del Direttore dell'FBI Kash Patel. Il gruppo ha diffuso foto e documenti online. Inoltre, ha rivendicato un attacco wiper contro Stryker, un'importante azienda nel settore della difesa e della tecnologia medica.

La Commissione Europea indaga sulla violazione di un account cloud AWS

CRITICOCLOUD

La Commissione Europea sta indagando su una violazione della sicurezza dopo che un attore malevolo ha ottenuto accesso al suo ambiente cloud Amazon. La portata della violazione è ancora in fase di valutazione.

Violazione dei dati di Hightower Holding: 130.000 persone coinvolte

ALTOPII

Hightower Holding ha reso noto che degli hacker hanno sottratto nomi, numeri di previdenza sociale e numeri di patente di 130.000 persone.

La Polizia olandese comunica una violazione dopo un attacco di phishing

PHISHING

La Polizia Nazionale olandese (Politie) ha segnalato una violazione della sicurezza causata da un attacco di phishing riuscito. L'impatto è stato descritto come limitato, senza dati dei cittadini compromessi.

L'Ajax Football Club violato: esposti i dati dei tifosi e dirottamento dei biglietti

VIOLAZIONE DATI

I sistemi dell'Ajax Amsterdam sono stati violati, esponendo i dati dei tifosi e consentendo il dirottamento dei biglietti.

🚨 Vulnerabilità critiche

CVE-2026-3055 — Overread di memoria in Citrix NetScaler (CVSS 9.3)

CRITICORICOGNIZIONE ATTIVA

Una vulnerabilità critica di overread di memoria in Citrix NetScaler ADC e Gateway è oggetto di ricognizione attiva. Una validazione insufficiente degli input consente agli attaccanti di estrarre informazioni sensibili dalla memoria. Patch disponibili — applicare immediatamente.

CVE-2025-53521 — RCE in F5 BIG-IP APM aggiunta al KEV di CISA (CVSS 9.3)

CRITICOSFRUTTAMENTO ATTIVO

CISA ha aggiunto questa vulnerabilità RCE di F5 BIG-IP Access Policy Manager al catalogo delle vulnerabilità sfruttate note. Sfruttamento attivo in corso confermato. Applicare la patch immediatamente.

CVE-2026-4681 — Falla critica in PTC Windchill (Polizia tedesca mobilitata)

CRITICOICS/OT

CISA ha segnalato una vulnerabilità critica in PTC Windchill così grave da spingere la polizia tedesca a visitare fisicamente le organizzazioni per avvertirle. Ambienti industriali e manifatturieri a rischio.

Vulnerabilità in LangChain e LangGraph espongono file, segreti e database

ALTOAI/ML

Tre vulnerabilità nei framework AI ampiamente utilizzati LangChain e LangGraph (oltre 52 milioni di download settimanali) espongono dati del filesystem, segreti d'ambiente e cronologia delle conversazioni attraverso vettori d'attacco indipendenti.

Vulnerabilità ad alta gravità nei router TP-Link corrette

ALTONETWORKING

TP-Link ha corretto difetti che consentivano il bypass dell'autenticazione, l'esecuzione arbitraria di comandi e la decrittazione dei file di configurazione nei router.

Vulnerabilità ad alta gravità nel resolver DNS BIND

ALTODNS

Domini appositamente creati potevano provocare condizioni di esaurimento della memoria e memory leak nei resolver BIND. Aggiornamenti disponibili.

Vulnerabilità multiple in Cisco IOS

ALTONETWORKING

Molteplici falle di gravità alta e media in Cisco IOS potrebbero causare DoS, bypass del secure boot, divulgazione di informazioni ed escalation dei privilegi.

🎯 Attori delle minacce e campagne

Il gruppo cinese Red Menshen infiltrato nell'infrastruttura backbone delle telecomunicazioni

APTCINACRITICO

Rapid7 ha scoperto che il gruppo sponsorizzato dallo stato cinese Red Menshen (Earth Bluecrow / DecisiveArchitect) ha mantenuto un accesso furtivo a lungo termine all'interno delle reti di telecomunicazione utilizzando impianti kernel BPFDoor, backdoor passive e framework di comando multipiattaforma — descritti come "alcune delle cellule dormienti digitali più furtive" mai trovate nelle telecomunicazioni. Obiettivi: operatori telco in Medio Oriente e Asia.

Il gruppo russo TA446 distribuisce l'exploit kit DarkSword per iOS tramite spear-phishing

APTRUSSIA

Il gruppo sponsorizzato dallo stato russo TA446 (Callisto) sta utilizzando l'exploit kit DarkSword per colpire dispositivi iOS tramite campagne email mirate. Separatamente, l'exploit kit Coruna per iOS sembra essere una versione aggiornata dell'exploit kernel dell'Operazione Triangulation del 2023.

Campagna di phishing AitM prende di mira gli account TikTok Business

PHISHINGSOCIAL MEDIA

Pagine di phishing adversary-in-the-middle che utilizzano l'evasione di Cloudflare Turnstile vengono impiegate per dirottare gli account TikTok for Business. Gli account compromessi vengono poi usati per malvertising e distribuzione di malware.

Infinity Stealer — Nuovo info-stealer per macOS tramite ClickFix

MALWAREMACOS

Un nuovo info-stealer che prende di mira macOS utilizza pagine CAPTCHA false a tema Cloudflare, script Bash, un loader compilato con Nuitka e un payload basato su Python. Distribuito tramite esche di ingegneria sociale ClickFix.

Falsi avvisi di sicurezza di VS Code su GitHub diffondono malware

SUPPLY CHAINSVILUPPATORI

Una campagna su larga scala pubblica falsi avvisi di sicurezza di VS Code nelle sezioni Discussions di GitHub per indurre gli sviluppatori a scaricare malware. Separatamente, un bug in Open VSX ha consentito ad estensioni VS Code malevole di aggirare la scansione pre-pubblicazione.

Amministratore del malware RedLine estradato negli USA

FORZE DELL'ORDINE

Hambardzum Minasyan, armeno, presunto amministratore dell'infostealer RedLine, è stato estradato negli Stati Uniti per rispondere delle accuse.

📦 Attacchi alla supply chain

TeamPCP compromette il pacchetto Telnyx su PyPI — Stealer nascosto in file WAV

SUPPLY CHAINCRITICO

L'attore malevolo TeamPCP (precedentemente responsabile della compromissione di Trivy, KICS e litellm) ha pubblicato le versioni malevole 4.87.1 e 4.87.2 di Telnyx su PyPI. L'attacco utilizza una catena a tre stadi: distribuzione tramite steganografia audio (credenziali nascoste in file WAV), esecuzione in memoria, quindi esfiltrazione dei dati. Colpisce Windows, Linux e macOS. Effettuare immediatamente il downgrade alla versione 4.87.0. Il progetto PyPI è in quarantena.

🔧 Strumenti di sicurezza e annunci

OpenAI lancia un programma di bug bounty per rischi di abuso e sicurezza

SICUREZZA AI

OpenAI ha ampliato il suo programma di bug bounty per coprire problemi di progettazione o implementazione che causano danni materiali, mirando specificamente ai rischi di abuso e sicurezza nei sistemi AI.

Apple invia avvisi sulla schermata di blocco per i dispositivi iOS non aggiornati

DIFESAMOBILE

Apple ora invia notifiche sulla schermata di blocco agli iPhone e iPad con versioni precedenti di iOS/iPadOS, avvisando gli utenti di exploit web attivi e sollecitando aggiornamenti immediati.

Windows 11 KB5079391 — Miglioramenti a Smart App Control

DIFESAWINDOWS

Microsoft ha rilasciato un aggiornamento di anteprima per Windows 11 24H2/25H2 con 29 modifiche, inclusi miglioramenti alle funzionalità di sicurezza Smart App Control.

Annunci della conferenza RSAC 2026 (Giorni 3-4)

SETTORE

Gli annunci dei fornitori dal terzo e quarto giorno della conferenza RSAC 2026 continuano ad arrivare, con molteplici lanci di prodotti di sicurezza e aggiornamenti di piattaforma.

Tendenze chiave di questa settimana

1. iOS sotto assedio: Molteplici exploit kit per iOS attivi simultaneamente — DarkSword (Russia/TA446), Coruna (successore dell'Operazione Triangulation), più exploit web attivi che hanno spinto Apple a emettere avvisi senza precedenti sulla schermata di blocco. iOS non è più la piattaforma mobile "sicura".

2. Steganografia nella supply chain: L'uso da parte di TeamPCP della steganografia audio in file WAV per nascondere stealer di credenziali nei pacchetti PyPI rappresenta un'evoluzione nella sofisticazione degli attacchi alla supply chain. Aspettatevi ulteriori tecniche di occultamento dei payload in file multimediali.

3. Gli strumenti per sviluppatori come superficie d'attacco: VS Code, Open VSX, GitHub Discussions, PyPI — l'ecosistema degli sviluppatori è sistematicamente preso di mira. Falsi avvisi di sicurezza e pipeline di scansione aggirate dimostrano che gli attaccanti comprendono i modelli di fiducia degli sviluppatori.

4. Persistenza degli stati-nazione nelle telecomunicazioni: Gli impianti BPFDoor di Red Menshen nell'infrastruttura backbone delle telecomunicazioni, descritti come "cellule dormienti digitali", evidenziano la profondità dello spionaggio cinese nelle infrastrutture di comunicazione.

5. Impennata di CVE nei dispositivi di rete: CVE critiche in Citrix NetScaler, F5 BIG-IP, router TP-Link e Cisco IOS nello stesso ciclo. I dispositivi perimetrali di rete rimangono il vettore di accesso iniziale numero uno.