Threat Advisories

I ricercatori hanno recentemente reso nota una campagna su larga scala, denominata “FortiBleed”, che comporta la compromissione e la divulgazione delle credenziali associate ai firewall FortiGate e ai dispositivi SSL VPN di Fortinet in contesti globali.

Un recente incidente di sicurezza che ha coinvolto ServiceNow evidenzia un rischio significativo per le aziende che si affidano a piattaforme cloud per la gestione dei flussi di lavoro e dei servizi IT. ServiceNow ha reso noto che una falla nel software, che interessava alcune istanze dei clienti, consentiva l'accesso non autenticato ai dati tramite un endpoint API vulnerabile. Questa condizione aggirava di fatto i controlli di autenticazione, permettendo a soggetti esterni di interrogare i dati archiviati senza credenziali valide.

Le organizzazioni che utilizzano le soluzioni Check Point Remote Access VPN, Mobile Access o Spark Firewall sono invitate a prendere provvedimenti immediati in seguito alla conferma dello sfruttamento attivo di CVE-2026-50751, una vulnerabilità critica di bypass dell'autenticazione. Questa falla, classificata con un punteggio di gravità elevato pari a 9,3, colpisce gli ambienti configurati per l'utilizzo del protocollo di scambio di chiavi IKEv1 deprecato e consente agli aggressori non autenticati di ottenere l'accesso VPN senza credenziali utente valide.

GitHub ha confermato l'accesso non autorizzato e l'esfiltrazione di circa 3.800 dei suoi repository di sviluppo interni. La violazione è stata orchestrata dal gruppo di criminali informatici finanziariamente motivatiTeamPCP, che ha sfruttato un'estensione troianizzata di Microsoft Visual Studio Code (VS Code) installata sul dispositivo di un dipendente privilegiato.

L'aggiornamento KB5087544 del Patch Tuesday di maggio 2026 di Microsoft per Windows 10 riflette la realtà attuale della piattaforma. Ormai entrato stabilmente nella fase degli Aggiornamenti di sicurezza estesi, Windows 10 non si evolve più attraverso le funzionalità, ma viene ancora protetto e mantenuto attivamente. Questo aggiornamento combina un'ampia serie di correzioni di vulnerabilità con modifiche mirate a Desktop remoto e Secure Boot che rivelano come Microsoft stia rafforzando il controllo sulla fiducia e sulla stabilità degli endpoint.

Fortinet ha reso note due vulnerabilità critiche che riguardano FortiSandbox e FortiAuthenticator e che potrebbero consentire l'esecuzione di codice remoto (RCE) non autenticato sui sistemi esposti.

Trellix ha annunciato che è stato effettuato un accesso non autorizzato al codice sorgente interno di alcune parti del suo portafoglio prodotti. Il materiale interessato riguarda solo il codice di sviluppo dei prodotti e non include ambienti o dati dei clienti. Non vi sono indicazioni di modifiche dolose agli artefatti software rilasciati.

CVE 2026 31431, comunemente nota come "Copy Fail", è una vulnerabilità locale di elevata gravità per l'escalation dei privilegi che interessa il kernel Linux. Il problema riguarda i kernel distribuiti da tutte le principali distribuzioni Linux dal 2017 e consente a un utente locale non privilegiato di ottenere l'esecuzione a livello di root sul sistema host.

Alla fine di marzo 2026, un attore minaccioso che opera sotto lo pseudonimo di "The_Auditors" ha affermato di aver violato BlackLine Systems, un fornitore di software di automazione finanziaria e contabilità con sede negli Stati Uniti. L'aggressore sostiene l'esfiltrazione di circa 354 GB di documenti finanziari e operativi sensibili, per un totale di oltre 1,5 milioni di record appartenenti non solo a BlackLine, ma anche ai suoi clienti aziendali. Al momento in cui scriviamo, BlackLine non ha confermato pubblicamente la violazione e le affermazioni non sono state verificate. Tuttavia, diverse società di intelligence sulla cybersicurezza hanno valutato le accuse come credibili sulla base di diversi indicatori.

È stato osservato un nuovo attacco attivo alla supply-chain di npm che abusa di credenziali di manutentori compromesse per auto-propagare codice dannoso tra i pacchetti dell'ecosistema Node.js. Il malware ruba il materiale di autenticazione (token npm, credenziali cloud, segreti CI/CD, chiavi SSH e dati del portafoglio) e utilizza i token di pubblicazione scoperti per iniettarsi in altri pacchetti di proprietà dello stesso manutentore, creando una diffusione laterale simile a un worm.