Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Allarme Cybersecurity: zero-day su firewall e endpoint aprono la strada a RAT Linux e supply chain avvelenate
Nel recap settimanale di cybersecurity emergono alcuni trend chiari che ogni azienda dovrebbe tenere sotto controllo se vuole ridurre il rischio di compromissione. Il primo e piu urgente riguarda le vulnerabilita sfruttate attivamente su prodotti di sicurezza e gestione endpoint.
Una falla in Ivanti Endpoint Manager Mobile consente a utenti autenticati con privilegi amministrativi di eseguire codice da remoto, mentre una vulnerabilita zero day su PAN OS puo permettere a un attaccante non autenticato di ottenere esecuzione di codice con privilegi root tramite il portale di autenticazione. Il dato piu allarmante e la grande esposizione di host raggiungibili da Internet, che rende questi bug appetibili per campagne su larga scala.
Sul fronte malware, cresce la sofisticazione degli impianti Linux. Un nuovo framework di tipo RAT modulare combina funzioni da rootkit a livello kernel, backdoor basate su PAM e tecniche di persistenza, con nomi di processo che imitano servizi legittimi. La componente piu pericolosa e la rete peer to peer a maglia, che riduce la dipendenza da server centrali e rende piu difficile interrompere la campagna. Questo scenario rafforza l idea che Linux e cloud non siano piu solo infrastruttura, ma un obiettivo primario per accesso persistente e supply chain.
Un altro segnale forte arriva dagli attacchi alla catena di fornitura software. Installer compromessi e download avvelenati continuano a distribuire loader e RAT selettivi, spesso dopo una fase iniziale di raccolta dati per profilare le vittime e decidere dove rilasciare payload piu avanzati. In parallelo, i criminali abusano sempre piu di strumenti RMM legittimi per ottenere controllo remoto senza distribuire malware tradizionale, confondendo il rilevamento e aumentando la persistenza.
Infine, sul web tornano campagne che usano backdoor WebSocket in JavaScript per iniettare skimmer di carte di credito su siti compromessi, con payload offuscati e consegna dinamica dal server di comando e controllo. In questo contesto, la priorita operativa resta la gestione patch rapida, la riduzione della superficie esposta e il monitoraggio di comportamenti anomali su endpoint, firewall e applicazioni web.