Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Supply Chain sotto Assedio: Exchange e Cisco sfruttati, pacchetti npm e modelli AI diffondono stealer
La settimana della cybersecurity si apre con un tema ricorrente che sta diventando sempre più evidente: la fiducia implicita nei componenti software e nei canali di distribuzione è un punto debole strutturale. Un singolo pacchetto compromesso o una chiave esposta possono trasformarsi rapidamente in accesso al cloud e poi in incidente in produzione.
In questo scenario gli attaccanti si muovono con grande velocità, anche grazie all’uso crescente di strumenti basati su intelligenza artificiale che accelerano scoperta e sfruttamento delle vulnerabilità.
Vulnerabilità attivamente sfruttata: Microsoft Exchange Server on-premise
Tra gli episodi più rilevanti spicca una vulnerabilità su Microsoft Exchange Server on-premise attivamente sfruttata in rete. Il difetto, identificato come CVE 2026 42897, è classificato come spoofing e nasce da un problema di cross-site scripting. In attesa di una patch definitiva, viene indicata una mitigazione temporanea tramite il servizio di emergenza dedicato. Il punto critico per le aziende è che l’exploit è già in circolazione e la visibilità su attori, bersagli e impatto reale resta limitata, rendendo prioritario intervenire subito su sistemi esposti.
Bypass di autenticazione: Cisco Catalyst SD-WAN
Sul fronte infrastrutturale, un bypass di autenticazione nel controller Cisco Catalyst SD-WAN, CVE 2026 20182, risulta sfruttato da un attore avanzato con azioni post-compromissione orientate alla persistenza. Tra le tecniche osservate figurano aggiunta di chiavi SSH, modifiche di configurazione e tentativi di escalation a root. I controller di rete diventano obiettivi ideali per il pre-posizionamento, perché si trovano al centro di relazioni di fiducia raramente messe in discussione.
Pressione sulla supply chain open source: pacchetti npm
Continua inoltre la pressione sulla supply chain open source. Campagne in stile worm hanno colpito pacchetti npm diffusi, con l’obiettivo di distribuire stealer e rubare credenziali, chiavi API e segreti. Questi dati possono poi essere riutilizzati per l’accesso a infrastrutture cloud o rivenduti come accesso iniziale per attacchi successivi.
Nuovo rischio: registri pubblici di modelli AI
Infine emerge un nuovo rischio legato ai registri pubblici di modelli AI: un repository falso su una piattaforma di modelli ha imitato un progetto legittimo e ha spinto utenti a eseguire script che installavano malware stealer. La sicurezza della supply chain dei modelli AI richiede controlli simili a quelli del software tradizionale, inclusa verifica del publisher e scansione di file sospetti.