Una nuova ondata di vulnerabilità critiche che colpiscono infrastrutture enterprise diffuse a livello globale sta facendo impensierire i sistemisti di mezzo mondo. Diversi fornitori tecnologici hanno pubblicato aggiornamenti di sicurezza urgenti per correggere flaw che permettono esecuzione di codice remoto, escalation di privilegi e bypass dell’autenticazione. Tra i sistemi coinvolti figurano la piattaforma di automazione n8n, i firewall FortiGate e il sistema operativo di rete Cisco IOS XR, oltre a vulnerabilità segnalate in prodotti HPE, SAP, Microsoft e Adobe. In alcuni casi le vulnerabilità sono già state sfruttate in attacchi reali contro organizzazioni sanitarie, provider di servizi gestiti e infrastrutture governative, dimostrando quanto sia fragile la sicurezza delle reti iperconnesse quando patch e aggiornamenti non vengono applicati tempestivamente.
Cosa leggere
Vulnerabilità critiche nella piattaforma n8n
La piattaforma open source n8n, utilizzata per automatizzare workflow tra servizi cloud e applicazioni aziendali, è stata colpita da diverse vulnerabilità gravi. La più rilevante, CVE-2026-27577, consente un sandbox escape causato da una lacuna nel sistema di riscrittura dell’AST utilizzato dal motore di espressioni. Attraverso questa falla un utente autenticato può eseguire comandi direttamente sul sistema host, ottenendo accesso alla macchina su cui gira il servizio.
Un’altra vulnerabilità, CVE-2026-27493, permette invece la valutazione di espressioni non autenticata tramite nodi Form esposti pubblicamente, rendendo possibile l’iniezione di codice malevolo senza credenziali. Ulteriori bug, come CVE-2026-27495 e CVE-2026-27497, consentono rispettivamente l’iniezione di codice nel JavaScript Task Runner e la scrittura di file arbitrari sfruttando la modalità query SQL del nodo Merge. Sebbene non siano stati confermati exploit attivi, i ricercatori avvertono che queste vulnerabilità potrebbero permettere agli attaccanti di accedere alla variabile N8N_ENCRYPTION_KEY, esponendo credenziali e chiavi crittografiche memorizzate nei workflow.
Bypass dell’autenticazione negli switch HPE AOS-CX
Un’altra vulnerabilità critica riguarda gli switch di rete HPE Aruba AOS-CX. Il bug identificato come CVE-2026-23813 permette il bypass dell’autenticazione dell’interfaccia web di gestione, consentendo a un attaccante remoto di resettare la password dell’amministratore senza disporre di privilegi iniziali. Questo tipo di vulnerabilità è particolarmente pericoloso perché consente di ottenere il controllo completo dell’infrastruttura di rete. Una volta compromesso lo switch, un attaccante può intercettare traffico, modificare configurazioni e creare ulteriori punti di accesso nella rete aziendale. HPE ha rilasciato patch di sicurezza e raccomanda di limitare l’accesso alle interfacce di gestione tramite ACL, VLAN dedicate e restrizioni Layer 3, oltre a monitorare attentamente i log di sistema per individuare eventuali attività sospette.
Exploit attivi contro firewall FortiGate
I dispositivi FortiGate, utilizzati come firewall di nuova generazione in moltissime infrastrutture enterprise, sono stati coinvolti in campagne di attacco attive. Le vulnerabilità CVE-2025-59718, CVE-2025-59719 e CVE-2026-24858 sono state sfruttate per ottenere accesso iniziale alle reti aziendali, spesso combinando exploit software con configurazioni errate o credenziali deboli. Dopo la compromissione del dispositivo gli attaccanti riescono a estrarre file di configurazione del firewall, rivelando la topologia della rete e credenziali cifrate utilizzate per servizi LDAP e Active Directory. In alcuni incidenti sono stati creati nuovi account amministrativi denominati support, utilizzati per mantenere accesso persistente. Gli attaccanti hanno poi eseguito attività di movimento laterale, installando strumenti di gestione remota come Pulseway e distribuendo malware tramite script PowerShell. In diversi casi è stata rilevata l’esfiltrazione del database NTDS.dit, un chiaro indicatore di compromissione avanzata dell’intero dominio aziendale.
Escalation di privilegi nei router Cisco IOS XR
Cisco ha rilasciato aggiornamenti di sicurezza per diverse vulnerabilità che interessano Cisco IOS XR, sistema operativo utilizzato nei router carrier-grade. La vulnerabilità CVE-2026-20040 deriva da una validazione insufficiente degli argomenti nella command line interface e consente a un attaccante con accesso locale di eseguire comandi con privilegi root. Un’altra vulnerabilità, CVE-2026-20046, riguarda la gestione dei task group e permette una escalation di privilegi che può portare al controllo amministrativo completo del dispositivo. Questi problemi interessano alcune versioni della piattaforma IOS XRv 9000 e sono stati corretti nelle release più recenti della serie 25.x. Cisco raccomanda agli amministratori di aggiornare immediatamente il software di rete e verificare la disponibilità di patch SMU specifiche per le installazioni esistenti.
Attacchi DoS e vulnerabilità XSS nei sistemi Cisco
Oltre alle vulnerabilità di escalation privilegi, Cisco ha corretto anche diversi problemi che possono causare denial of service. La vulnerabilità CVE-2026-20074 riguarda il protocollo di routing IS-IS multi-istanza e può essere sfruttata da un attaccante adiacente alla rete per provocare il riavvio del processo IS-IS, causando perdita temporanea di connettività. Un altro bug, CVE-2026-20118, interessa il modulo EPNI e può portare al blocco delle unità di elaborazione di rete tramite pacchetti appositamente costruiti. Cisco ha inoltre corretto due vulnerabilità cross-site scripting, CVE-2026-20116 e CVE-2026-20117, che interessano il sistema Cisco Unified Contact Center e potrebbero consentire a un attaccante remoto di iniettare script nelle interfacce web amministrative.
Patch pubblicate da numerosi vendor
Microsoft Patch Tuesday marzo 2024, risolte 60 vulnerabilitàIl mese di marzo ha visto un numero particolarmente elevato di patch di sicurezza pubblicate da numerosi vendor tecnologici.
SAP ha corretto vulnerabilità legate all’uso di componenti Log4j obsoleti nella piattaforma Quotation Management e problemi di deserializzazione insicura nel NetWeaver Portal. Microsoft ha rilasciato aggiornamenti per oltre ottanta vulnerabilità all’interno del proprio ecosistema software, mentre Adobe ha corretto decine di bug che interessano prodotti come Commerce, Magento e Illustrator. Anche altri fornitori come AWS, AMD e ABB hanno distribuito aggiornamenti di sicurezza per servizi cloud, processori e sistemi industriali.
Impatto sulle infrastrutture enterprise
La concentrazione di vulnerabilità critiche osservata nel marzo 2026 evidenzia quanto sia complessa la sicurezza delle infrastrutture moderne. Le piattaforme enterprise sono sempre più integrate tra loro e un singolo punto debole può permettere agli attaccanti di ottenere accesso all’intera rete. Gli esperti raccomandano di adottare strategie di patch management rapide, limitare i privilegi degli utenti e monitorare costantemente i log di sicurezza per individuare eventuali anomalie. In un contesto in cui broker criminali vendono accessi iniziali alle reti aziendali, la capacità di applicare rapidamente le patch rimane uno degli strumenti più efficaci per prevenire compromissioni su larga scala.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
