Le infrastrutture enterprise tornano sotto pressione a causa di due vulnerabilità critiche sfruttate attivamente che stanno coinvolgendo organizzazioni governative, università e aziende private. Negli Stati Uniti la Cybersecurity and Infrastructure Security Agency (CISA) ha emesso una direttiva urgente che impone alle agenzie federali di correggere entro tre giorni una falla critica nel gateway di sicurezza Ivanti Sentry. Parallelamente il gruppo di estorsione ShinyHunters, identificato da Mandiant come UNC6240, ha sfruttato uno zero-day in Oracle PeopleSoft per compromettere centinaia di sistemi e sottrarre dati sensibili a oltre cento organizzazioni. I due casi evidenziano ancora una volta la velocità con cui gli attori malevoli riescono a trasformare vulnerabilità enterprise in campagne operative su larga scala.
Cosa leggere
CISA attiva la nuova direttiva BOD 26-04 per una vulnerabilità Ivanti
La vulnerabilità CVE-2026-10520 rappresenta il primo caso applicativo della nuova direttiva Binding Operational Directive 26-04 introdotta da CISA. L’agenzia federale ha ordinato alle organizzazioni appartenenti al Federal Civilian Executive Branch di applicare le mitigazioni entro domenica, concedendo una finestra temporale di appena tre giorni. La falla interessa Ivanti Sentry, precedentemente noto come MobileIron Sentry, ed è classificata come una vulnerabilità di command injection con impatto massimo. Un aggressore può sfruttarla per eseguire comandi arbitrari direttamente sul sistema vulnerabile, ottenendo il controllo dell’appliance senza particolari restrizioni operative.
La CVE-2026-10520 è già sfruttata negli attacchi reali
A rendere particolarmente grave la situazione è il fatto che CISA abbia confermato lo sfruttamento attivo della vulnerabilità. L’agenzia ha inserito immediatamente la falla nel catalogo delle Known Exploited Vulnerabilities (KEV), indicando che gruppi ostili stanno già utilizzando exploit funzionanti contro sistemi esposti. Secondo le analisi di Shadowserver, diversi attaccanti hanno iniziato a sfruttare proof-of-concept pubblici comparsi online subito dopo la divulgazione tecnica della vulnerabilità. Le attività di scansione hanno inoltre individuato numerose istanze già compromesse e dotate di backdoor installate dagli aggressori.
Ivanti pubblica le patch ma gli attacchi erano già iniziati
Le correzioni ufficiali sono state distribuite da Ivanti mercoledì, ma inizialmente l’azienda non aveva indicato la presenza di campagne di sfruttamento attive. Questa situazione ha generato particolare attenzione da parte della comunità di sicurezza poiché molti amministratori hanno scoperto solo successivamente che gli attacchi erano già in corso. Secondo Shadowserver, attualmente risultano monitorati poco più di cinquanta portali di amministrazione Sentry direttamente accessibili da Internet, ma il numero reale di installazioni esposte potrebbe essere significativamente superiore. CISA ha evidenziato come la combinazione tra esposizione pubblica, sfruttamento attivo e possibilità di automazione renda la vulnerabilità particolarmente pericolosa per infrastrutture governative e aziendali.
Oracle PeopleSoft colpito da uno zero-day critico
Mentre le organizzazioni affrontano l’emergenza Ivanti, un secondo fronte si è aperto con la scoperta della vulnerabilità CVE-2026-35273 in Oracle PeopleSoft PeopleTools. La falla interessa le versioni 8.61 e 8.62 della piattaforma e possiede un punteggio CVSS 9.8, collocandosi nella fascia più critica delle vulnerabilità software. Il problema consente esecuzione remota di codice senza autenticazione, permettendo a un aggressore esterno di prendere il controllo del sistema semplicemente inviando richieste opportunamente costruite verso specifici endpoint esposti.
Il componente vulnerabile è Environment Management Hub
Secondo Oracle, la vulnerabilità si trova nel componente Environment Management Hub (PSEMHUB). Gli attaccanti possono sfruttare il difetto attraverso richieste HTTP rivolte a percorsi come /PSEMHUB/hub o /PSIGW/HttpListeningConnector, ottenendo l’esecuzione di codice arbitrario direttamente sul server. L’azienda ha distribuito mitigazioni temporanee il 10 giugno 2026, mentre la patch definitiva è stata annunciata come imminente. La criticità della falla ha reso necessaria una risposta straordinaria, poiché lo sfruttamento era già in corso prima della disponibilità delle correzioni ufficiali.
ShinyHunters compromette circa trecento istanze PeopleSoft
Il gruppo ShinyHunters ha utilizzato la vulnerabilità per condurre una vasta campagna di compromissione che ha interessato circa 300 installazioni PeopleSoft appartenenti a oltre 100 organizzazioni. Secondo Mandiant, il 68% delle vittime appartiene al settore dell’istruzione superiore, con una forte concentrazione di università e istituzioni accademiche statunitensi. Tra le organizzazioni già pubblicamente identificate compare l’University of Nottingham, i cui dati relativi a studenti ed ex studenti sono stati successivamente pubblicati sul portale di leak controllato dagli estorsori.
L’operazione si è sviluppata tra maggio e giugno
Le attività malevole si sono svolte tra il 27 maggio e il 9 giugno 2026, un intervallo temporale relativamente breve che dimostra la rapidità con cui gli attaccanti hanno trasformato la vulnerabilità in una campagna su larga scala. Un errore operativo commesso dagli stessi criminali ha facilitato il lavoro degli investigatori. Gli aggressori hanno infatti lasciato esposti alcuni server di staging utilizzati durante l’operazione. I ricercatori hanno individuato cinque indirizzi IP sequenziali che ospitavano server HTTP Python configurati per distribuire strumenti personalizzati e infrastrutture di supporto agli attacchi.
MeshCentral e strumenti personalizzati per il movimento laterale
L’analisi dell’infrastruttura ha rivelato l’impiego di agenti MeshCentral mascherati da componenti Microsoft Azure, insieme a uno script denominato [victim]_fanout.sh utilizzato per il movimento laterale. Gli operatori di ShinyHunters hanno eseguito attività di ricognizione approfondita sulle configurazioni PeopleSoft e Oracle WebLogic, combinando successivamente queste informazioni con campagne di SSH credential spraying. Questa metodologia ha consentito agli aggressori di ampliare rapidamente il controllo all’interno delle reti compromesse e di raggiungere sistemi contenenti dati particolarmente sensibili.
Dati personali e informazioni sensibili tra i file rubati
I dati sottratti comprendono una vasta gamma di informazioni personali appartenenti a studenti, docenti e personale amministrativo. Tra i contenuti esfiltrati figurano nomi completi, indirizzi, numeri telefonici, numeri di passaporto e dettagli particolarmente delicati relativi a etnia e condizioni di disabilità. Prima dell’esfiltrazione, gli archivi venivano compressi utilizzando zstd, una scelta che consente di ridurre significativamente le dimensioni dei dati trasferiti e di accelerare le operazioni di furto delle informazioni.
Mandiant avverte oltre cento organizzazioni
Gli esperti di Mandiant hanno notificato direttamente oltre cento organizzazioni ritenute potenzialmente coinvolte nella campagna. Alcune sono riuscite a interrompere gli attaccanti prima della fase finale di esfiltrazione, mentre altre hanno già visto comparire i propri dati sul sito di leak gestito da ShinyHunters. Gli stessi criminali hanno dichiarato che il processo di contatto con le vittime è ancora nelle fasi iniziali e che numerose organizzazioni compromesse non sono state ancora rese pubbliche.
Oracle raccomanda mitigazioni immediate
In attesa della distribuzione della patch definitiva, Oracle raccomanda di disabilitare il servizio Environment Management Hub nelle installazioni multi-server oppure di rimuovere completamente l’applicazione PSEMHUB nelle implementazioni single-server. Quando queste opzioni non risultano praticabili, l’azienda suggerisce di bloccare completamente l’accesso esterno agli endpoint vulnerabili. Le organizzazioni devono inoltre effettuare verifiche approfondite alla ricerca di webshell JSP, file XML modificati e directory sospette che potrebbero indicare compromissioni già avvenute.
Indicatori di compromissione e attività di rilevamento
Sia CISA sia Mandiant hanno pubblicato linee guida dettagliate per individuare eventuali compromissioni. Gli amministratori sono invitati a monitorare i log di WebLogic alla ricerca di richieste POST indirizzate agli endpoint vulnerabili, controllare il traffico SMB in uscita e verificare la presenza di file marker utilizzati dagli aggressori. Tra questi compare il documento denominato README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT, lasciato in alcuni casi come indicatore dell’avvenuta compromissione.
Vulnerabilità enterprise sempre più rapidamente sfruttate
Gli episodi che coinvolgono Ivanti e Oracle PeopleSoft mostrano una tendenza ormai consolidata: il tempo che separa la scoperta di una vulnerabilità critica dal suo sfruttamento operativo continua a ridursi drasticamente. Gruppi di estorsione come ShinyHunters monitorano costantemente nuove superfici di attacco e sono in grado di costruire campagne complesse nel giro di pochi giorni. La risposta coordinata di CISA, Oracle, Ivanti, Shadowserver e Mandiant rappresenta un tentativo di contenere l’impatto degli incidenti, ma il successo delle mitigazioni dipenderà soprattutto dalla rapidità con cui organizzazioni pubbliche e private applicheranno le correzioni e implementeranno le misure difensive raccomandate.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
