Sommario
Le minacce cibernetiche più recenti hanno colpito infrastrutture IT globali con tecniche sofisticate e vulnerabilità sfruttate attivamente. Un attacco vishing a Cisco ha esposto dati utente da un CRM esterno, mentre firewall SonicWall sono stati compromessi per distribuire il ransomware Akira, con exploit che potrebbero indicare uno zero-day. Parallelamente, Android riceve patch per due vulnerabilità Qualcomm già utilizzate in attacchi, mentre il nuovo exploit McPoison scoperto da Check Point consente RCE persistente in ambienti di sviluppo Cursor IDE. Le autorità come CISA e i ricercatori privati lanciano allerte urgenti, richiedendo patch immediate e mitigazioni per contenere il rischio sistemico.
Attacco vishing contro un sistema CRM di Cisco
Cisco ha rilevato un sofisticato attacco vishing che ha colpito un proprio rappresentante commerciale, permettendo l’accesso non autorizzato a un CRM cloud di terze parti. L’attore ha esfiltrato informazioni di profilo come nomi, ID utente Cisco, email, numeri di telefono e date di creazione account. Non sono stati compromessi dati sensibili né password, e non risultano impatti diretti su prodotti o servizi Cisco. L’azienda ha interrotto subito l’accesso, avviato un’indagine, notificato gli utenti coinvolti e migliorato la formazione contro il phishing vocale, in linea con le risorse CISA.
Compromissione SonicWall VPN e diffusione ransomware Akira
Huntress ha segnalato una campagna attiva contro le VPN SonicWall Gen 7 (serie TZ e NSa) con SSLVPN abilitato. Gli attaccanti hanno bypassato l’autenticazione MFA, ottenuto accesso privilegiato con account come sonicwall e LDAPAdmin, ed eseguito movimento laterale rapido fino ai domain controller, dove hanno distribuito il ransomware Akira entro poche ore. L’analisi ha evidenziato uso di tool come Cloudflared, OpenSSH, PowerShell Remoting, WMI, Veeam, e strumenti per eludere antivirus e firewall, tra cui Set-MpPreference e netsh.exe. Per la persistenza sono stati creati nuovi account e installati strumenti come AnyDesk, mentre i dati sono stati compressi con WinRAR ed esfiltrati tramite FileZilla. Secondo Arctic Wolf, potrebbe trattarsi di una vulnerabilità sconosciuta, e SonicWall sta indagando per determinare se gli attacchi siano legati a CVE note (come CVE-2025-23006 e CVE-2024-53704) o a un nuovo exploit zero-day. La raccomandazione tecnica include disabilitazione della SSLVPN, limitazioni su IP trusted, attivazione di Geo-IP Filtering, MFA obbligatorio e rimozione di account non usati.
Risposta SonicWall e impatto operativo
SonicWall ha rilevato un’anomala attività su firewall Gen 7 con SSLVPN attiva, in collaborazione con Arctic Wolf, Google Mandiant e Huntress. Le contromisure proposte includono firmware aggiornato, limitazioni su connettività remota e attivazione di sistemi di difesa integrati. L’impatto osservato riguarda downtime critici, perdite di dati e richieste di riscatto. L’FBI ha classificato Akira tra le prime cinque minacce ransomware per infrastrutture critiche. Secondo Huntress, artefatti come OpenSSHa.msi, FileZilla.exe e IOC noti possono aiutare nelle attività di threat hunting. La segmentazione della rete, la gestione dei privilegi e l’audit continuo sono considerati fondamentali per contenere la minaccia. In ambienti ad alto rischio, viene suggerito di disattivare completamente la VPN in attesa di patch.
Vulnerabilità Qualcomm in Android e patch CISA
Google ha pubblicato un aggiornamento Android con patch per due vulnerabilità Qualcomm attivamente sfruttate: CVE-2025-21479 e CVE-2025-27038. La prima riguarda un problema di autorizzazione nel framework Graphics che consente corruzione di memoria per eseguire comandi GPU non autorizzati. La seconda è un use-after-free nel rendering grafico con driver Adreno GPU usati anche in Chrome. Entrambe sono già state sfruttate in attacchi mirati, secondo il Threat Analysis Group di Google, e per questo inserite nel catalogo CISA delle vulnerabilità conosciute il 3 giugno 2025. Le agenzie federali statunitensi sono state obbligate a installare le patch entro il 24 giugno. Gli aggiornamenti sono già stati distribuiti ai Pixel e sono in fase di testing presso gli altri OEM. Le vulnerabilità evidenziano la crescente pressione su componenti hardware come le GPU anche in ambito mobile.
Dettaglio tecnico: exploit chain su SonicWall
La catena d’attacco osservata nei casi SonicWall evidenzia una compromissione sistematica:
Accesso iniziale: bypass MFA su SSLVPN
Escalation privilegi: uso di account LDAP e SonicWall
C2 e persistente: tunnel con Cloudflared, esecuzione OpenSSH
Movimento laterale: WMI, PowerShell, accesso Veeam e Domain Controller
Evasione difese: disattivazione antivirus, modifiche firewall
Ransomware Akira: encrypt dopo esfiltrazione e staging
Pulizia tracce: cancellazione log con wevtutil
Persistenza remota: creazione account, AnyDesk
Questa catena sfrutta tool legittimi e tecniche di living-off-the-land, riducendo la visibilità per gli strumenti di rilevamento.
McPoison: vulnerabilità RCE persistente in Cursor IDE
McPoison è il nome assegnato a una nuova vulnerabilità scoperta da Check Point nel Cursor IDE, un ambiente di sviluppo collaborativo. L’exploit, tracciato come CVE-2025-54136, consente a un attaccante con accesso in scrittura di modificare silenziosamente le regole MCP (.cursor/rules/mcp.json) per iniettare comandi pericolosi come una reverse shell, senza che l’utente venga avvisato. Dopo l’approvazione iniziale del comando benigno, ogni modifica successiva non richiede nuova approvazione, sfruttando la fiducia univoca sul nome chiave MCP. Questo meccanismo consente persistenza indefinita e attivazione del comando all’apertura del progetto o al sync del repository. Cursor ha risolto la falla nella versione 1.3 del 29 luglio 2025, che introduce prompt obbligatorio per qualsiasi modifica MCP, anche minima.
Patch e mitigazioni consigliate
Le autorità e i vendor coinvolti raccomandano azioni immediate. Per i dispositivi Android, le patch Qualcomm devono essere installate secondo la timeline CISA. Gli utenti di Cursor IDE devono aggiornare alla versione 1.3 per evitare exploit McPoison. Cisco suggerisce la formazione contro vishing e social engineering. SonicWall propone disattivare SSLVPN, limitare accessi a IP trusted, attivare MFA e aggiornare firmware. La vigilanza proattiva e la gestione centralizzata degli account e delle configurazioni sono fondamentali per contenere la superficie d’attacco. Le recenti minacce cibernetiche dimostrano come tecniche sociali e vulnerabilità tecniche si combinino per colpire VPN, IDE e dispositivi mobili, imponendo una risposta immediata e coordinata.
