CISA lancia l’allarme su cPanel, Fortinet e SimpleHelp sotto attacco attivo

Le autorità di sicurezza statunitensi e i ricercatori del settore tornano a segnalare una nuova ondata di vulnerabilità attivamente sfruttate che colpisce infrastrutture critiche ampiamente diffuse nel settore enterprise e hosting. La Cybersecurity and Infrastructure Security Agency (CISA) ha aggiornato il proprio catalogo Known Exploited Vulnerabilities (KEV) includendo nuove falle che interessano il plugin LiteSpeed per cPanel e il Cisco Catalyst SD-WAN Manager, mentre emergono campagne di attacco in corso contro Fortinet FortiSandbox e la piattaforma di supporto remoto SimpleHelp. Si tratta di prodotti particolarmente sensibili perché spesso esposti direttamente su Internet o utilizzati per amministrare sistemi critici, consentendo agli aggressori di ottenere privilegi elevati, eseguire codice arbitrario o creare account amministrativi fraudolenti. La combinazione di exploit pubblici, vulnerabilità critiche e ritardi nell’applicazione delle patch continua a rappresentare uno dei principali vettori di compromissione per aziende, provider di hosting e infrastrutture governative.

CISA inserisce la vulnerabilità LiteSpeed per cPanel nel catalogo KEV

Tra le nuove vulnerabilità riconosciute come attivamente sfruttate compare CVE-2026-54420, una falla presente nel plugin LiteSpeed per cPanel nelle versioni precedenti alla 2.4.8. Il problema deriva da una gestione impropria dei symlink UNIX e può consentire a un attaccante già presente sul sistema tramite accesso FTP o web shell di elevare i privilegi fino a root. L’impatto è particolarmente rilevante negli ambienti di hosting condiviso che utilizzano CloudLinux o CageFS, tecnologie progettate per isolare gli utenti e limitare i danni derivanti da compromissioni locali. L’exploit sfrutta una sequenza di chiamate API non normalmente accessibili attraverso l’interfaccia grafica, consentendo di aggirare i controlli previsti dai flussi operativi standard. L’inserimento nel catalogo KEV indica che esistono prove concrete di sfruttamento attivo e che le organizzazioni dovrebbero considerare la vulnerabilità come prioritaria rispetto ad altre falle ancora prive di exploit osservati sul campo.

Hosting condiviso e privilegi root restano un bersaglio strategico

I server di hosting condiviso rappresentano da anni un obiettivo privilegiato per gli attaccanti perché consentono di compromettere simultaneamente numerosi siti web e servizi. In presenza di CVE-2026-54420, un attore malevolo che ottiene accesso a un singolo account può tentare una successiva escalation fino a privilegi completi sul server. LiteSpeed Technologies ha distribuito la correzione nella versione aggiornata del plugin e ha fornito strumenti per verificare eventuali indicatori di compromissione. Particolare attenzione deve essere rivolta ai log associati alle funzioni generatedEcCert e packageUserSize, che potrebbero evidenziare tentativi di sfruttamento. Per i provider di hosting, l’applicazione immediata dell’aggiornamento e l’analisi retrospettiva dei log costituiscono misure essenziali per identificare eventuali compromissioni già avvenute prima della disponibilità della patch.

Fortinet FortiSandbox sotto attacco con tre vulnerabilità critiche

Parallelamente all’aggiornamento del catalogo CISA, emergono nuove informazioni su attacchi attivi contro Fortinet FortiSandbox, piattaforma utilizzata per l’analisi avanzata delle minacce e la rilevazione di malware. Gli aggressori stanno sfruttando tre vulnerabilità critiche identificate come CVE-2026-39813, CVE-2026-39808 e CVE-2026-25089, tutte caratterizzate da un punteggio CVSS 9.1. Le falle consentono a un attaccante non autenticato di eseguire command injection, manipolare richieste HTTP ed eseguire codice arbitrario sui sistemi vulnerabili. Due delle vulnerabilità erano già state corrette ad aprile 2026, mentre la terza ha ricevuto una patch soltanto recentemente. Nonostante la disponibilità degli aggiornamenti, gli exploit continuano a essere osservati in attacchi reali, confermando ancora una volta che il periodo compreso tra la pubblicazione di una patch e la sua effettiva installazione rappresenta una delle finestre operative preferite dai gruppi offensivi.

Command injection e path traversal minacciano le appliance Fortinet

Le vulnerabilità interessano componenti fondamentali della piattaforma, compresi il JRPC API e la web UI di FortiSandbox, rendendo esposte sia le installazioni on-premise sia quelle ospitate in ambienti cloud. Le tecniche osservate includono command injection e path traversal, due categorie di attacco particolarmente pericolose perché consentono l’esecuzione di istruzioni arbitrarie sul sistema e l’accesso a file sensibili.

Una compromissione riuscita può consentire agli aggressori di aggirare le normali difese di rete, manipolare configurazioni di sicurezza e utilizzare l’appliance stessa come punto di appoggio per movimenti laterali verso altri segmenti dell’infrastruttura. Le organizzazioni che utilizzano prodotti Fortinet devono verificare immediatamente l’applicazione delle patch disponibili e monitorare con attenzione i log alla ricerca di richieste HTTP anomale, tentativi di caricamento di payload o comportamenti compatibili con attività di exploitation.

SimpleHelp espone al rischio di account Technician fraudolenti

Un’altra minaccia significativa riguarda SimpleHelp, soluzione ampiamente utilizzata per assistenza remota e supporto tecnico. La vulnerabilità CVE-2026-48558 interessa le versioni 5.5.15 e precedenti, oltre ad alcune build preliminari della serie 6.0. Il difetto emerge quando è attiva l’autenticazione OIDC (OpenID Connect) con specifiche configurazioni. In tali condizioni, un attaccante non autenticato può creare un nuovo account Technician e ottenere accesso alla piattaforma senza superare i controlli previsti dall’autenticazione multifattore.

Il problema deriva da una validazione insufficiente delle informazioni di identità provenienti dal provider federato e consente di aggirare le garanzie normalmente offerte dai sistemi di autenticazione moderna.

Accesso remoto e controllo degli endpoint come obiettivo finale

Una volta ottenuti privilegi di Technician, l’aggressore acquisisce capacità operative estremamente rilevanti. Può gestire endpoint remoti, eseguire script, distribuire configurazioni e interagire con sistemi amministrati attraverso la piattaforma. In molti ambienti aziendali, gli strumenti di supporto remoto rappresentano un’infrastruttura privilegiata perché consentono l’accesso diretto a workstation, server e dispositivi gestiti.

Per questo motivo vulnerabilità come CVE-2026-48558 sono particolarmente appetibili per operatori ransomware e gruppi di access broker che puntano a ottenere una presenza iniziale all’interno delle reti aziendali. Le organizzazioni che utilizzano OIDC con SimpleHelp devono procedere immediatamente all’aggiornamento del software e verificare la presenza di account Technician creati recentemente o non riconducibili a personale autorizzato.

Cisco SD-WAN Manager entra nel catalogo delle vulnerabilità sfruttate

La seconda vulnerabilità aggiunta da CISA al catalogo KEV riguarda CVE-2026-20262, una falla di path traversal presente in Cisco Catalyst SD-WAN Manager. Il difetto consente a un utente autenticato con privilegi limitati di creare, modificare o sovrascrivere file arbitrari sul filesystem del dispositivo. Sebbene l’exploit richieda una forma di autenticazione iniziale, l’impatto rimane elevato perché può essere utilizzato come passaggio intermedio verso una completa escalation di privilegi fino a livello root. Le infrastrutture SD-WAN sono particolarmente sensibili poiché gestiscono il traffico di rete tra sedi aziendali, data center e ambienti cloud. Una compromissione riuscita potrebbe consentire agli aggressori di alterare configurazioni critiche, intercettare comunicazioni o aprire nuovi punti di accesso persistente all’interno della rete.

CISA accelera la pressione sulle organizzazioni esposte

Come avviene per tutte le vulnerabilità inserite nel catalogo Known Exploited Vulnerabilities, CISA ha richiesto alle agenzie federali statunitensi di applicare gli aggiornamenti entro tempi molto stretti. L’obiettivo è ridurre la superficie di attacco disponibile agli aggressori e limitare l’utilizzo di exploit già osservati in scenari reali. Cisco ha reso disponibili le versioni corrette per le release interessate, ma la presenza della vulnerabilità nel catalogo conferma che esistono campagne di sfruttamento attive o tentativi documentati di compromissione.

• CVE-2026-20262 Cisco Catalyst SD-WAN Manager Directory or Path Traversal Vulnerability
• CVE-2026-54420 LiteSpeed cPanel Plugin UNIX Symbolic Link (Symlink) Following Vulnerability

Le organizzazioni che gestiscono infrastrutture SD-WAN dovrebbero verificare immediatamente la versione installata, aggiornare i sistemi vulnerabili e controllare i log alla ricerca di operazioni sospette che coinvolgano upload di file, modifiche non autorizzate o attività amministrative anomale.

Le vulnerabilità infrastrutturali restano la priorità assoluta

L’elemento comune tra LiteSpeed, Fortinet, SimpleHelp e Cisco SD-WAN Manager è la loro posizione strategica all’interno delle infrastrutture IT moderne. Non si tratta di applicazioni marginali, ma di componenti che gestiscono hosting, sicurezza, connettività e amministrazione remota. Una volta compromessi, questi sistemi possono fornire agli aggressori accessi privilegiati, persistenza e visibilità estesa sulla rete bersaglio. La velocità con cui gli exploit vengono sviluppati dopo la pubblicazione delle vulnerabilità continua a ridursi, trasformando ogni ritardo nell’applicazione delle patch in un rischio concreto. Le organizzazioni dovrebbero adottare un approccio basato su priorità operative immediate: aggiornamento tempestivo dei sistemi esposti, verifica degli indicatori di compromissione, monitoraggio continuo dei log e revisione delle configurazioni di autenticazione, in particolare quando vengono utilizzati protocolli federati come OIDC. L’aggiornamento del catalogo CISA KEV conferma ancora una volta che la gestione delle vulnerabilità non può più essere considerata un’attività periodica, ma un processo continuo e direttamente collegato alla resilienza operativa dell’intera organizzazione.