Le vulnerabilità di sicurezza scoperte nelle ultime settimane hanno esposto a rischi infrastrutture critiche e dati sensibili, colpendo settori chiave che spaziano dal cloud al software enterprise fino all’hardware dei data center. Un incidente in Red Hat ha coinvolto repository GitHub privati con dati sensibili di clienti globali, mentre i ricercatori hanno dimostrato un attacco innovativo, WireTap, capace di rompere le protezioni di Intel SGX con strumenti hardware a basso costo. In parallelo, un exploit ribattezzato AirBorne ha evidenziato vulnerabilità nei sistemi Apple CarPlay, sfruttabili senza interazione utente, e campagne di estorsione hanno preso di mira i sistemi Oracle E-Business Suite, richiamando le tattiche già viste con il gruppo Cl0p. Questi eventi dimostrano come il panorama cybercrime stia evolvendo verso attacchi sempre più sofisticati, capaci di colpire contemporaneamente software, hardware e supply chain.
Cosa leggere
Incidente sicurezza in Red Hat
Red Hat ha confermato un incidente limitato al suo settore di business consulting, smentendo impatti sulla supply chain software principale. Il gruppo Crimson Collective ha rivendicato il furto di 570 GB di dati compressi da oltre 28.000 progetti interni, compresi 800 Customer Engagement Reports redatti tra il 2020 e il 2025. Questi documenti contengono dettagli infrastrutturali, configurazioni tecniche e token di autenticazione relativi a organizzazioni come Bank of America, T-Mobile e agenzie governative statunitensi. Secondo gli analisti, gli attaccanti mirano a sfruttare o rivendere le informazioni per attacchi successivi. Red Hat ha avviato indagini interne e collabora con le autorità, invitando i clienti a monitorare anomalie e a rafforzare l’uso di autenticazione multifattore. Gli esperti hanno notato parallelismi con le tattiche del gruppo FIN11, legato a TA505, già noto per estorsioni e ransomware.
Attacco WireTap su Intel SGX
I ricercatori di Georgia Tech e Purdue hanno dimostrato WireTap, un attacco che compromette la confidenzialità delle enclave Intel SGX intercettando il traffico DDR4 tramite un interposer hardware dal costo inferiore a 917 euro. L’attacco sfrutta il comportamento deterministico della Total Memory Encryption, che produce output identici per plaintext uguali, permettendo di recuperare chiavi ECDSA dal Quoting Enclave e di forgiare quote SGX. Questo rompe la catena di fiducia e impatta direttamente ecosistemi blockchain che usano SGX, come Secret Network, Phala Network e Crust Network, esponendo transazioni e chiavi di consenso. Intel ha dichiarato che l’attacco rientra al di fuori del suo threat model, escludendo patch immediate ma raccomandando ambienti fisici sicuri e l’uso di DDR5. Tuttavia, gli esperti sollecitano un ripensamento della crittografia SGX e sottolineano la gravità per i provider cloud che basano i propri servizi sulla sicurezza dei Trusted Execution Environments.
Exploit AirBorne su CarPlay
Un team di ricercatori ha documentato l’exploit AirBorne contro Apple CarPlay, che sfrutta le vulnerabilità CVE-2025-24252 e CVE-2025-24132 nella gestione del protocollo iAP2 via Bluetooth. L’attacco, realizzabile senza PIN o interazione dell’utente, consente a un aggressore in prossimità di impersonare un iPhone, ottenere credenziali Wi-Fi e persino eseguire comandi arbitrari con privilegi root. La vulnerabilità è stata divulgata nell’aprile 2025 e Apple ha rilasciato patch il 29 aprile 2025, ma molti produttori automobilistici non hanno ancora distribuito gli aggiornamenti firmware. Questo ritardo crea un serio rischio per la sicurezza delle connected car, con possibili implicazioni sul controllo remoto dei sistemi di bordo. Apple raccomanda di disabilitare il pairing automatico e di verificare aggiornamenti software, mentre gli esperti chiedono un’accelerazione nelle pratiche di patch management nel settore automotive.
Estorsioni su Oracle E-Business Suite
Parallelamente, Google Mandiant ha indagato su una campagna di estorsioni che colpisce Oracle E-Business Suite, attribuita con moderata confidenza al gruppo Cl0p. Gli attaccanti hanno inviato email massicce a dirigenti di aziende globali, sostenendo di aver rubato dati sensibili tramite reset password deboli su portali esposti a internet. La campagna, iniziata il 29 settembre 2025, replica le tattiche dei gruppi FIN11 e TA505, con minacce di pubblicazione dei dati su siti di leak. Oracle ha aggiornato i propri sistemi per bloccare le configurazioni vulnerabili e ha raccomandato l’uso di MFA per rafforzare gli accessi. Le organizzazioni sono invitate a condurre indagini interne, monitorare eventuali anomalie e collaborare con i CERT nazionali per mitigare i rischi. L’attacco evidenzia la vulnerabilità delle piattaforme enterprise di fronte a campagne di cyber-estorsione coordinate.
Altre minacce dal Threatsday Bulletin
Il contesto globale resta caratterizzato da un’elevata pressione criminale. Sono stati segnalati attacchi BYOVD sfruttati da gruppi cinesi per distribuire Warlock ransomware, campagne SQL C2 con XiebroC2, e nuove richieste di accesso backdoor su iCloud da parte del governo britannico. Emergenze includono phishing mirati al settore education con furto di OTP Duo, kit di phishing crypto che impersonano Trezor e Ledger, e un aumento del 230% negli attacchi DDoS basati su router IoT noleggiati. Queste minacce confermano la complessità crescente dello scenario cyber e la necessità di difese multilivello.
