CISA aggiorna il catalogo Known Exploited Vulnerabilities aggiungendo tre nuove falle attivamente sfruttate tra il 13 e il 16 marzo 2026. Le vulnerabilità riguardano Wing FTP Server, Google Skia e Chromium V8, confermando un rischio concreto per infrastrutture pubbliche e private. Parallelamente, Amazon Web Services pubblica due bollettini di sicurezza per vulnerabilità critiche nei propri strumenti. Le nuove CVE evidenziano una pressione crescente sugli ecosistemi software utilizzati a livello globale. L’inserimento nel catalogo KEV implica obblighi stringenti per le agenzie federali statunitensi e rappresenta un segnale operativo anche per aziende e provider. Il contesto mostra un aumento degli attacchi che sfruttano vulnerabilità già note ma non patchate.
Cosa leggere
CISA inserisce CVE-2025-47813 e segnala rischi su Wing FTP Server
Il 16 marzo 2026 CISA ha aggiunto la CVE-2025-47813 al catalogo KEV, classificandola come vulnerabilità di information disclosure che colpisce Wing FTP Server. La falla consente agli attaccanti di accedere a informazioni sensibili senza autorizzazione, sfruttando configurazioni o implementazioni vulnerabili. Secondo l’agenzia, questa vulnerabilità è già attivamente utilizzata in attacchi reali. Ciò la rende particolarmente pericolosa, poiché non si tratta di una minaccia teorica ma di un vettore già operativo.
CVE-2025-47813 Wing FTP Server Information Disclosure Vulnerability
CISA richiede alle agenzie federali di applicare le patch entro le scadenze definite dalla Binding Operational Directive 22-01, che stabilisce tempi precisi per la remediation delle vulnerabilità critiche. Le organizzazioni che utilizzano Wing FTP Server devono verificare immediatamente la propria esposizione e aggiornare i sistemi per prevenire fughe di dati.
CISA aggiorna KEV con CVE-2026-3909 e CVE-2026-3910 di Google
Il 13 marzo 2026 CISA ha inserito nel catalogo KEV altre due vulnerabilità critiche: CVE-2026-3909 e CVE-2026-3910, entrambe legate a componenti fondamentali dell’ecosistema Google. La CVE-2026-3909 riguarda Google Skia, motore grafico utilizzato in numerose applicazioni e browser. Si tratta di una vulnerabilità di tipo out-of-bounds write, che consente la scrittura fuori dai limiti della memoria con potenziale esecuzione di codice arbitrario. La CVE-2026-3910 colpisce invece il motore JavaScript Chromium V8 ed è classificata come vulnerabilità non specificata ma comunque sfruttata attivamente. Considerando la diffusione di Chromium, il rischio potenziale si estende a milioni di dispositivi. Entrambe le CVE vengono considerate da CISA vettori di attacco frequenti e ad alto impatto. L’inserimento nel KEV obbliga le agenzie federali ad applicare le correzioni entro tempi definiti e spinge anche le aziende private a includerle nei processi di vulnerability management.
AWS pubblica bollettino per CVE-2026-4269 nel Bedrock AgentCore Starter Toolkit
Il 16 marzo 2026 Amazon Web Services ha rilasciato il bollettino 2026-008-AWS per la CVE-2026-4269, che interessa il Bedrock AgentCore Starter Toolkit nelle versioni precedenti alla v0.1.13. La vulnerabilità deriva da una verifica impropria della proprietà degli oggetti S3, che può essere sfruttata da un attaccante remoto per iniettare codice durante il processo di build. Questo consente l’esecuzione di codice nel runtime dell’ambiente AgentCore. Il problema riguarda specificamente i toolkit costruiti dopo il 24 settembre 2025, mentre le versioni precedenti a tale data non risultano vulnerabili. AWS classifica la falla come Important, indicando un livello di rischio elevato ma non critico. La mitigazione è diretta: aggiornare alla versione v0.1.13 o successiva elimina completamente il vettore di attacco. La natura supply chain della vulnerabilità la rende particolarmente rilevante per ambienti CI/CD e pipeline di sviluppo.
AWS corregge CVE-2026-4270 nell’AWS API MCP Server
Sempre il 16 marzo 2026 AWS ha pubblicato il bollettino 2026-007-AWS relativo alla CVE-2026-4270, che colpisce AWS API MCP Server nelle versioni comprese tra 0.2.14 e 1.3.8. Questo componente open source funge da bridge tra assistenti AI e servizi AWS, rendendolo un elemento strategico nell’integrazione tra intelligenza artificiale e infrastruttura cloud. La vulnerabilità è classificata come improper protection of alternate path e consente a un attaccante di bypassare restrizioni di accesso ai file. In particolare, sfruttando le funzionalità no-access e workdir, è possibile esporre contenuti locali arbitrari nel contesto dell’applicazione client. AWS indica che non esistono workaround temporanei e richiede l’aggiornamento alla versione 1.3.9 per risolvere il problema. Inoltre, raccomanda di applicare le stesse correzioni a eventuali fork o versioni derivate del codice.
Impatto operativo per aziende e infrastrutture cloud
L’allineamento temporale tra aggiornamenti CISA e bollettini AWS evidenzia una fase di forte attività nel panorama delle vulnerabilità sfruttate attivamente. Le organizzazioni devono gestire simultaneamente rischi legati a software on-premise, componenti open source e servizi cloud. Le vulnerabilità inserite nel catalogo KEV rappresentano priorità assolute, poiché già integrate in campagne di attacco reali. Questo implica che i tempi di risposta devono essere ridotti al minimo. Nel caso di AWS, le vulnerabilità colpiscono componenti utilizzati in pipeline di sviluppo e integrazioni AI, aumentando il rischio di compromissioni a catena. Le organizzazioni devono quindi verificare non solo le versioni in uso ma anche eventuali dipendenze indirette. Una gestione efficace richiede visibilità completa sugli asset, automazione del patching e integrazione continua dei feed di intelligence.
Il ruolo del KEV Catalog nella strategia di difesa
Il catalogo Known Exploited Vulnerabilities di CISA rappresenta uno degli strumenti più rilevanti per la prioritizzazione delle patch. A differenza dei database generici di vulnerabilità, il KEV include solo falle con exploit attivi osservati in natura. Questo lo rende particolarmente utile per le organizzazioni che devono allocare risorse limitate nella gestione delle vulnerabilità. L’inclusione di una CVE nel KEV indica un rischio immediato e concreto. La direttiva BOD 22-01 obbliga le agenzie federali a intervenire entro scadenze precise, ma il modello viene sempre più adottato anche nel settore privato come riferimento operativo. L’aggiornamento continuo del catalogo riflette la rapidità con cui gli attaccanti integrano nuove vulnerabilità nelle proprie campagne.
Evoluzione delle minacce e necessità di risposta rapida
Le vulnerabilità analizzate mostrano una tendenza chiara: gli attaccanti privilegiano tecniche che combinano exploit noti con contesti ad alto valore, come infrastrutture cloud e componenti di sviluppo. La presenza di vulnerabilità in strumenti legati all’intelligenza artificiale e al cloud computing indica un ampliamento della superficie di attacco verso ambienti emergenti. Allo stesso tempo, l’assenza di exploit complessi in alcuni casi dimostra che configurazioni errate o controlli insufficienti possono essere sufficienti per compromettere sistemi critici. Le organizzazioni devono quindi adottare un approccio proattivo basato su monitoraggio continuo, aggiornamenti tempestivi e formazione del personale tecnico. Il ciclo di vita delle vulnerabilità si sta accorciando e richiede una risposta sempre più rapida e coordinata.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
