Gli hacker sfruttano falle di Citrix NetScaler per violare infrastrutture critiche olandesi

Hacker hanno violato diverse organizzazioni di infrastrutture critiche nei Paesi Bassi sfruttando una falla di overflow di memoria in Citrix NetScaler ADC e Gateway (CVE-2025-6543), classificata come critica. Il National Cyber Security Centre olandese ha dichiarato che gli aggressori si sono infiltrati nelle reti all’inizio di maggio, settimane prima che Citrix divulgasse la vulnerabilità il 25 giugno. Utilizzando metodi sofisticati, gli intrusi hanno cancellato le prove per nascondere le proprie attività. A giugno è stata rivelata anche una falla critica simile (CVE-2025-5777).
Secondo i ricercatori, oltre 4.100 istanze NetScaler esposte su Internet rimangono vulnerabili alla CVE-2025-6543 e oltre 3.300 alla CVE-2025-5777 in tutto il mondo, con tentativi di sfruttamento rilevati per entrambe.
CISA ha aggiunto entrambe le falle al proprio catalogo delle Vulnerabilità Sfruttate Conosciute e sollecita una correzione immediata, avvertendo dei rischi simili all’ondata di attacchi “CitrixBleed” del 2023. Negli ultimi anni Citrix ha affrontato numerose divulgazioni di zero-day, sollevando preoccupazioni sulla potenziale portata di queste intrusioni.

Fortinet avverte di una falla critica in FortiSIEM con exploit attivo

Fortinet sollecita un aggiornamento immediato per risolvere una falla critica di injection di comandi remoti non autenticati in FortiSIEM, identificata come CVE-2025-25256 (CVSS 9.8). La vulnerabilità riguarda le versioni dalla 5.4 alla 7.3 e potrebbe consentire a un aggressore di eseguire codice arbitrario tramite richieste CLI appositamente create. Sebbene Fortinet non abbia confermato casi di sfruttamento zero-day, l’azienda avverte che codice exploit funzionante è già in circolazione.
FortiSIEM è ampiamente utilizzato da governi, grandi imprese, istituzioni finanziarie, fornitori sanitari e MSSP, rendendo la falla particolarmente ad alto rischio. Il rilevamento di una compromissione è difficile, poiché lo sfruttamento non lascia indicatori distintivi.
Le patch sono disponibili in FortiSIEM 7.3.2, 7.2.6, 7.1.8, 7.0.4 e 6.7.10, mentre le versioni dalla 5.4 alla 6.6 non riceveranno correzioni poiché non più supportate.
La divulgazione segue recenti picchi di attività malevola segnalati dai ricercatori, aumentando le preoccupazioni per un potenziale sfruttamento.

Microsoft corregge 107 falle, incluso uno zero-day in Windows Kerberos, negli aggiornamenti di agosto 2025

Il Patch Tuesday di agosto 2025 di Microsoft introduce correzioni per 107 falle di sicurezza, incluso uno zero-day divulgato pubblicamente in Windows Kerberos (CVE-2025-53779). La vulnerabilità, classificata come moderata, potrebbe consentire a un attaccante autenticato di ottenere privilegi di amministratore di dominio tramite traversal di percorso relativo. Scoperta da Yuval Gordon di Akamai, è stata resa pubblica a maggio.
L’aggiornamento di questo mese affronta 44 falle di elevazione di privilegi, 35 di esecuzione remota di codice, 18 di divulgazione di informazioni, quattro di denial-of-service e nove di spoofing. Tredici sono classificate come critiche, di cui nove consentono l’esecuzione remota di codice.
Altre correzioni rilevanti includono patch critiche per Windows NTLM, GDI+, DirectX, Microsoft Office e Windows Message Queuing. Microsoft esorta ad aggiornare tempestivamente, in particolare per le reti aziendali e i controller di dominio, per ridurre l’esposizione a potenziali exploit.
L’aggiornamento arriva dopo un mese di intensa attività di sicurezza da parte di diversi fornitori, con patch urgenti da Adobe, Cisco, Fortinet, Google e Trend Micro per vulnerabilità già sfruttate.

ShinyHunters diffonde 2,8 milioni di record Allianz Life in violazione Salesforce

Hacker hanno diffuso 2,8 milioni di record di clienti e partner rubati alla compagnia assicurativa statunitense Allianz Life in una violazione dei dati Salesforce avvenuta a luglio. L’attacco, parte di una più ampia campagna contro i sistemi Salesforce, è stato rivendicato da ShinyHunters, che ora affermano di operare insieme a Scattered Spider e ad ex membri di Lapsus$.
I database “Accounts” e “Contacts” sottratti contengono dettagli personali e professionali sensibili, tra cui nomi, indirizzi, numeri di telefono, date di nascita, numeri di identificazione fiscale, affiliazioni aziendali e informazioni sulle licenze.
La violazione è stata ottenuta tramite social engineering, inducendo dipendenti a collegare un’app OAuth malevola alle istanze Salesforce aziendali. Una volta connessi, gli aggressori hanno esfiltrato i dati e avanzato richieste di estorsione.
ShinyHunters, già collegati a gravi violazioni presso AT&T e Snowflake, stanno utilizzando un nuovo canale Telegram per provocare ricercatori di sicurezza e forze dell’ordine, rivendicando diversi attacchi di alto profilo. L’indagine di Allianz Life è ancora in corso.

La Nigeria registra la crescita più rapida di attacchi informatici al mondo, mentre l’Africa è la regione più bersagliata

La Nigeria ha registrato il più rapido aumento al mondo di attacchi informatici, con nuovi dati che mostrano l’Africa come la regione più presa di mira a livello globale. Il Global Threat Intelligence Report di Check Point di luglio 2025 rivela che le organizzazioni nigeriane hanno subito in media 6.101 attacchi settimanali, un aumento del 67% rispetto all’anno precedente, rendendo il Paese il più attaccato in Africa e tra i più vulnerabili a livello mondiale.
In tutto il continente, le organizzazioni hanno affrontato in media 3.374 attacchi settimanali, con Angola (3.731), Kenya (3.468) e Sudafrica (2.113) anch’essi fortemente colpiti. Telecomunicazioni, Pubblica Amministrazione e Servizi Finanziari sono stati i settori più attaccati, seguiti da Energia e Utilities.
A livello globale, le organizzazioni hanno registrato in media 1.947 attacchi settimanali a luglio, con un aumento del 5% rispetto all’anno precedente. L’istruzione è risultata il settore più colpito, con 4.210 attacchi settimanali, mentre l’agricoltura ha visto un aumento del 115%.
I casi di ransomware sono aumentati del 41% a 487 incidenti, guidati principalmente da Qilin, Akira e Play.

Norvegia: hacker russi hanno preso temporaneamente il controllo di una diga

La Norvegia ha ufficialmente attribuito a hacker russi un attacco informatico contro la diga idroelettrica di Bremanger avvenuto ad aprile, segnando la prima volta che il Paese accusa direttamente Mosca per un simile incidente. Il 7 aprile, gli aggressori hanno preso il controllo della struttura, aprendo una paratoia che ha rilasciato 500 litri d’acqua al secondo per quattro ore, prima che l’intrusione fosse rilevata e fermata. Non si sono registrati feriti.
Beate Gangaas, capo dell’agenzia di polizia di sicurezza PST norvegese, ha dichiarato che l’attacco faceva parte di un “cambiamento di attività” da parte di attori cyber filo-russi, volto a generare paura e caos. Ha avvertito che il “vicino russo” della Norvegia “è diventato più pericoloso”.
L’incidente evidenzia i crescenti rischi per l’infrastruttura energetica norvegese, fortemente dipendente dall’idroelettrico. Segue più ampi avvertimenti su campagne di sabotaggio russe in Europa. Gangaas ha affermato di aver reso pubblico l’episodio per preparare i norvegesi e scoraggiare ulteriori attacchi. L’ambasciata russa a Oslo non ha commentato.

Se sei preoccupato per una qualsiasi delle minacce delineate in questo bollettino o hai bisogno di aiuto per determinare quali passi dovresti intraprendere per proteggerti dalle minacce più significative che la tua organizzazione deve affrontare, contatta il tuo account manager o, in alternativa, mettiti in contatto per scoprire come puoi proteggere la tua organizzazione.

Il Threat Intel Roundup è stato preparato da Integrity360, riassumendo le notizie sulle minacce così come le osserviamo, aggiornato alla data di pubblicazione. Non deve essere considerato un consiglio legale, di consulenza o qualsiasi altro tipo di consiglio professionale. Eventuali raccomandazioni devono essere considerate nel contesto della propria organizzazione. Integrity360 non assume alcuna posizione politica nelle informazioni che condividiamo. Inoltre, le opinioni espresse potrebbero non riflettere necessariamente le opinioni di Integrity360.