Bollettino – CSIRT Toscana

Categoria: Bollettino
Pagina 1 di 5

30 Aprile 2026

SAP: rilevata distribuzione di versione malevola tramite attacco alla Supply Chain (BL01/260430/CSIRT-ITA)

Proseguono le campagne di compromissione che interessano le supply chain, prendendo di mira in questo contesto i componenti Cloud Application Programming Model di SAP. L’obiettivo dell’attacco consiste nella distribuzione di una versione malevola dei pacchetti attraverso i canali ufficiali di distribuzione e nella conseguente esfiltrazione di credenziali dai sistemi interessati. L’incidente si inserisce nel contesto delle recenti compromissioni delle supply chain inerenti a Bitwarden CLI, Trivy, Checkmarx e LiteLLM, come indicato nei Bollettini riportati nella sezione Correlati.

Categorie

Bollettino

Argomenti

NPM SAP supply chain attack

24 Aprile 2026

Bitwarden CLI: rilevata distribuzione di versione malevola tramite attacco alla Supply Chain (BL01/260424/CSIRT-ITA)

Proseguono le campagne di compromissione che interessano le supply chain, prendendo di mira in questo contesto il componente Bitwarden CLI. L’obiettivo dell’attacco consiste nella distribuzione di una versione malevola del pacchetto attraverso i canali ufficiali di distribuzione e nella conseguente esfiltrazione di credenziali dai sistemi interessati. L’incidente si inserisce nel contesto delle recenti compromissione delle supply chain inerenti ai progetti Trivy, Checkmarx e LiteLLM, come riportato nel BollettinoBL01/260327/CSIRT-ITA.

Categorie

Bollettino

Argomenti

Bitwarden CLI NPM supply chain attack

16 Aprile 2026

Esposizione di servizi di accesso remoto VNC: rischi e mitigazioni (BL01/260416/CSIRT-ITA)

Nell'ambito delle proprie attività, volte ad individuare fattori di rischio a cui è esposto lo spazio digitale nazionale, lo CSIRT Italia ha rilevato un incremento delle attività ostili, spesso condotte da gruppi hacktivisti, indirizzate verso apparati SCADA e IoT esposti impropriamente tramite servizi di accesso remoto non adeguatamente protetti, quali ad esempio instanze VNC.

Categorie

Bollettino

Argomenti

VNC

14 Aprile 2026

Akira: campagne di sfruttamento sistematico di vulnerabilità perimetrali e accessi VPN (BL01/260413/CSIRT-ITA)

Da inizio 2026 ad oggi questo CSIRT ha registrato ,nel contesto nazionale, un aumento significativo di attacchi ransomware attribuibili al gruppo AKIRA, con 13 incidenti confermati, i cui principali target sono identificati tra le piccole e medie imprese.

Categorie

Bollettino

Argomenti

Akira Exploited PoC RaaS

7 Aprile 2026

Device Code Grant: campagna mirata all’ottenimento di token OAuth (BL01/260407/CSIRT-ITA)

È stata recentemente rilevata una campagna di phishing di tipo “Device Code Grant” volta all’ottenimento di token OAuth delle potenziali vittime esortandole, tramite tecniche di ingegneria sociale, a visionare un documento e seguire una presunta procedura di verifica del proprio account.

Categorie

Bollettino

Argomenti

Device Code Grant OAuth phishing

1 Aprile 2026

Supply Chain Attack: compromissione del pacchetto NPM Axios (BL01/260331/CSIRT-ITA)

È stata recentemente rilevata la compromissione della supply chain che ha interessatoAxios, libreria JavaScript largamente utilizzata che fa da client HTTP per effettuare richieste verso API e servizi web. L'attacco, dovuto alla compromissione (hijacking) dell'account di un’utenzamaintainer, ha permesso la pubblicazione sul registro NPM di versioni opportunamente predisposte, che integravano un malware dropper. Tali versioni sono progettate per installare unRemote Access Trojan(RAT) su sistemi Windows, macOS e Linux.

Categorie

Bollettino

Argomenti

Axios supply chain attack

27 Marzo 2026

Attacco Multistadio alla Supply Chain CI/CD e Iniezione di Codice Malevolo (BL01/260327/CSIRT-ITA)

È in corso un'estesa campagna di compromissione della supply chain software di Aqua Security perpetrata dal gruppo criminale TeamPCP. L'attacco portato alla compromissione di strumenti di sicurezza e infrastrutture di sviluppo distribuiti a livello globale, inclusi Aqua Trivy, Checkmarx KICS e BerriAI LiteLLM. L'obiettivo dell'attacco consiste nell’esfiltrazione su larga scala di credenziali cloud, chiavi SSH e token di accesso direttamente dagli ambienti di Continuous Integration e Continuous Deployment (CI/CD).

Categorie

Bollettino

Argomenti

Aqua Trivy BerriAI LiteLLM Checkmarx KICS Commerce Exploitation supply chain attack TeamPCP

20 Marzo 2026

Compromissione di piattaforme di Endpoint Management e hardening delle infrastrutture cloud (BL01/260319/CSIRT-ITA)

A seguito di una serie di attacchi informatici che hanno interessato organizzazioni di rilievo internazionale - in particolare nel settore sanitario - si segnala una recrudescenza di campagne volte alla compromissione di piattaforme diEndpoint Management(comeMicrosoft Intune). Gli attori malevoli non utilizzano malware tradizionali, ma sfruttano delle funzionalità di amministrazione legittime per eseguire la cancellazione massiva dei dati (wiping) e l'esfiltrazione di informazioni sensibili.

Categorie

Bollettino

Argomenti

Hardening Incident Intune Microsoft

18 Marzo 2026

Vulnerabilità in GNU Inetutils telnetd e rischi strutturali del protocollo Telnet (BL01/260318/CSIRT-ITA)

Disponibile unProof of Concept(PoC) per la vulnerabilità CVE-2026-32746, di gravità "critica", che interessa il demonetelnetdappartenente alla suite di utility di rete GNU Inetutils. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato remoto non autenticato di eseguire codice arbitrario sui sistemi target.

Categorie

Bollettino

Argomenti

GNU Inetutils PoC Telnet

27 Febbraio 2026

SolarWinds Web Help Desk: sfruttamento attivo di vulnerabilità (BL01/260212/CSIRT-ITA)

Ricercatori di sicurezza di Huntress hanno recentemente analizzato attività di post exploitation derivanti dallo sfruttamento delle vulnerabilità CVE-2025-40551 e CVE-2025-26399, che interessano il prodottoSolarWinds Web Help Desk.

Categorie

Bollettino

Argomenti

Exploited PoC SolarWinds Web Help Desk WHD

24 Febbraio 2026

Rilevate attività malevole al fine di ottenere privilegi elevati e persistenza sui sistemi (BL01/260224/CSIRT-ITA)

Questo CSIRT ha recentemente osservato attività malevole volte a sfruttare vulnerabilità note presenti in prodotti Roundcube non adeguatamente aggiornati. Tali attività, perpetrate ai danni di organizzazioni localizzate sul territorio nazionale, hanno come obiettivo l’ottenimento di persistenza, di privilegi elevati e la possibilità di effettuare azioni di ricognizione sulle infrastrutture interessate.

Categorie

Bollettino

Argomenti

Exploited fscan GodPotato PoC reGorg RoundCube

17 Febbraio 2026

Thread Hijacking: rilevate attività malevole che utilizzano tecniche di Business Email Compromise (BL01/260217/CSIRT-ITA)

Questo CSIRT ha recentemente rilevato il riacutizzarsi di una campagna malevola - come già trattato da questo CSIRT nell’ambito dell’AL03/251211/CSIRT-ITA- mirata verso organizzazioni situate sul territorio nazionale. Gli attaccanti hanno provveduto alla compromissione di caselle di posta elettronica aziendali e alla creazione di domini sosia per condurre frodi finanziarie di tipoBusiness Email Compromise(BEC).

Categorie

Bollettino

Argomenti

BEC phishing SpearPhishing ThreadHijacking

Categoria: Bollettino Pagina 1 di 5

Categorie

Argomenti

Categorie

Argomenti

Categorie

Argomenti

Categorie

Argomenti

Categorie

Argomenti

Categorie

Argomenti

Categorie

Argomenti

Categorie

Argomenti

Categorie

Argomenti

Categorie

Argomenti

Categorie

Argomenti

Categorie

Argomenti

Categoria: Bollettino
Pagina 1 di 5