4 vulnerabilità nuove, urgenza BeyondTrust e Notepad++ introduce il doppio lock

La Cisa stringe il passo sulla remediation e aggiorna il perimetro operativo del Known Exploited Vulnerabilities (KEV) con quattro nuove vulnerabilità sfruttate attivamente, mentre parallelamente rafforza la pressione su un caso ad alto impatto come BeyondTrust e, nello stesso flusso di attenzione, emerge un segnale diverso ma altrettanto rilevante: Notepad++ cambia le regole del gioco sugli aggiornamenti, introducendo un meccanismo di doppio lock per ridurre drasticamente il rischio di hijack della catena di update. Il messaggio che passa è lineare: nel 2026 la sicurezza non è più “best practice”, è calendario. La Cisa impone scadenze e priorità perché la minaccia non aspetta, e perché gli exploit che entrano nel KEV diventano automaticamente candidati per campagne opportunistiche su larga scala. La fotografia di questo aggiornamento è anche un promemoria scomodo: nello stesso pacchetto convivono CVE recentissime e un ritorno dal passato, con un range temporale che va dal 2008 al 2026, dimostrando quanto la superficie d’attacco resti vulnerabile quando patching e inventario software non sono disciplina costante.

Le quattro vulnerabilità aggiunte al KEV: Chrome, ThreatSonar, Zimbra e Windows

La Cisa integra quattro vulnerabilità nel catalogo KEV il 18 febbraio 2026, imponendo alle agenzie federali civili esecutive statunitensi un orizzonte di remediation entro il 10 marzo 2026. È un passaggio che, storicamente, tende a trascinare anche il settore privato: quando una CVE entra nel KEV, la probabilità di attacchi “a strascico” aumenta, perché molti attori trattano quel catalogo come una lista di bersagli ad alta resa.

Il caso più immediato è Google Chrome con CVE-2026-2441 e CVSS 8.8, una use-after-free che consente corruzione della heap attraverso una pagina HTML appositamente costruita. Il dato operativo più pesante è che l’exploit è già in the wild. In questi scenari la finestra è sempre la stessa: chi aggiorna subito esce dall’area rossa, chi resta indietro diventa superficie disponibile.

Poi c’è TeamT5 ThreatSonar Anti-Ransomware, con CVE-2024-7694 e CVSS 7.2, che colpisce le versioni 3.4.5 e precedenti. La dinamica descritta riguarda la possibilità di upload arbitrario di file e successiva esecuzione di comandi sul server. È un profilo tipico da compromissione applicativa: se l’upload non è controllato in modo robusto, il confine tra “feature” e “intrusione” diventa sottilissimo.

Il terzo tassello è Synacor Zimbra Collaboration Suite con CVE-2020-7796 e CVSS 9.8, una SSRF ad alto impatto. Qui il rischio sale non solo per lo score, ma per la natura del prodotto: sistemi di collaboration e posta sono spesso centrali e, se esposti, diventano pivot di accesso a dati sensibili. In parallelo viene indicato un pattern di sfruttamento su scala, con un cluster di circa 400 IP associati ad attività di exploitation da marzo 2025 verso istanze in più Paesi. Il messaggio operativo è chiaro: dove c’è SSRF su un sistema di posta/collaboration, c’è quasi sempre un percorso rapido verso dati e controllo.

• CVE-2008-0015 Microsoft Windows Video ActiveX Control Remote Code Execution Vulnerability
• CVE-2020-7796 Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery Vulnerability
• CVE-2024-7694 TeamT5 ThreatSonar Anti-Ransomware Unrestricted Upload of File with Dangerous Type Vulnerability
• CVE-2026-2441 Google Chromium CSS Use-After-Free Vulnerability

Il quarto elemento è quello che spiega perché la Cisa insiste tanto sul catalogo: CVE-2008-0015 con CVSS 8.8, che riguarda Microsoft Windows Video ActiveX Control e un stack-based buffer overflow con potenziale remote code execution tramite pagine web costruite ad hoc. Il dettaglio che pesa è la persistenza: vulnerabilità vecchie tornano utili quando esistono ancora ambienti non aggiornati, o quando componenti legacy rimangono presenti in catene applicative difficili da mappare. È il tipo di CVE che diventa “invisibile” fino a quando non viene sfruttata.

BeyondTrust: order urgente e rischio di command injection senza autenticazione

In parallelo al pacchetto KEV, la Cisa accentua l’urgenza su BeyondTrust e sulla vulnerabilità CVE-2026-1731, descritta come OS command injection sfruttabile da remoto senza autenticazione. Il punto, qui, non è solo la gravità tecnica: è la categoria del prodotto. Remote Support e Privileged Remote Access sono strumenti che, per definizione, stanno vicino al cuore dell’amministrazione IT. Se vengono bucati, non si ottiene “solo” accesso a un server: si ottiene spesso un corridoio privilegiato verso l’intero ambiente. Le versioni impattate vengono indicate come 25.3.1 o precedenti per Remote Support e 24.3.4 o precedenti per Privileged Remote Access. BeyondTrust applica patch sulle istanze SaaS il 2 febbraio 2026, mentre gli ambienti on-premise devono aggiornare manualmente. Questa differenza è cruciale perché crea due velocità: nel cloud la remediation arriva centralizzata, on-prem resta responsabilità locale, con il rischio tipico delle finestre di patching rimandate. La Cisa imposta una scadenza operativa molto stretta per le agenzie, nel solco della BOD 22-01, ribadendo un concetto che nel 2026 diventa quasi una regola di governance: se non esiste una mitigazione praticabile o una patch disponibile, l’opzione diventa la discontinuazione dell’uso del prodotto fino a rientro del rischio. È una presa di posizione che pesa perché trasforma il patching da scelta tecnica a vincolo di compliance.

Notepad++ e il “doppio lock”: quando la sicurezza dell’update diventa priorità

In mezzo a vulnerabilità sfruttate e patch urgenti, la novità più interessante per la supply chain software è Notepad++, che dalla versione 8.9.2 introduce un meccanismo di doppio lock per rendere l’aggiornamento molto più resistente a campagne di reindirizzamento e man-in-the-middle. Qui la posta in gioco è altissima perché gli updater sono uno dei bersagli preferiti: se comprometti la catena di update, distribuisci malware con la stessa credibilità del vendor. Il doppio lock combina due verifiche che devono concordare: un installer firmato (con verifica del pacchetto) e un file XML firmato digitalmente tramite XMLDSig da notepad-plus-plus.org. La logica è semplice e potente: anche se un anello della catena viene manipolato, l’altro dovrebbe bloccare il flusso. È un cambio di paradigma perché rende molto più difficile sostituire silenziosamente gli update con payload malevoli. Questo rafforzamento si lega a una campagna attribuita a Lotus Blossom, descritta come durata mesi a partire da giugno 2025, con compromissione del provider di hosting e reindirizzamento delle richieste di update verso server malevoli, culminando nel deploy della backdoor Chrysalis rilevata il 2 dicembre 2025. Il punto non è soltanto l’incidente: è la lezione. Un software popolare tra sviluppatori e amministratori diventa un moltiplicatore perfetto se il suo updater è agganciabile. Notepad++ non si limita al doppio lock. Viene rimosso libcurl.dll per ridurre rischio di DLL side-loading, vengono eliminate opzioni SSL considerate insicure come CURLSSLOPT_ALLOW_BEAST e CURLSSLOPT_NO_REVOKE, e viene irrigidita la gestione dei plugin, limitando l’esecuzione a programmi firmati con lo stesso certificato di WinGUp. Anche il cambio di hosting e la rotazione delle credenziali indicano una risposta “da incident response” completa, non cosmetica. Per gli ambienti controllati, resta rilevante anche la possibilità di disabilitare l’auto-updater durante l’installazione, aspetto che interessa soprattutto chi gestisce parchi macchine con policy di update centralizzate e vuole minimizzare superfici non governate.

Perché questa ondata conta: KEV come acceleratore di attacchi e di difesa

La combinazione tra KEV aggiornato, ordine urgente su BeyondTrust e hardening dell’update di Notepad++ racconta un unico tema: la minaccia moderna si muove dove la fiducia è più alta. Browser, collaboration suite, strumenti anti-ransomware, componenti Windows legacy, piattaforme di accesso remoto privilegiato, software quotidiano degli sviluppatori. Non serve una zero-day se puoi sfruttare un ritardo di patching, un asset dimenticato o una catena di update indebolita. Cisa, con il KEV, rende questa realtà “operativa” e misurabile: non è una lista per curiosi, è una lista che orienta priorità, ticket, change window e scelte di rischio. E il fatto che i punteggi CVSS citati oscillino tra 7.2 e 9.8 aiuta a capire perché le organizzazioni più mature trattano queste scadenze come eventi critici, non come manutenzione ordinaria. Nel 2026 il vero differenziale non è sapere che esiste una CVE. È avere un inventario aggiornato, sapere dove gira quel software, e avere la capacità di applicare patch o mitigazioni in tempi compatibili con il ciclo di exploitation. Il resto, ormai, è soltanto tempo concesso agli attaccanti.