Fortinet rilascia aggiornamenti per correggere una grave vulnerabilità di FortiSIEM 

Fortinet ha rilasciato aggiornamenti di sicurezza per risolvere una vulnerabilità critica che interessa FortiSIEM, tracciata come CVE-2025-64155 e valutata 9,4 sulla scala CVSS. 
La falla è un problema di injection di comandi del sistema operativo che consente a un attaccante non autenticato di ottenere l’esecuzione di codice remoto sui nodi Super e Worker vulnerabili. I ricercatori hanno dimostrato come servizi backend esposti in ascolto sulla porta TCP 7900 possano essere sfruttati per scrivere file malevoli e, infine, elevare i privilegi fino all’accesso root completo, compromettendo interamente l’appliance. 
Sono interessate più versioni di FortiSIEM, con correzioni disponibili tramite aggiornamenti o migrazione a release corrette. FortiSIEM Cloud non è impattato. 
Fortinet ha inoltre corretto un’altra vulnerabilità critica in FortiFone (CVE-2025-47855) che potrebbe consentire l’accesso non autenticato ai dati di configurazione dei dispositivi. 
Le organizzazioni sono fortemente invitate ad applicare immediatamente gli aggiornamenti e a limitare l’accesso alle porte di gestione esposte per ridurre il rischio. 

Microsoft interrompe la piattaforma cybercriminale RedVDS 

Microsoft ha annunciato lo smantellamento di RedVDS, una piattaforma di cybercrime-as-a-service su larga scala collegata a oltre 40 milioni di dollari di perdite segnalate negli Stati Uniti dal marzo 2025. Attraverso azioni civili coordinate negli Stati Uniti e nel Regno Unito, Microsoft ha sequestrato infrastrutture chiave, portando offline il marketplace e il portale clienti di RedVDS in collaborazione con Europol e le autorità tedesche. 
RedVDS vendeva accesso a server virtuali Windows usa e getta a partire da 24 dollari al mese, consentendo phishing, compromissioni di email aziendali, furti di credenziali e frodi di deviazione dei pagamenti su larga scala. Gli investigatori hanno collegato il servizio a diversi gruppi di minaccia e identificato un’impronta tecnica comune su migliaia di server malevoli. 
Microsoft ha rivelato che gli attaccanti utilizzavano RedVDS per inviare fino a un milione di email di phishing al giorno, compromettendo quasi 200.000 account negli ultimi mesi. Molte campagne hanno inoltre sfruttato strumenti di intelligenza artificiale generativa, tra cui ChatGPT, per creare esche più convincenti. Azioni precedenti, inclusa l’operazione contro RaccoonO365 con Cloudflare, evidenziano gli sforzi crescenti per smantellare l’infrastruttura criminale alla fonte. 

CNIL multa Free Mobile e Free per 42 milioni di euro per violazioni della protezione dei dati

 
L’autorità francese per la protezione dei dati, la CNIL, ha inflitto sanzioni cumulative per 42 milioni di euro a Free Mobile e alla sua società madre Free, in seguito a una grave violazione dei dati avvenuta nell’ottobre 2024. L’incidente ha esposto dati personali relativi a quasi 23 milioni di abbonati mobili e di linea fissa, rendendolo uno dei più significativi data breach nel settore delle telecomunicazioni in Francia. 
Gli attaccanti hanno compromesso uno strumento di gestione interno e sottratto informazioni dei clienti, parte delle quali è stata successivamente messa in vendita su un forum di hacker. L’indagine della CNIL ha rilevato il mancato rispetto di diversi obblighi del GDPR, tra cui controlli di sicurezza inadeguati, comunicazioni carenti agli utenti colpiti e una conservazione eccessiva dei dati degli ex abbonati. 
Nonostante i miglioramenti successivi all’incidente, la CNIL ha stabilito che la negligenza precedente abbia consentito l’attacco e ha imposto ulteriori misure correttive entro scadenze rigorose. 
Il caso si inserisce in una tendenza più ampia di violazioni nel settore telecom in Francia, con incidenti che hanno coinvolto anche Orange France e Bouygues Telecom, evidenziando rischi cyber persistenti a livello di settore. 

Il conglomerato sudcoreano Kyowon colpito da un attacco ransomware

 
Il gruppo Kyowon ha confermato di aver subito un attacco ransomware che ha interrotto le operazioni e portato al furto di dati dai sistemi interni. L’incidente è avvenuto a gennaio e ha colpito una parte significativa dell’infrastruttura server di Kyowon, con i media coreani che riportano l’impatto su circa 600 degli 800 server dell’azienda. 
Kyowon ha dichiarato che gli attaccanti hanno esfiltrato dati durante l’intrusione, anche se non è ancora stato confermato se siano state coinvolte informazioni dei clienti. L’azienda, attiva nei settori dell’istruzione, dell’editoria, del digital learning e dei servizi ai consumatori, conta oltre 9,6 milioni di account registrati riconducibili a circa 5,5 milioni di persone. Kyowon ha notificato l’Agenzia coreana per Internet e la sicurezza e afferma che il ripristino dei servizi è nelle fasi finali. 
La violazione si aggiunge a una serie crescente di incidenti cyber di alto profilo in Corea del Sud, dopo le recenti comunicazioni di Coupang, Korean Air, SK Telecom e Dior Korea, evidenziando rischi persistenti nei principali settori. 

L’attacco Reprompt evidenzia i rischi nelle sessioni Copilot Personal 

I ricercatori di sicurezza hanno divulgato una nuova tecnica di attacco denominata Reprompt che potrebbe consentire agli aggressori di dirottare una sessione Microsoft Copilot di un utente ed esfiltrare silenziosamente dati sensibili. Il metodo è stato individuato da Varonis, che ha dimostrato come un prompt malevolo possa essere nascosto all’interno di un URL Copilot legittimo ed eseguito dopo un singolo clic dell’utente. 
Reprompt sfrutta il modo in cui Copilot elabora il parametro “q” negli URL, permettendo l’esecuzione automatica di istruzioni iniettate. Concatenando richieste successive e sfruttando lacune nelle protezioni di Copilot, gli attaccanti potrebbero mantenere l’accesso a una sessione autenticata anche dopo la chiusura della scheda Copilot. I ricercatori hanno mostrato come ciò possa aggirare le protezioni contro la perdita di dati ed estrarre informazioni in modo invisibile. 
Il problema ha interessato esclusivamente Copilot Personal e non Microsoft 365 Copilot. Microsoft è stata informata in modo responsabile e ha rilasciato una correzione con il Patch Tuesday di gennaio 2026. Gli utenti sono fortemente invitati ad applicare tempestivamente gli ultimi aggiornamenti di Windows. 

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización.

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.