Nel panorama della cybersecurity le minacce cambiano ritmo ogni settimana e i segnali più importanti arrivano spesso da dettagli apparentemente piccoli. Tra vulnerabilità sfruttate, campagne di phishing e errori di configurazione, il filo conduttore resta la velocità con cui un attaccante trasforma un punto debole in accesso persistente, furto di dati o interruzione dei servizi.
Un caso emblematico riguarda RustFS, dove una vulnerabilità critica nasce dall’uso di un token statico hardcoded per l’autenticazione gRPC. Quando un segreto è esposto nel repository e valido per tutte le installazioni, basta raggiungere la porta gRPC per eseguire operazioni privilegiate come distruzione dei dati, modifica delle policy e cambiamenti di configurazione del cluster. La lezione per la sicurezza IT è chiara: eliminare credenziali statiche, introdurre rotazione dei token e separare i segreti dal codice sorgente.
Sul fronte delle vulnerabilità note, l’exploit di GeoServer associato a CVE-2024-36401 viene utilizzato per distribuire miner di criptovalute come XMRig tramite comandi PowerShell. In scenari simili gli attaccanti automatizzano la scansione di servizi esposti e, una volta ottenuto l’accesso, possono installare strumenti aggiuntivi come NetCat o componenti per il download di ulteriori payload. Per la difesa contano patch tempestive, riduzione della superficie esposta e monitoraggio dei processi anomali.
Un altro tema chiave è la crescita del catalogo KEV, che raccoglie vulnerabilità sfruttate attivamente. L’aumento delle voci evidenzia quanto sia rischioso rimandare gli aggiornamenti, soprattutto per vendor e componenti diffusi in infrastrutture critiche e ambienti enterprise.
Le minacce colpiscono anche l’ecosistema AI. In Open WebUI una falla legata alle Direct Connections può portare a furto di token e, con permessi specifici, a remote code execution. Qui il rischio nasce dalla fiducia eccessiva tra server non affidabili e sessione del browser, con esecuzione di codice lato client e accesso agli asset dell’account come chat, documenti e chiavi API.
Parallelamente aumentano i kit phishing-as-a-service, che abbassano la barriera di ingresso e rendono più frequenti campagne ad alto volume con tecniche di offuscamento URL, QR malevoli e bypass MFA. Anche la sottrazione di credenziali da infostealer e la mancanza di MFA su servizi cloud di file sharing possono trasformarsi rapidamente in data leak.
