Threat Advisories

La U.S. Cybersecurity and Infrastructure Security Agency (CISA) ha confermato lo sfruttamento attivo di una vulnerabilità ad alta gravità per l'esecuzione di codice remoto (RCE) in Apache ActiveMQ Classic, segnalata come CVE-2026-34197. La falla è stata aggiunta al catalogo delle vulnerabilità sfruttate (Known Exploited Vulnerabilities, KEV) del CISA, segnalando un'attività dannosa verificata in natura ed elevando la priorità di rimedio per tutte le organizzazioni che utilizzano le versioni interessate di ActiveMQ.

Microsoft Exchange Server rimane unobiettivodi alto valoreper gli attori delle minacce a causa della sua profonda integrazione con i sistemi di identità aziendali, l'infrastruttura di posta elettronica e gli account di servizio privilegiati. Le vulnerabilità RCE (Remote Code Execution) di Exchange sono state storicamente sfruttate percampagne di spionaggiosu largascala, distribuzione di ransomware e operazioni di accesso persistente.

Google ha rilasciato aggiornamenti di sicurezza di emergenza che risolvono CVE20265281, un giorno zero di gravità elevata (punteggio CVSS: N/A), attivamente sfruttato, che ha un impatto sul browser Chrome.

Un attacco alla catena di distribuzione critica ha colpito la libreria JavaScript Axios, ampiamente utilizzata, in seguito alla compromissione dell'account npm del suo principale manutentore. Gli attori della minaccia hanno utilizzato l'account dirottato per pubblicare due versioni dannose, axios@1.14.1 e axios@0.30.4, che introducevano una dipendenza illecita (plain-crypto-js@4.2.1). Questa dipendenza non faceva parte della base di codice legittima di Axios ed esisteva solo per eseguire uno script di post-installazione che distribuiva un Trojan di accesso remoto (RAT) multipiattaforma.

LiteLLM è una libreria e un server proxy Python open-source molto popolare che fornisce un'interfaccia unificata per chiamare oltre 100 API Large Language Model (LLM), come OpenAI, Anthropic, Bedrock e VertexAI, utilizzando il formato di input/output standard di OpenAI. Semplifica l'integrazione di più LLM, offrendo funzionalità come fallback automatici, tentativi e monitoraggio dei costi. Poiché funziona come un gateway API, agisce come un aggregatore di credenziali per design, detenendo in modo sicuro le chiavi API per i vari fornitori di LLM.

CVE202620963 è stata pubblicata originariamente nel gennaio 2026, ma ha recentemente guadagnato nuova attenzione a causa di uno sfruttamento attivo confermato.

All'inizio di questa settimana abbiamo scritto un post sul blog dedicato alle questioni informatiche nel contesto della guerra tra Stati Uniti e Israele contro l'Iran, denominata Operation Epic Fury. In quell'occasione abbiamo osservato che ci sarebbe stata un'elevata risposta da parte degli attori delle minacce sponsorizzati dallo Stato, contro le organizzazioni occidentali con una presenza in Medio Oriente, come ritorsione per questi attacchi.

Cisco ha rilasciato patch di emergenza per duevulnerabilitàdimassimagravità(CVSS 10.0) che riguardano Cisco Secure Firewall Management Center (FMC). Queste falle, tracciate comeCVE-2026-20079eCVE-2026-20131, consentono ad aggressori remoti non autenticati di ottenere ilcontrolloa livello dirootsulle appliance FMC, rappresentando un grave rischio per le infrastrutture firewall aziendali. Non è stato ancora osservato alcuno sfruttamento in natura, ma la natura critica e la facilità di sfruttamento elevano queste vulnerabilità a priorità di rimedio immediato.

Ricercatori di cybersicurezza hanno scoperto una nuova ondata di attacchi alla catena di approvvigionamento attribuiti ad attori di minaccia allineati allo stato nordcoreano, che prevede la pubblicazione di 26 pacchetti npm dannosi che si spacciano per strumenti legittimi per gli sviluppatori. La campagna, identificata con il nome di "StegaBin", utilizza la steganografia basata su Pastebin per nascondere i punti di comando e controllo (C2) e, in ultima istanza, per distribuire i furti di credenziali e un trojan di accesso remoto (RAT) multipiattaforma. L'infrastruttura che supporta queste operazioni si estende su 31 distribuzioni di Vercel, evidenziando una minaccia sofisticata e in evoluzione per la catena di fornitura del software globale.

La U.S. Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto al suo catalogo Known Exploited Vulnerabilities (KEV) una vulnerabilità di VMware Aria Operations, recentemente divulgata e classificata come CVE-2026-22719, dopo averne confermato lo sfruttamento attivo in natura. La falla è una vulnerabilità di iniezione di comandi che consente l'esecuzione di codice remoto (RCE) non autenticato in determinate condizioni. VMware (Broadcom) ha rilasciato le patch il 24 febbraio 2026, ma le segnalazioni indicano che gli aggressori stanno sfruttando il problema contro i sistemi privi di patch. Le agenzie federali civili sono state incaricate di porre rimedio alla vulnerabilità entro il 24 marzo 2026.