Threat Advisories

All'inizio di questa settimana abbiamo scritto un post sul blog dedicato alle questioni informatiche nel contesto della guerra tra Stati Uniti e Israele contro l'Iran, denominata Operation Epic Fury. In quell'occasione abbiamo osservato che ci sarebbe stata un'elevata risposta da parte degli attori delle minacce sponsorizzati dallo Stato, contro le organizzazioni occidentali con una presenza in Medio Oriente, come ritorsione per questi attacchi.

Cisco ha rilasciato patch di emergenza per duevulnerabilitàdimassimagravità(CVSS 10.0) che riguardano Cisco Secure Firewall Management Center (FMC). Queste falle, tracciate comeCVE-2026-20079eCVE-2026-20131, consentono ad aggressori remoti non autenticati di ottenere ilcontrolloa livello dirootsulle appliance FMC, rappresentando un grave rischio per le infrastrutture firewall aziendali. Non è stato ancora osservato alcuno sfruttamento in natura, ma la natura critica e la facilità di sfruttamento elevano queste vulnerabilità a priorità di rimedio immediato.

Ricercatori di cybersicurezza hanno scoperto una nuova ondata di attacchi alla catena di approvvigionamento attribuiti ad attori di minaccia allineati allo stato nordcoreano, che prevede la pubblicazione di 26 pacchetti npm dannosi che si spacciano per strumenti legittimi per gli sviluppatori. La campagna, identificata con il nome di "StegaBin", utilizza la steganografia basata su Pastebin per nascondere i punti di comando e controllo (C2) e, in ultima istanza, per distribuire i furti di credenziali e un trojan di accesso remoto (RAT) multipiattaforma. L'infrastruttura che supporta queste operazioni si estende su 31 distribuzioni di Vercel, evidenziando una minaccia sofisticata e in evoluzione per la catena di fornitura del software globale.

La U.S. Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto al suo catalogo Known Exploited Vulnerabilities (KEV) una vulnerabilità di VMware Aria Operations, recentemente divulgata e classificata come CVE-2026-22719, dopo averne confermato lo sfruttamento attivo in natura. La falla è una vulnerabilità di iniezione di comandi che consente l'esecuzione di codice remoto (RCE) non autenticato in determinate condizioni. VMware (Broadcom) ha rilasciato le patch il 24 febbraio 2026, ma le segnalazioni indicano che gli aggressori stanno sfruttando il problema contro i sistemi privi di patch. Le agenzie federali civili sono state incaricate di porre rimedio alla vulnerabilità entro il 24 marzo 2026.

Il panorama geopolitico e della cybersicurezza globale è cambiato radicalmente in seguito al lancio dell'operazione "Furia epica" da parte degli Stati Uniti il 28 febbraio 2026 e della parallela campagna israeliana "Leone ruggente" contro l'Iran. Gli attacchi militari coordinati hanno eliminato con successo i principali dirigenti iraniani, tra cui la Guida Suprema Ayatollah Ali Khamenei, e hanno fortemente degradato le infrastrutture militari e nucleari convenzionali dell'Iran.

Le piattaforme Cisco Catalyst SD-WAN sono ampiamente diffuse nelle aziende, nelle amministrazioni pubbliche e nei service provider, e spesso fungono da infrastruttura centrale che collega uffici remoti, data center e ambienti cloud. Poiché questi controller sono spesso raggiungibili da reti esterne per supportare operazioni distribuite, rappresentano un obiettivo molto visibile e interessante per gli attori delle minacce.

CVE-2026-2329 è una vulnerabilità critica di buffer overflow basata sullo stack che interessa la serie di telefoni fissi VoIP Grandstream GXP1600. La falla si trova nell'endpoint API basato sul Web del dispositivo e può essere sfruttata da remoto senza alcuna autenticazione. Se sfruttata con successo, un utente malintenzionato può ottenere l'esecuzione completa di codice remoto con privilegi di root sul telefono.

Panoramica

CVE-2026-2649 è una vulnerabilità di overflow di interi di gravità elevata nel motore JavaScript V8 utilizzato da Google Chrome. Il problema interessa le versioni di Chrome precedenti alla 145.0.7632.109. Se un utente apre una pagina HTML appositamente creata, la falla può portare alla corruzione dell'heap all'interno del browser.
Poiché V8 gestisce l'esecuzione di JavaScript, le debolezze in questo componente possono avere un ampio impatto sulla navigazione normale e sui processi sandboxati.

Il popolare editor txt open source Notepad++ è stato preso di mira in un sofisticato attacco alla catena di distribuzione da parte di un sospetto attore di minacce sponsorizzato dallo Stato.

Ivanti ha reso note e patchato due vulnerabilità di sicurezza critiche che riguardano Ivanti Endpoint Manager Mobile (EPMM) e che sono state attivamente sfruttate in attacchi zero-day. Le falle, classificate come CVE-2026-1281 e CVE-2026-1340, consentono l'esecuzione di codice remoto non autenticato e hanno un punteggio CVSS di 9,8, che le colloca tra le classi di vulnerabilità più gravi. Una delle vulnerabilità è stata aggiunta al catalogo delle vulnerabilità sfruttate note (Known Exploited Vulnerabilities, KEV) della CISA, aumentando in modo significativo l'urgenza di rimediare, in particolare negli ambienti federali statunitensi.