Threat Advisories

Il panorama geopolitico e della cybersicurezza globale è cambiato radicalmente in seguito al lancio dell'operazione "Furia epica" da parte degli Stati Uniti il 28 febbraio 2026 e della parallela campagna israeliana "Leone ruggente" contro l'Iran. Gli attacchi militari coordinati hanno eliminato con successo i principali dirigenti iraniani, tra cui la Guida Suprema Ayatollah Ali Khamenei, e hanno fortemente degradato le infrastrutture militari e nucleari convenzionali dell'Iran.

Le piattaforme Cisco Catalyst SD-WAN sono ampiamente diffuse nelle aziende, nelle amministrazioni pubbliche e nei service provider, e spesso fungono da infrastruttura centrale che collega uffici remoti, data center e ambienti cloud. Poiché questi controller sono spesso raggiungibili da reti esterne per supportare operazioni distribuite, rappresentano un obiettivo molto visibile e interessante per gli attori delle minacce.

CVE-2026-2329 è una vulnerabilità critica di buffer overflow basata sullo stack che interessa la serie di telefoni fissi VoIP Grandstream GXP1600. La falla si trova nell'endpoint API basato sul Web del dispositivo e può essere sfruttata da remoto senza alcuna autenticazione. Se sfruttata con successo, un utente malintenzionato può ottenere l'esecuzione completa di codice remoto con privilegi di root sul telefono.

Panoramica

CVE-2026-2649 è una vulnerabilità di overflow di interi di gravità elevata nel motore JavaScript V8 utilizzato da Google Chrome. Il problema interessa le versioni di Chrome precedenti alla 145.0.7632.109. Se un utente apre una pagina HTML appositamente creata, la falla può portare alla corruzione dell'heap all'interno del browser.
Poiché V8 gestisce l'esecuzione di JavaScript, le debolezze in questo componente possono avere un ampio impatto sulla navigazione normale e sui processi sandboxati.

Il popolare editor txt open source Notepad++ è stato preso di mira in un sofisticato attacco alla catena di distribuzione da parte di un sospetto attore di minacce sponsorizzato dallo Stato.

Ivanti ha reso note e patchato due vulnerabilità di sicurezza critiche che riguardano Ivanti Endpoint Manager Mobile (EPMM) e che sono state attivamente sfruttate in attacchi zero-day. Le falle, classificate come CVE-2026-1281 e CVE-2026-1340, consentono l'esecuzione di codice remoto non autenticato e hanno un punteggio CVSS di 9,8, che le colloca tra le classi di vulnerabilità più gravi. Una delle vulnerabilità è stata aggiunta al catalogo delle vulnerabilità sfruttate note (Known Exploited Vulnerabilities, KEV) della CISA, aumentando in modo significativo l'urgenza di rimediare, in particolare negli ambienti federali statunitensi.

Microsoft ha rilasciato una patch di emergenza fuori banda per risolvere una vulnerabilità zero day di Microsoft Office attivamente sfruttata, identificata come CVE202621509. La falla consiste nell'aggiramento di una funzionalità di sicurezza che consente agli aggressori di aggirare le mitigazioni fondamentali basate su COM/OLE in Microsoft 365 e Microsoft Office.

Nelle scorse settimane, e come già accennato nella nostra precedente consulenza.

È stata scoperta una vulnerabilità critica di bypass dell'autenticazione remota (CVE-2026-24061, CVSS 9.8) nel servizio telnetd di GNU InetUtils, che interessa tutte le versioni dalla 1.9.3 alla 2.7. La falla consente agli aggressori non autenticati di ottenere immediatamente l'accesso root sui sistemi interessati sfruttando una gestione impropria della variabile d'ambiente USER. La falla consente ad aggressori non autorizzati di ottenere istantaneamente l'accesso root sui sistemi interessati sfruttando una gestione impropria della variabile d'ambiente USER. Il problema è rimasto inosservato per quasi 11 anni e ora viene attivamente sondato da attori malintenzionati.

CrashFix è una campagna di malware attiva e altamente ingannevole basata su browser che sfrutta un'estensione dannosa di Google Chrome per mandare deliberatamente in crash i browser degli utenti e per indurli a eseguire i comandi forniti dall'aggressore. La campagna fornisce infine un trojan per l'accesso remoto a Windows, precedentemente non documentato, noto come ModeloRAT. L'attività è stata attribuita a un'operazione di distribuzione del traffico e di intermediazione degli accessi, identificata con il nome di KongTuke, noto anche con pseudonimi quali TAG-124 e 404 TDS. Documentata pubblicamente nel gennaio 2026 da Huntress, questa campagna rappresenta un'evoluzione degli attacchi in stile ClickFix, che sfruttano la frustrazione degli utenti e la fiducia nelle piattaforme legittime per ottenere l'esecuzione sui sistemi aziendali.