剣 KENSAI
← Back to archive

🛡️ Bollettino di Sicurezza Informatica

31 marzo 2026 · Generato automaticamente alle 04:00 CET · Fonti: BleepingComputer, The Hacker News, SecurityWeek, CyberSecurityNews

⚡ TL;DR — Cosa conta oggi

  • 3 CVE critiche attivamente sfruttate — Citrix NetScaler, F5 BIG-IP e Fortinet FortiClient EMS sono sotto attacco attivo
  • Violazione alla Commissione Europea — ShinyHunters rivendica il furto di oltre 350 GB di dati da Europa.eu
  • Violazione dati sanitari — Dati dei pazienti CareCloud rubati in un'intrusione di rete
  • Attività APT russa — Star Blizzard adotta il kit di exploit iOS DarkSword; il nuovo toolkit CTRL utilizza il dirottamento RDP
  • Attacco alla supply chain — Pacchetti PyPI malevoli prendono di mira gli utenti del SDK Telnyx
  • Apple risponde a ClickFix — macOS Tahoe 26.4 aggiunge la protezione contro l'incollaggio nel Terminale

🔓 Violazioni di dati e intrusioni

Commissione Europea — Europa.eu violata da ShinyHunters

Critico Governo Furto di dati

La Commissione Europea ha confermato una grave violazione dei dati dopo che il gruppo di estorsione ShinyHunters ha dichiarato di aver rubato oltre 350 GB di informazioni dai sistemi cloud della Commissione Europea. L'incidente rappresenta uno dei più grandi furti di dati governativi nella recente storia europea.

SecurityWeek ↗

CareCloud — Dati sanitari dei pazienti rubati

Alto Sanità PHI

L'azienda di tecnologia sanitaria CareCloud ha rivelato un incidente di sicurezza informatica che ha coinvolto uno dei suoi ambienti di cartelle cliniche elettroniche (EHR). Dati sensibili dei pazienti sono stati esposti durante un'interruzione di rete durata circa otto ore. La violazione riguarda un numero imprecisato di pazienti le cui informazioni sanitarie protette (PHI) potrebbero essere state compromesse.

BleepingComputer ↗

Direttore FBI Kash Patel — Email personale compromessa

Alto Governo Iran

L'FBI ha confermato che hacker iraniani hanno preso di mira l'account email personale del direttore dell'FBI Kash Patel. Un gruppo di hacker filo-iraniano ha rivendicato l'attacco e ha reso disponibili email e documenti per il download. Gli Stati Uniti offrono una ricompensa di 10 milioni di dollari per informazioni sugli hacker. L'FBI ha precisato che le informazioni compromesse sono datate.

SecurityWeek ↗

🚨 CVE critiche — Attivamente sfruttate

CVE-2026-3055 — Citrix NetScaler ADC/Gateway Memory Overread

CVSS 9.3 ⚠ ATTIVAMENTE SFRUTTATA

Una vulnerabilità critica di memory overread in Citrix NetScaler ADC e Gateway consente agli aggressori di sottrarre informazioni sensibili, inclusi gli ID di sessione degli amministratori autenticati. Lo sfruttamento richiede che l'appliance sia configurato come SAML Identity Provider. Sfruttamento attivo osservato dal 27 marzo.

Azione: Applicare immediatamente la patch. Verificare le configurazioni SAML IDP.

BleepingComputer ↗

F5 BIG-IP APM — DoS riclassificato come RCE critico

RCE critico ⚠ ATTIVAMENTE SFRUTTATA

F5 ha riclassificato una vulnerabilità BIG-IP APM da DoS ad alta gravità a RCE critico. Gli aggressori stanno attivamente distribuendo webshell sui dispositivi non aggiornati. La CISA ha aggiunto questa vulnerabilità al catalogo Known Exploited Vulnerabilities (KEV).

Azione: Applicare immediatamente la patch. Verificare le istanze BIG-IP per la presenza di webshell.

BleepingComputer ↗

CVE-2026-21643 — Fortinet FortiClient EMS SQL Injection

Critico ⚠ ATTIVAMENTE SFRUTTATA

Una vulnerabilità critica di SQL injection nel FortiClient Endpoint Management Server (EMS) di Fortinet è attivamente sfruttata in natura. Gli attori delle minacce stanno sfruttando questa falla per ottenere l'accesso iniziale alle reti aziendali.

Azione: Applicare immediatamente la patch a FortiClient EMS. Esaminare i log EMS per query anomale.

CyberSecurityNews ↗

🔥 Ulteriori vulnerabilità rilevanti

Grafana 12.4.2 — Due vulnerabilità RCE critiche

Critico Monitoraggio

Due vulnerabilità critiche in Grafana consentono l'esecuzione remota di codice. Aggiornamenti di sicurezza rilasciati nella versione 12.4.2.

CyberSecurityNews ↗

CVE-2026-33660 — n8n Workflow Automation RCE

Critico Automazione

Una falla RCE critica nella popolare piattaforma open source di automazione dei flussi di lavoro n8n espone i server host ad attacchi di esecuzione remota di codice.

CyberSecurityNews ↗

CVE-2026-33634 — Aqua Trivy Scanner

Critico DevSecOps ⚠ NEL KEV

La CISA ha aggiunto una vulnerabilità critica nello scanner Trivy di Aqua Security al catalogo KEV. Ironico: uno scanner di sicurezza è diventato esso stesso un vettore di vulnerabilità.

CyberSecurityNews ↗

Vim — Esecuzione arbitraria di comandi tramite file malevoli

Alto Strumenti per sviluppatori

Una falla ad alta gravità in Vim consente agli aggressori di eseguire comandi arbitrari attraverso file appositamente creati. Gli sviluppatori che utilizzano Vim dovrebbero aggiornare immediatamente.

CyberSecurityNews ↗

Cisco Secure Firewall Management Center — RCE non autenticato

Critico Sicurezza di rete

Vulnerabilità di esecuzione remota di codice senza autenticazione nel software Cisco Secure Firewall Management Center (FMC).

CyberSecurityNews ↗

Synology DiskStation Manager — Esecuzione remota di comandi

Critico NAS

Aggressori remoti non autenticati possono eseguire comandi arbitrari sui dispositivi Synology DSM.

CyberSecurityNews ↗

Jira Work Management — XSS persistente

Medio Atlassian

Una vulnerabilità XSS persistente in Jira Work Management potrebbe portare alla compromissione degli account nell'ecosistema Atlassian.

CyberSecurityNews ↗

Estensione Chrome di Claude — Prompt Injection 0-Click

Critico Sicurezza IA

Una vulnerabilità zero-click nell'estensione Chrome di Claude di Anthropic ha esposto oltre 3 milioni di utenti ad attacchi silenziosi di prompt injection, consentendo a siti web malevoli di dirottare l'assistente IA.

CyberSecurityNews ↗

🕵️ Attori delle minacce e campagne

APT russo Star Blizzard — Kit di exploit iOS DarkSword

Russia APT iOS

Il gruppo sponsorizzato dallo stato russo Star Blizzard ha adottato il kit di exploit iOS DarkSword, prendendo di mira enti governativi, università, entità finanziarie e legali, nonché think tank. Questo segna un'espansione significativa delle loro capacità di sfruttamento mobile.

SecurityWeek ↗

Toolkit russo CTRL — Dirottamento RDP tramite tunnel FRP

Russia RAT RDP

Un toolkit di accesso remoto di origine russa, denominato CTRL, viene distribuito tramite file LNK malevoli camuffati da cartelle di chiavi private. Sviluppato in .NET, include phishing di credenziali (interfaccia Windows Hello), keylogging, dirottamento di sessioni RDP e tunneling tramite reverse proxy con Fast Reverse Proxy (FRP).

The Hacker News ↗

APT collegati alla Cina — Governo del Sud-Est asiatico preso di mira

Cina Spionaggio APT

Tre cluster di minacce allineati alla Cina (Mustang Panda, Earth Estries/Crimson Palace, Unfading Sea Haze) hanno condotto una campagna coordinata contro un governo del Sud-Est asiatico. Il malware distribuito include HIUPAN, PUBLOAD, MASOL RAT, PoshRAT, FluffyGh0st e altri — indicando un'operazione ben finanziata e persistente.

The Hacker News ↗

Iran — Operazioni cyber nel contesto bellico

Iran Guerra ibrida

Gruppi di hacker legati all'Iran stanno passando ad attacchi informatici ad alto volume e basso impatto, potenziati dall'intelligenza artificiale. Gli obiettivi includono ospedali, infrastrutture e sistemi civili in un panorama di conflitto in evoluzione.

SecurityWeek ↗

📦 Supply chain e malware

Attacco supply chain TeamPCP — SDK Telnyx avvelenato su PyPI

Alto Supply chain PyPI

Due versioni malevole del popolare SDK Telnyx sono state caricate nel registro PyPI, prendendo di mira sistemi Windows, macOS e Linux. Parte della crescente campagna di attacco alla supply chain TeamPCP.

SecurityWeek ↗

RoadK1ll — Nuovo impianto WebSocket per il movimento laterale

Malware Post-sfruttamento

Un impianto appena identificato denominato RoadK1ll utilizza connessioni WebSocket per consentire il movimento laterale silenzioso da host compromessi verso altri sistemi della rete.

BleepingComputer ↗

Infiniti Stealer — Attacco ClickFix a tema Cloudflare per Mac

macOS Infostealer

Un attacco ClickFix a tema Cloudflare installa Infiniti Stealer sui Mac tramite pagine CAPTCHA false, script Bash, un loader Nuitka e un infostealer basato su Python. macOS Tahoe 26.4 di Apple ora include avvisi sull'incollaggio nel Terminale specificamente per contrastare le tecniche ClickFix.

SecurityWeek ↗

🛠️ Strumenti di sicurezza e difese

Apple macOS Tahoe 26.4 — Protezione incollaggio nel Terminale

Difesa macOS

Apple ha introdotto una nuova funzionalità di sicurezza in macOS Tahoe 26.4 che blocca l'incollaggio e l'esecuzione di comandi potenzialmente dannosi nel Terminale, affrontando direttamente la tecnica di ingegneria sociale ClickFix che induce gli utenti a incollare comandi malevoli.

BleepingComputer ↗

Huskeys — Startup per la gestione della sicurezza edge (finanziamento da 8 milioni di dollari)

Startup Sicurezza edge

Huskeys è uscita dalla fase stealth con un finanziamento di 8 milioni di dollari, sviluppando una piattaforma di gestione della sicurezza edge (ESM) — un motore IA sull'intero stack di sicurezza edge.

SecurityWeek ↗

Google fissa la scadenza quantistica al 2029

Quantum Crittografia

Google ha fissato una scadenza interna al 2029 per la preparazione alla sicurezza quantistica, segnalando che i tempi di migrazione alla crittografia post-quantistica si stanno accorciando.

SecurityWeek ↗

📈 Tendenze e modelli emergenti

I LLM erodono il controllo degli accessi

Rischio IA IAM

SecurityWeek evidenzia una preoccupazione crescente: i LLM possono generare policy di controllo degli accessi complesse (Rego, Cedar) in pochi secondi, ma una singola condizione mancante o un attributo allucinato possono silenziosamente smantellare i modelli di sicurezza basati sul principio del privilegio minimo. Le organizzazioni che utilizzano l'IA per scrivere policy di accesso dovrebbero trattare l'output come codice non attendibile che richiede una revisione approfondita.

Attacchi basati sul browser aggirano i controlli tradizionali

Sicurezza del browser AITM

Un rapporto di Push Security descrive come gli attacchi basati sul browser — phishing AITM, ClickFix, app OAuth malevole e dirottamento di sessione — stiano causando gravi violazioni mentre i controlli di sicurezza esistenti non riescono a rilevarli. Il browser sta diventando la principale superficie d'attacco.

CVE di appliance di rete sotto sfruttamento di massa rapido

Modello Dispositivi edge

Il rapporto odierno mostra 3 fornitori distinti di appliance di rete (Citrix, F5, Fortinet) con CVE critiche attivamente sfruttate contemporaneamente. La finestra tra divulgazione e sfruttamento continua a ridursi. L'applicazione delle patch ai dispositivi edge non è opzionale — è una corsa.

Lo sfruttamento mobile sponsorizzato dagli stati si espande

APT Mobile

L'adozione da parte di Star Blizzard del kit di exploit iOS DarkSword segnala l'espansione delle capacità di targeting mobile degli APT russi. Combinato con il potenziamento degli attacchi iraniani tramite IA, le capacità offensive degli stati-nazione si ampliano più velocemente della copertura difensiva.