L'NCSC mette in guardia le organizzazioni del Regno Unito dalle minacce DOS dei gruppi hacktivisti

Il National Cyber Security Centre (NCSC), parte del GCHQ, ha lanciato un nuovo allarme per segnalare che le organizzazioni britanniche continuano a essere prese di mira da gruppi di hacktivisti allineati allo Stato russo. L'attività si concentra sull'interruzione delle attività piuttosto che sul guadagno finanziario, con attacchi di denial of service che mirano a sopraffare le reti e i servizi online.

Le autorità locali e gli operatori delle infrastrutture critiche nazionali sono tra i soggetti più a rischio. Sebbene gli attacchi DoS siano spesso tecnicamente semplici, l'NCSC sottolinea che il loro impatto può essere grave, causando interruzioni di servizio, interruzioni operative e costi di recupero significativi.

L'avvertimento fa seguito a un avviso internazionale congiunto emesso nel dicembre 2025, in cui si sottolineava il continuo attacco agli Stati membri della NATO e alle organizzazioni europee che si ritiene sostengano l'Ucraina.

Parlando dell'allarme, Jonathon Ellison, direttore della National Resilience dell'NCSC, ha esortato le organizzazioni ad agire subito rivedendo le difese e preparando piani di risposta efficaci.

Esposte falle critiche del framework AI

Ricercatori di sicurezza hanno identificato due vulnerabilità critiche in Chainlit, un framework open-source per applicazioni di IA ampiamente utilizzato, esponendo a seri rischi le organizzazioni che stanno accelerando l'adozione dell'IA. Le scoperte coincidono con il lancio del Project DarkSide, un'iniziativa incentrata sulla scoperta dei punti deboli nei blocchi di sviluppo dell'IA.

Rintracciate come CVE-2026-22218 e CVE-2026-22219, le falle consentono agli aggressori non autorizzati di leggere file arbitrari e di eseguire la contraffazione delle richieste lato server. Lo sfruttamento non richiede alcuna interazione da parte dell'utente e può portare alla perdita di credenziali cloud, contenuti di database, variabili d'ambiente e codice sorgente proprietario. Negli ambienti cloud, ciò può consentire un movimento laterale e la compromissione dell'intera infrastruttura.

Con una stima di 700.000 download mensili e distribuzioni attive in ambito aziendale e accademico, l'esposizione è significativa. Chainlit ha rilasciato la versione 2.9.4 per risolvere entrambi i problemi.

In attesa del completamento della patch, è stata condivisa una guida al rilevamento, insieme all'avvertimento che le basi insicure dell'intelligenza artificiale stanno rapidamente ampliando le superfici di attacco delle organizzazioni.

I sistemi Zendesk abusati per lo spam

Un'ondata di spam globale su larga scala è stata collegata all'abuso dei sistemi di assistenza Zendesk non protetti, con i destinatari che hanno segnalato l'arrivo di centinaia di e-mail in pochi minuti. La campagna è iniziata il 18 gennaio, attirando rapidamente l'attenzione sui social media a causa dell'enorme volume e della natura insolita dei messaggi.

Le e-mail vengono generate quando gli aggressori inviano falsi ticket di assistenza utilizzando indirizzi e-mail non verificati. Le risposte automatiche di conferma di Zendesk trasformano le piattaforme di assistenza clienti legittime in un inconsapevole motore di spam di massa. Sebbene i messaggi non sembrino contenere link dannosi o esche dirette di phishing, i loro oggetti caotici e talvolta allarmanti hanno causato confusione e preoccupazione.

Tra le organizzazioni colpite figurano Discord, Dropbox, NordVPN, Riot Games e diversi enti pubblici. Gli oggetti vanno da falsi avvisi delle forze dell'ordine a offerte di servizi gratuiti, spesso scritti utilizzando testo Unicode decorativo.

L'incidente evidenzia come le lacune di verifica di base nelle piattaforme più diffuse possano essere sfruttate su scala, anche senza l'impiego di malware o tecniche di phishing tradizionali.

Attacco al bypass delle patch di Fortinet

I clienti Fortinet segnalano lo sfruttamento attivo di un bypass della patch che riguarda una vulnerabilità di autenticazione FortiGate precedentemente risolta, CVE-2025-59718. Gli aggressori stanno abusando della falla per compromettere i firewall che eseguono versioni FortiOS patchate, tra cui la 7.4.9 e la 7.4.10, sollevando il dubbio che la correzione originale fosse incompleta.

Diversi amministratori hanno osservato account di amministrazione non autorizzati creati tramite accessi FortiCloud SSO dannosi, attività coerente con le tecniche di sfruttamento precedentemente documentate da Arctic Wolf nel dicembre 2025. Fortinet starebbe preparando ulteriori aggiornamenti, tra cui FortiOS 7.4.11, per risolvere completamente il problema.

La vulnerabilità è stata aggiunta al catalogo CISA delle falle sfruttate attivamente, mentre Shadowserver continua a monitorare migliaia di dispositivi esposti.

Si consiglia agli amministratori di disabilitare FortiCloud SSO, se possibile, fino a quando non sarà disponibile una soluzione completa, poiché gli aggressori prendono di mira anche altri prodotti Fortinet senza patch, tra cui FortiSIEM.

Aziende Fortune 500 esposte da app di test mal configurate

Secondo le nuove scoperte di Pentera, gli attori delle minacce sfruttano attivamente le applicazioni di test di sicurezza mal configurate per introdursi negli ambienti cloud live. Strumenti intenzionalmente vulnerabili come DVWA, OWASP Juice Shop, Hackazon e bWAPP vengono sfruttati quando vengono lasciati esposti su Internet e distribuiti con privilegi eccessivi nel cloud.

Pentera ha identificato 1.926 istanze vulnerabili su AWS, Azure e GCP, molte delle quali collegate a ruoli IAM e credenziali predefinite troppo permissivi. Le applicazioni esposte appartenevano a diverse organizzazioni Fortune 500, tra cui Cloudflare, F5 e Palo Alto Networks, che nel frattempo hanno tutte posto rimedio ai problemi.

I ricercatori hanno trovato prove evidenti di sfruttamento attivo, tra cui l'estrazione di cripto Monero tramite XMRig, backdoor persistenti e webshell PHP che consentono il pieno controllo del sistema. I risultati sottolineano come le risorse non di produzione non sicure possano diventare punti di ingresso ad alto impatto negli ambienti cloud aziendali.

Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più rilevanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa,mettetevi in contattoper scoprire come potete proteggere la vostra organizzazione.

Il Threat Intel Roundup è stato preparato da Integrity360 riassumendo le notizie sulle minacce così come le osserviamo, aggiornate alla data di pubblicazione. Non deve essere considerata una consulenza legale, di consulenza o di altro tipo. Qualsiasi raccomandazione deve essere considerata nel contesto della propria organizzazione. Integrity360 non prende alcuna posizione politica nelle informazioni che condivide. Inoltre, le opinioni espresse non sono necessariamente quelle di Integrity360.