CISA blinda il catalogo KEV, exploit attivi su Cisco e la maxi-campagna FortiBleed fa strage di credenziali

La gestione delle vulnerabilità torna al centro dell’attenzione dopo una serie di eventi che coinvolgono infrastrutture di rete, sistemi di comunicazione aziendale, firewall perimetrali e strumenti utilizzati dagli sviluppatori. La Cybersecurity and Infrastructure Security Agency (CISA) ha aggiornato il proprio catalogo delle Known Exploited Vulnerabilities (KEV) inserendo quattro nuove falle già sfruttate attivamente dagli attaccanti. Parallelamente emergono campagne di attacco contro Cisco Unified Communications Manager, una massiccia operazione di raccolta credenziali denominata FortiBleed che coinvolge dispositivi FortiGate e due vulnerabilità corrette da AWS nei componenti Language Servers for AWS e Amazon Q Developer. Il quadro evidenzia ancora una volta come la mancata applicazione tempestiva delle patch continui a rappresentare uno dei principali fattori di rischio per organizzazioni pubbliche e private.

Le quattro vulnerabilità aggiunte da CISA al catalogo KEV

La CISA ha inserito nel catalogo KEV la vulnerabilità CVE-2025-67038 che interessa i dispositivi Lantronix EDS5000. La falla consente l’iniezione di codice e risulta già sfruttata in attacchi reali, permettendo agli aggressori di assumere il controllo dei sistemi vulnerabili. Contestualmente l’agenzia statunitense ha aggiunto tre vulnerabilità che colpiscono UniFi OS di Ubiquiti. La CVE-2026-34908 è legata a un controllo degli accessi improprio, la CVE-2026-34909 permette una path traversal e la CVE-2026-34910 deriva da una validazione dell’input insufficiente. Tutte e tre le falle risultano coinvolte in attività di sfruttamento attivo osservate sul campo. L’inclusione nel catalogo KEV rappresenta un indicatore importante per le organizzazioni poiché segnala vulnerabilità per le quali esistono prove concrete di compromissione.

• CVE-2025-67038 Lantronix EDS5000 Code Injection Vulnerability
• CVE-2026-34908 Ubiquiti UniFi OS Improper Access Control Vulnerability
• CVE-2026-34909 Ubiquiti UniFi OS Path Traversal Vulnerability
• CVE-2026-34910 Ubiquiti UniFi OS Improper Input Validation Vulnerability

La direttiva BOD 26-04 impone alle agenzie federali statunitensi di correggere rapidamente le vulnerabilità presenti nel catalogo quando interessano asset esposti a internet e in grado di concedere privilegi elevati agli attaccanti. Oltre all’applicazione delle patch, la CISA raccomanda di verificare eventuali indicatori di compromissione precedenti, poiché la semplice correzione non elimina automaticamente la presenza di accessi persistenti o attività malevole già avvenute.

Exploit attivi sulla CVE-2026-20230 in Cisco Unified CM

Tra le minacce più rilevanti emerse negli ultimi giorni figura la CVE-2026-20230, una vulnerabilità che colpisce Cisco Unified Communications Manager (Unified CM) e Cisco Unified Communications Manager Session Management Edition (Unified CM SME). La falla è classificata come Server-Side Request Forgery (SSRF) e presenta un punteggio CVSS 8.6, derivando da una validazione impropria dell’input all’interno di specifiche richieste HTTP. Un attaccante remoto non autenticato può sfruttare la vulnerabilità inviando richieste appositamente costruite per ottenere la scrittura di file arbitrari sul sistema operativo sottostante. Una volta ottenuto questo accesso iniziale, l’attore malevolo può utilizzare i file creati per eseguire escalation dei privilegi fino al livello root. L’attacco coinvolge il componente Webdialer, che deve risultare abilitato affinché lo sfruttamento abbia successo. Sebbene il servizio sia disattivato per impostazione predefinita, numerose installazioni lo mantengono attivo per esigenze operative. I ricercatori di Defused Cyber hanno osservato attività di sfruttamento reale provenienti da un singolo indirizzo IP che utilizza payload file:// per verificare la presenza di sistemi vulnerabili. Gli attaccanti sembrano attualmente impegnati in una fase di ricognizione, finalizzata a identificare dispositivi esposti prima di procedere con attività più aggressive. La pubblicazione di un proof-of-concept da parte di SSD Secure Disclosure ha ulteriormente aumentato il rischio poiché dimostra l’intera catena di compromissione che porta dalla scrittura di file all’esecuzione remota di codice. Cisco ha già rilasciato aggiornamenti correttivi per le versioni 14SU6 e 15SU5, mentre le organizzazioni impossibilitate ad aggiornare immediatamente dovrebbero disabilitare il servizio WebDialer come misura temporanea di mitigazione.

La campagna FortiBleed colpisce centinaia di migliaia di firewall FortiGate

La campagna denominata FortiBleed rappresenta una delle più vaste operazioni di raccolta credenziali osservate nel 2026. Attiva almeno da febbraio, ha preso di mira oltre 430.000 firewall FortiGate esposti su internet, generando un archivio di oltre 110 milioni di credenziali. Tra i dati raccolti figurano circa 14,8 milioni di credenziali RADIUS, oltre 924.000 hash NTLM, circa 130.000 hash Kerberos e quasi 89 milioni di token di autenticazione MySQL. Gli operatori della campagna sono identificati come broker di accesso iniziale di lingua russa motivati principalmente dal profitto economico. A differenza di molte operazioni avanzate, FortiBleed non utilizza vulnerabilità zero-day ma si basa sul riutilizzo di credenziali già compromesse e su attacchi brute-force contro sistemi privi di autenticazione multifattore (MFA). Le vittime principali appartengono al segmento delle piccole e medie imprese, con una particolare concentrazione nei settori dei servizi IT negli Stati Uniti e in India. L’operazione segue una metodologia estremamente strutturata che parte dalla ricognizione tramite strumenti come Masscan e Shodan, prosegue con attività di credential stuffing e culmina nell’accesso amministrativo ai dispositivi FortiGate. Una volta ottenuto il controllo del firewall, gli aggressori distribuiscono FortigateSniffer, uno strumento sviluppato in Golang che sfrutta funzionalità diagnostiche integrate di FortiOS per intercettare traffico di autenticazione appartenente a ventiquattro protocolli differenti ed anche la PA italiana è a rischio.

FortigateSniffer e il ciclo industriale del furto di credenziali

L’efficacia della campagna FortiBleed deriva soprattutto dall’utilizzo di FortigateSniffer, uno strumento progettato per operare in modo discreto e continuativo. Il malware sfrutta i meccanismi diagnostici già presenti in FortiOS per catturare credenziali in transito senza introdurre modifiche evidenti alla configurazione dei dispositivi compromessi. Gli operatori applicano filtri geografici e limitano l’attività alle ore lavorative di Mosca, riducendo il rischio di rilevamento. Una volta raccolti gli hash e le credenziali, il materiale viene trasferito verso infrastrutture dedicate che utilizzano piattaforme come Hashmat, Hashtopolis e un bot Telegram denominato HASHBOT per orchestrare operazioni di cracking automatizzato con Hashcat. I dati ottenuti vengono successivamente impiegati per attività di enumerazione Active Directory, validazione di account Kerberos, accesso a condivisioni SMB ed espansione laterale all’interno delle reti aziendali. Fortinet ha confermato che la maggior parte delle compromissioni deriva dall’utilizzo di password deboli o già esposte in precedenti incidenti di sicurezza. L’assenza di MFA continua a rappresentare uno dei fattori che favoriscono maggiormente il successo degli attacchi. La scala dell’operazione evidenzia come il furto di credenziali rimanga uno degli strumenti più redditizi per i gruppi criminali, soprattutto quando viene industrializzato attraverso automazione e infrastrutture dedicate.

AWS corregge vulnerabilità nei Language Servers e in Amazon Q Developer

Parallelamente agli eventi che coinvolgono CISA, Cisco e Fortinet, anche AWS ha rilasciato aggiornamenti di sicurezza per correggere due vulnerabilità nei Language Servers for AWS e nei plugin Amazon Q Developer. La prima, identificata come CVE-2026-12957, riguarda un’applicazione impropria dei confini di trust. Un utente che apre uno spazio di lavoro preparato in modo malevolo può causare l’esecuzione automatica di comandi contenuti nei file di configurazione del progetto. La seconda, CVE-2026-12958, deriva invece dall’assenza di validazione adeguata dei symlink, consentendo l’accesso a file situati al di fuori del perimetro previsto dello spazio di lavoro. Entrambe le vulnerabilità interessano le versioni dei Language Servers for AWS precedenti alla 1.69.0 e coinvolgono anche i plugin Amazon Q Developer per Visual Studio Code, JetBrains, Eclipse e AWS Toolkit. AWS ha corretto i problemi nella release 1.69.0 e ha invitato sviluppatori e amministratori a procedere immediatamente con l’aggiornamento poiché non esistono mitigazioni alternative efficaci. Le vulnerabilità assumono particolare rilevanza nel contesto della sicurezza della supply chain software perché consentono l’esecuzione di codice o l’accesso a dati sensibili semplicemente attraverso l’apertura di progetti appositamente predisposti. Per team DevOps e sviluppatori che utilizzano quotidianamente questi strumenti, mantenere aggiornati plugin e componenti dell’ambiente di sviluppo diventa essenziale quanto applicare patch ai sistemi di produzione.

Vulnerabilità sfruttate e credenziali rubate confermano la centralità del patch management

L’aggiornamento del catalogo KEV, gli exploit attivi contro Cisco Unified CM, la campagna FortiBleed e le correzioni rilasciate da AWS mostrano una tendenza comune: gli attaccanti continuano a ottenere risultati sfruttando vulnerabilità note, configurazioni deboli e credenziali riutilizzate. In molti casi non sono necessari zero-day sofisticati o tecniche particolarmente avanzate. La combinazione di sistemi non aggiornati, servizi esposti e assenza di controlli come l’autenticazione multifattore offre ancora opportunità estremamente redditizie ai gruppi criminali. Le organizzazioni dovrebbero considerare il catalogo KEV come uno strumento prioritario per definire le attività di remediation, monitorare costantemente i sistemi di comunicazione e accesso remoto, verificare l’utilizzo di MFA su dispositivi perimetrali e mantenere aggiornati gli strumenti di sviluppo utilizzati dagli sviluppatori. La velocità con cui una vulnerabilità passa dalla divulgazione allo sfruttamento reale continua infatti a ridursi, trasformando il patch management in una delle principali linee di difesa contro compromissioni su larga scala.