🛡️ Executive Summary
- SonicWall conferma lo sfruttamento di una SSRF critica e di una code injection nelle appliance SMA1000, imponendo patch e verifiche forensi immediate.
- RabbitMQ espone segreti OAuth, ShareFile corregge una zero-day path traversal e AWS risolve falle in HealthLake MCP e Kubernetes.
- SAP chiude CVE-2026-44747, vulnerabilità CVSS 9.9 nel kernel NetWeaver ABAP capace di compromettere dati e disponibilità dei sistemi.
Una nuova serie di vulnerabilità coinvolge appliance di accesso remoto, broker di messaggistica, piattaforme di condivisione file, servizi cloud e sistemi ERP. Il rischio più immediato riguarda SonicWall SMA1000, dove due falle risultano già sfruttate in attacchi, e Progress ShareFile, il cui incidente ha costretto il produttore a chiedere lo spegnimento temporaneo dei server Storage Zone Controller. RabbitMQ espone invece segreti OAuth e informazioni sui tenant, mentre AWS corregge un SSRF nel proprio HealthLake MCP Server e una debolezza nel Load Balancer Controller per Kubernetes. Completa il quadro SAP NetWeaver ABAP, colpito da una vulnerabilità con punteggio CVSS 9.9.
Cosa leggere
SonicWall SMA1000 sotto attacco attraverso SSRF e code injection
L’advisory SNWLID-2026-0008 di SonicWall descrive due vulnerabilità nelle appliance SMA1000 6210, 7210 e 8200v, escludendo la serie SMA 100 e le funzioni SSL-VPN integrate nei firewall tradizionali. La prima falla è una server-side request forgery con CVSS 10.0 che permette a un aggressore remoto non autenticato di costringere l’appliance a inviare richieste verso destinazioni arbitrarie. In un dispositivo collocato al confine della rete, una SSRF può consentire l’accesso a servizi interni non esposti, endpoint amministrativi, metadata cloud o risorse raggiungibili soltanto dall’interfaccia dell’appliance. La seconda vulnerabilità, classificata con CVSS 7.2, permette a un amministratore autenticato di iniettare comandi ed eseguire codice sul sistema operativo in condizioni specifiche. SonicWall ha confermato lo sfruttamento attivo e distribuito gli hotfix 12.4.3-03453 e 12.5.0-02835. Gli amministratori non devono limitarsi all’installazione: occorre esaminare extraweb_access.log e ctrl-service.log, cercare richieste anomale, account modificati e processi inattesi. In presenza di indicatori di compromissione, il produttore raccomanda il re-imaging dell’appliance, la rotazione delle password e il reset dei token TOTP. La prudenza è giustificata dai numerosi precedenti che hanno coinvolto l’ecosistema SonicWall, compresa la compromissione attribuita a UNC6148 con il rootkit OVERSTEP e gli attacchi ransomware contro dispositivi SSL-VPN descritti nell’analisi su Akira e SonicWall.
RabbitMQ perde i segreti OAuth e indebolisce l’isolamento tra tenant
Le vulnerabilità in RabbitMQ incidono direttamente sull’autenticazione e sulla separazione logica degli ambienti condivisi. CVE-2026-57219, con punteggio CVSS 8.7, interessa l’endpoint obsoleto GET /api/auth, che può restituire il valore configurato in management.oauth_client_secret. Un utente non autenticato in grado di raggiungere la management interface può quindi ottenere il client secret OAuth e utilizzarlo per richiedere token con privilegi amministrativi, a seconda della configurazione dell’identity provider. L’impatto potenziale comprende accesso completo al broker, lettura e modifica delle code, intercettazione dei messaggi e alterazione delle policy.

CVE-2026-57221, con CVSS 5.3, consente invece a qualsiasi utente autenticato di enumerare code ed exchange presenti nello stesso virtual host e visualizzare informazioni come numero di messaggi e consumer, anche senza permessi diretti sulle singole risorse. In un ambiente multi-tenant, questi metadati possono rivelare nomi di servizi, volume delle attività e struttura applicativa. Le versioni corrette sono 4.3.0, 4.2.6, 4.1.11, 4.0.20 e 3.13.15. Chi ha esposto la porta 15672 a reti non attendibili deve aggiornare, limitare l’accesso tramite firewall o VPN e ruotare immediatamente il secret OAuth. La vicenda conferma quanto i segreti applicativi rappresentino un obiettivo privilegiato negli ambienti cloud, come già mostrato dagli attacchi descritti nell’approfondimento su SSRF e furto di credenziali AWS.
ShareFile corregge una zero-day dopo lo spegnimento dei controller
Progress ShareFile ha affrontato una vulnerabilità zero-day di path traversal nei propri Storage Zone Controller per Windows. La falla colpisce tutte le versioni 5.x e 6.x precedenti alle release 5.12.5 e 6.0.2 e richiede un account amministrativo autenticato. Un aggressore può manipolare i percorsi utilizzati dall’applicazione per leggere file arbitrari accessibili all’account di servizio, scrivere contenuti controllati in directory non previste ed enumerare il filesystem. L’accesso amministrativo riduce la probabilità di sfruttamento opportunistico, ma l’impatto resta elevato perché una credenziale privilegiata compromessa può trasformarsi in accesso al server sottostante e, in determinate condizioni, in persistenza o esecuzione di codice. Progress ha adottato una misura eccezionale chiedendo ai clienti di spegnere immediatamente i controller e disabilitando temporaneamente l’accesso agli account ShareFile collegati agli ambienti interessati. L’azienda non ha dichiarato evidenze di sottrazione dei dati dei clienti, ma la natura della falla rende necessaria una revisione dei log, dei file creati o modificati e degli accessi amministrativi. La vicenda era già emersa nell’allarme dedicato a ShareFile e alle vulnerabilità critiche di U-Boot e segue altri problemi importanti corretti da Progress nel servizio, compresa la RCE affrontata insieme alle vulnerabilità di F5 BIG-IP. Dopo l’aggiornamento, i controller devono essere riattivati solo dopo avere verificato integrità del sistema, account di servizio, regole di rete e assenza di file anomali.
AWS corregge SSRF nel server MCP e hijacking del traffico Kubernetes
La prima falla AWS, CVE-2026-15643, interessa le versioni precedenti alla 0.0.14 di HealthLake MCP Server. Il problema nasce dalla mancata validazione dell’URL contenuto nel parametro di paginazione next_token: un utente autenticato può fornire un endpoint controllato e indurre il server a inviare richieste verso quella destinazione. Poiché il processo può operare con credenziali temporanee AWS, l’attacco può causare l’esfiltrazione di token STS e consentire l’accesso alle risorse autorizzate dal ruolo associato. Il flag --readonly limita alcune operazioni applicative, ma non costituisce un confine di sicurezza contro il furto delle credenziali. Gli amministratori devono installare la versione 0.0.14, applicare policy IAM minime e ruotare i token o le credenziali del ruolo in caso di sospetto utilizzo. La seconda vulnerabilità, CVE-2026-15738, colpisce AWS Load Balancer Controller prima della versione 3.4.2. Quando una HTTPRoute e una GRPCRoute condividono lo stesso listener ALB HTTPS e lo stesso hostname, l’ordinamento errato assegna priorità alla HTTPRoute anche quando la GRPCRoute è più specifica. Un utente con accesso limitato a un namespace può creare una route catch-all e intercettare traffico destinato a un servizio gRPC in un altro namespace. Il workaround consiste nel limitare AllowedRoutes.Namespaces.From a Same o nell’utilizzare selettori restrittivi, ma la soluzione definitiva resta l’aggiornamento. I problemi si inseriscono in una superficie MCP e cloud già sotto osservazione, come mostrato dal rischio di tool poisoning nei server MCP e dalle precedenti vulnerabilità AWS corrette dopo gli avvisi CISA.
SAP NetWeaver ABAP rischia corruzione della memoria e accesso ai dati
SAP ha corretto CVE-2026-44747, vulnerabilità con punteggio CVSS 9.9 nel kernel di NetWeaver Application Server ABAP. Il difetto consiste in una scrittura fuori dai limiti della memoria causata da errori logici nella gestione dei buffer. Un utente autenticato può provocare corruzione della memoria e compromettere confidenzialità, integrità e disponibilità del sistema. In un ambiente SAP, queste conseguenze possono tradursi in lettura di dati aziendali riservati, modifica di registrazioni contabili o operative, interruzione dei processi e potenziale esecuzione di operazioni con privilegi superiori. Il requisito di autenticazione non riduce in modo significativo il rischio negli ambienti con molti utenti, integrazioni e account tecnici, soprattutto quando un aggressore ha già ottenuto credenziali tramite phishing o compromissione di un sistema collegato.

SAP ha incluso la correzione negli aggiornamenti di sicurezza di luglio e non risultano exploit pubblicamente confermati, ma il punteggio vicino al massimo impone una distribuzione prioritaria. Gli amministratori devono identificare le versioni del kernel coinvolte, pianificare la patch secondo le note SAP, verificare compatibilità e cluster e monitorare crash, dump e comportamenti anomali nei work process. Le vulnerabilità NetWeaver sono già state sfruttate in campagne reali, come documentato nell’analisi sulla falla critica SAP utilizzata da attori APT e nel successivo quadro su Ivanti, SAP e protobuf.js. La priorità operativa deve partire dagli asset esposti, dai sistemi con privilegi elevati e dalle piattaforme che trattano dati regolamentati, accompagnando la patch con rotazione delle credenziali, analisi dei log e verifica degli indicatori di compromissione.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.








