Sommario
Il panorama della cybersecurity a fine agosto 2025 si arricchisce di due episodi rilevanti: il data breach di Zscaler, innescato da un attacco supply-chain a Salesloft Drift, e le crescenti preoccupazioni sui ritardi di patching nei sistemi Linux, con la novità di TuxCare Radar, scanner in-memory per vulnerabilità CVE. Da un lato, gruppi come UNC6395 e ShinyHunters sfruttano integrazioni SaaS per accedere a dati sensibili; dall’altro, la percezione di invulnerabilità Linux genera pericolosi blind spot che solo nuove soluzioni di scanning e automazione possono mitigare.
Breach dati Zscaler da attacco supply-chain
Il 31 agosto 2025, Zscaler ha confermato un breach dati limitata all’ambiente Salesforce, causata dalla compromissione di Salesloft Drift, un agente AI integrato. Gli attaccanti hanno rubato OAuth e refresh token, guadagnando accesso non autorizzato a dati sensibili dei clienti: nomi, email aziendali, titoli lavorativi, numeri di telefono, aree geografiche, licenze prodotto e contenuti di support case. L’indagine attribuisce l’attacco al gruppo UNC6395, già noto per targeting di credenziali cloud come chiavi AWS e token Snowflake. Google Threat Intelligence ha rilevato tattiche di cancellazione delle query di lavoro senza alterare i log, una tecnica volta a ridurre le tracce. Alcuni ricercatori collegano la campagna a ShinyHunters, gruppo dedito a estorsioni e vishing tramite app OAuth malevole. Zscaler ha confermato che nessun prodotto core o infrastruttura è stata compromessa. L’azienda ha revocato le integrazioni di Salesloft Drift, ruotato i token API e rafforzato i sistemi di autenticazione per le interazioni con i clienti. Finora non ci sono prove di uso improprio dei dati trafugati, ma la società raccomanda vigilanza contro phishing e social engineering. L’incidente si inserisce in una catena di attacchi supply-chain che negli ultimi mesi hanno colpito anche Cisco, Workday, Adidas, Qantas, Allianz Life e LVMH.
Rischi cybersecurity da ritardi nelle patch Linux
Un report di LinuxInsider del 18 agosto 2025 ha acceso i riflettori sui rischi generati da una patch management inefficiente in ambiente Linux. Nonostante la reputazione di robustezza, la realtà evidenzia una cultura di invincibilità che rallenta l’applicazione di aggiornamenti critici. Vulnerabilità long-standing come una recente CVE legata a sudo hanno esposto 30-50 milioni di endpoint negli Stati Uniti, dimostrando come anche sistemi Linux restino bersagli appetibili. Esperti come Jack M. Germain sottolineano che solo una maggiore automazione e policy di management coerenti possono ridurre i tempi di esposizione. L’assenza di patch tempestive lascia margini di sfruttamento ad attori malevoli, che sempre più spesso combinano exploit Linux a campagne APT e ransomware.
TuxCare Radar: scanner in-memory per ridurre i falsi positivi
Per affrontare questa criticità, TuxCare ha annunciato il 26 agosto 2025 il lancio di Radar, uno scanner in-memory potenziato da AI dedicato a Linux. A differenza degli scanner file-based, Radar opera direttamente sui processi live, identificando vulnerabilità CVE in tempo reale e riducendo drasticamente i falsi positivi. Il sistema si integra con le soluzioni di patching TuxCare, fornendo output JSON automatizzabili e un’installazione rapida via script. Questo approccio consente alle organizzazioni di validare le vulnerabilità nel contesto effettivo di runtime, eliminando controlli ridondanti e velocizzando la compliance. Radar rappresenta una risposta concreta al “blind spot” Linux, dove la fiducia eccessiva nella stabilità del sistema ha storicamente rallentato le pratiche di aggiornamento.
Implicazioni e prospettive
L’insieme di questi eventi evidenzia due fronti di vulnerabilità complementari: le supply-chain SaaS, sempre più mirate da attori come UNC6395, e i ritardi di patch Linux, che lasciano aperti varchi critici per exploit noti. Se da un lato Zscaler ha dimostrato capacità di contenimento e risposta rapida, dall’altro il mercato Linux deve affrontare una trasformazione culturale, adottando strumenti come TuxCare Radar per un patching proattivo e real-time. Lo scanner TuxCare Radar utilizza analisi in-memory con supporto AI per verificare CVE direttamente su processi attivi. Validando il contesto operativo, riduce il tasso di falsi positivi e si integra con pipeline di patch management. L’esecuzione via script (radar scan) restituisce output JSON, abilitando automazione nei workflow DevSecOps. In parallelo, l’incidente Zscaler conferma come i token OAuth rappresentino un vettore di attacco privilegiato nelle supply-chain moderne, con necessità di difese multilivello.
