Il mese di giugno 2026 si conferma particolarmente intenso sul fronte della sicurezza informatica. Diversi vendor hanno pubblicato aggiornamenti urgenti per correggere vulnerabilità e problemi che coinvolgono infrastrutture enterprise, dispositivi consumer e piattaforme web. Microsoft ha risolto un bug che impediva l’installazione delle patch di sicurezza su Windows Server 2016, mentre Apple ha corretto una vulnerabilità Bluetooth nelle Beats Studio Buds che poteva consentire attività di intercettazione nelle vicinanze del bersaglio. Sul fronte delle infrastrutture Internet, F5 ha distribuito aggiornamenti fuori banda per correggere vulnerabilità critiche in NGINX potenzialmente sfruttabili per remote code execution e denial of service. Parallelamente, il settore WordPress è stato colpito da un nuovo episodio di supply chain attack, con la compromissione di plugin premium distribuiti attraverso il sistema di aggiornamento ufficiale di ShapedPlugin. L’insieme di questi eventi evidenzia ancora una volta come la rapidità nell’applicazione delle patch rappresenti uno degli strumenti più efficaci per ridurre il rischio operativo.
Cosa leggere
Microsoft risolve il blocco degli aggiornamenti su Windows Server 2016
Microsoft ha corretto un problema che impediva l’installazione del pacchetto di sicurezza KB5094122 su sistemi Windows Server 2016 non completamente aggiornati. Il malfunzionamento interessava i server che non avevano precedentemente installato il pacchetto KB5087537 distribuito nel mese precedente. Durante l’installazione, gli amministratori visualizzavano l’errore 0x80070002, associato al codice ERROR_FILE_NOT_FOUND, che impediva il completamento dell’aggiornamento di giugno. Microsoft ha identificato il problema in una dipendenza non gestita correttamente all’interno del processo di installazione e ha distribuito una correzione attraverso i normali canali di aggiornamento. Dopo l’intervento, il pacchetto KB5094122 può essere installato correttamente anche su sistemi che non avevano ricevuto tutti gli aggiornamenti intermedi previsti.
Le difficoltà dei sistemi legacy continuano a emergere
L’incidente rappresenta l’ennesimo esempio delle complessità associate alla gestione dei sistemi legacy. Già nel maggio 2026 Microsoft aveva dovuto affrontare problemi simili quando alcuni aggiornamenti di Windows 11 non riuscivano a completarsi a causa dello spazio insufficiente nella partizione EFI System. Sebbene il caso di Windows Server 2016 sia stato risolto rapidamente, evidenzia quanto sia importante mantenere una catena di aggiornamenti coerente, soprattutto negli ambienti aziendali. I server che rimangono indietro rispetto ai cicli di aggiornamento possono infatti incontrare problemi di compatibilità che finiscono per ritardare l’applicazione delle patch di sicurezza più recenti, aumentando il periodo di esposizione a vulnerabilità note.
Apple corregge una vulnerabilità critica nei Beats Studio Buds
Apple ha distribuito il firmware 1B211 per correggere una grave vulnerabilità identificata come CVE-2025-20701 che interessa gli Beats Studio Buds. Il problema coinvolgeva il chipset Airoha e il sottosistema Bluetooth BR/EDR, consentendo a un aggressore nelle vicinanze fisiche del dispositivo di stabilire una connessione non autorizzata e sfruttare il microfono degli auricolari per intercettare conversazioni. L’attacco non richiedeva che le cuffie fossero accoppiate al telefono della vittima e poteva essere avviato semplicemente trovandosi nel raggio operativo della connessione Bluetooth. La vulnerabilità è stata classificata ad alta gravità poiché consentiva di compromettere direttamente la riservatezza delle comunicazioni dell’utente.
Il difetto permetteva accesso a chiamate e memoria del dispositivo
Secondo le informazioni tecniche pubblicate, la vulnerabilità derivava da una mancanza di autenticazione nel protocollo Bluetooth implementato dal chipset. Un attaccante poteva avviare una connessione e utilizzare il profilo Hands-Free Profile (HFP) per interagire con il telefono associato. La catena di attacco consentiva di leggere porzioni della memoria RAM e della memoria flash, recuperare cronologia delle chiamate, contatti e altre informazioni sensibili. In combinazione con ulteriori vulnerabilità già note, l’aggressore avrebbe potuto persino effettuare chiamate arbitrarie sfruttando il dispositivo compromesso. La problematica era stata presentata con una proof-of-concept alla conferenza TROOPERS circa un anno prima della distribuzione ufficiale della patch.
Come verificare l’aggiornamento dei Beats Studio Buds
Apple distribuisce automaticamente il firmware aggiornato quando gli auricolari si trovano nel raggio Bluetooth di un dispositivo compatibile come iPhone, iPad o Mac. Gli utenti possono verificare la versione installata accedendo alle impostazioni Bluetooth del dispositivo e selezionando la scheda informativa associata agli auricolari. La rapida installazione del firmware è particolarmente importante considerando la natura della vulnerabilità e la possibilità di sfruttamento da parte di attaccanti presenti nelle vicinanze della vittima.
Attacco supply chain colpisce tre plugin premium WordPress
Uno degli incidenti più gravi riguarda il mondo WordPress. Un attacco supply chain ha compromesso il processo di aggiornamento di tre plugin premium sviluppati da ShapedPlugin. Gli aggressori sono riusciti a infiltrarsi nella catena di distribuzione e a modificare gli aggiornamenti ufficiali destinati ai clienti paganti. I pacchetti compromessi contenevano un malware denominato LicenseLoader.php, progettato per attivarsi automaticamente quando un amministratore accedeva alla dashboard del sito WordPress. L’operazione dimostra ancora una volta quanto gli attacchi alla supply chain siano diventati una delle tecniche preferite dai cybercriminali per ottenere accesso a un elevato numero di sistemi attraverso fornitori legittimi.
Il malware installava una backdoor nascosta
Dopo l’attivazione, il loader contattava un server di command and control (C2) e scaricava un secondo payload camuffato da plugin WooCommerce. Il malware veniva installato in modo silenzioso e successivamente il loader si autoeliminava per ridurre le possibilità di rilevamento. Il componente malevolo risultante funzionava come una vera e propria backdoor, consentendo agli aggressori di mantenere accesso persistente ai siti compromessi. Questa tecnica rende particolarmente difficile individuare l’origine dell’infezione, poiché il file iniziale scompare dopo aver completato la fase di installazione.
Credenziali WordPress e dati WooCommerce tra gli obiettivi
Le capacità del malware erano estremamente ampie. Gli aggressori potevano sottrarre credenziali di accesso WordPress, segreti utilizzati per l’autenticazione a due fattori (2FA), chiavi presenti nel file wp-config.php, credenziali SMTP e dati relativi agli ordini WooCommerce generati negli ultimi tre mesi. Inoltre, il malware forniva la possibilità di scrivere file arbitrari sul server, consentendo l’installazione di ulteriori payload o la modifica del sito compromesso. I plugin interessati risultano essere Product Slider Pro nelle versioni precedenti alla 3.5.4, Real Testimonials Pro versione 3.2.5 e Smart Post Show Pro nelle versioni precedenti alla 4.0.2. L’iniezione del codice malevolo sarebbe avvenuta il 21 maggio 2026, mentre le prime segnalazioni pubbliche sono emerse il 10 giugno.
ShapedPlugin invita gli utenti a verificare eventuali compromissioni
Dopo la scoperta dell’incidente, ShapedPlugin ha pubblicato versioni corrette dei plugin e invitato tutti gli utenti ad aggiornare immediatamente. Gli amministratori che individuano plugin WooCommerce sospetti o file sconosciuti devono considerare il sito potenzialmente compromesso. Le raccomandazioni includono la reimpostazione di tutte le password amministrative, la rigenerazione dei segreti 2FA, la verifica degli utenti registrati e il controllo completo dei file presenti sul server. Data la natura dell’attacco, una semplice rimozione del plugin compromesso potrebbe non essere sufficiente a eliminare tutte le tracce lasciate dagli aggressori.
F5 distribuisce aggiornamenti urgenti per NGINX
Tra gli aggiornamenti più critici del mese figurano quelli pubblicati da F5 per l’ecosistema NGINX. L’azienda ha rilasciato patch out-of-band per correggere vulnerabilità che interessano sia le versioni commerciali sia quelle open source della piattaforma. Le falle principali sono CVE-2026-42530 e CVE-2026-42055, entrambe classificate come critiche. La prima interessa il modulo ngx_http_v3_module e deriva da un difetto di tipo use-after-free che può consentire a un attaccante remoto non autenticato di provocare denial of service o, in determinate condizioni, ottenere remote code execution. La seconda colpisce i moduli ngx_http_proxy_v2_module e ngx_http_grpc_module, sfruttando un heap-based buffer overflow che può portare a conseguenze simili.
Vulnerabilità che coinvolgono prodotti enterprise e open source
Le vulnerabilità interessano una vasta gamma di prodotti, tra cui NGINX Plus, NGINX Open Source, NGINX Gateway Fabric e NGINX Instance Manager. Accanto alle due falle critiche sono state corrette anche CVE-2026-11311 e CVE-2026-50107, entrambe ad alta gravità e capaci di consentire a utenti autenticati di iniettare direttive arbitrarie nella configurazione dei sistemi. F5 ha fornito anche misure temporanee di mitigazione per gli ambienti che non possono essere aggiornati immediatamente. Per ridurre il rischio associato a CVE-2026-42530, viene raccomandata la disabilitazione di HTTP/3 attraverso la rimozione del parametro quic dalle direttive listen. Per mitigare CVE-2026-42055, invece, è necessario rimuovere la direttiva ignore_invalid_headers off e limitare la dimensione di large_client_header_buffers a meno di due megabyte. Tuttavia, F5 sottolinea che l’unica soluzione realmente efficace resta l’installazione delle patch ufficiali.
Aggiornamenti e verifiche restano la prima linea di difesa
Gli episodi registrati nel mese di giugno dimostrano come la sicurezza informatica continui a dipendere dalla capacità di applicare rapidamente aggiornamenti e monitorare costantemente l’infrastruttura digitale. Gli amministratori di Windows Server 2016 devono verificare la corretta installazione delle patch cumulative, gli utenti dei Beats Studio Buds dovrebbero assicurarsi di utilizzare il firmware più recente e i gestori di siti WordPress che utilizzano i plugin coinvolti devono effettuare controlli approfonditi sui propri sistemi. Dalle vulnerabilità Bluetooth ai problemi di aggiornamento dei sistemi legacy, fino agli attacchi alla supply chain software, il panorama delle minacce continua a evolvere e richiede un approccio sempre più proattivo alla gestione della sicurezza.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
