Vulnerabilità nel plugin WordPress espone dati sensibili

È stata scoperta una grave vulnerabilità nel popolare plugin Anti-Malware Security and Brute-Force Firewall per WordPress, installato su oltre 100.000 siti. Tracciata come CVE-2025-11705, la falla consente agli utenti autenticati con accesso da sottoscrittore di leggere qualsiasi file sul server, inclusi quelli sensibili come wp-config.php, esponendo credenziali del database, hash delle password e chiavi di autenticazione.

Il problema, segnalato dai ricercatori a Wordfence, riguarda le versioni 4.23.81 e precedenti ed è dovuto alla mancanza di controlli di capacità nella funzione AJAX di scansione. La versione corretta, 4.23.83, è stata rilasciata il 15 ottobre e include verifiche utente adeguate.

Sebbene Wordfence non abbia osservato exploit attivi, qualsiasi sito che consenta registrazioni o sottoscrizioni è potenzialmente a rischio. Gli amministratori sono fortemente invitati ad aggiornare immediatamente.

Attivisti violano sistemi critici in Canada

Il Canadian Centre for Cyber Security ha emesso un avviso dopo che attivisti hanno violato diversi sistemi di infrastrutture critiche, manipolando controlli industriali in incidenti che avrebbero potuto causare condizioni pericolose. Gli attacchi hanno colpito un impianto di trattamento delle acque, un'azienda petrolifera e un'operazione agricola, alterando pressione, temperatura e valori di monitoraggio.

Le autorità ritengono che le intrusioni siano state opportunistiche, mirate a generare paura e attirare l’attenzione mediatica. Questi eventi rispecchiano preoccupazioni globali, come i recenti tentativi di hacker russi contro sistemi industriali negli Stati Uniti.

Il Cyber Centre raccomanda di rimuovere l’accesso diretto a Internet, applicare l’autenticazione a più fattori, eseguire test di penetrazione e mantenere firmware aggiornati.

Microsoft risolve blackout DNS globale dopo disservizio AWS

Microsoft ha risolto un grave blackout DNS che ha temporaneamente colpito Azure, Microsoft 365 e altri servizi a livello globale. Iniziato intorno alle 16:00 UTC, il guasto ha causato problemi di accesso e connessione, impedendo agli utenti di accedere a reti aziendali, al portale Azure, Intune e al centro di amministrazione Exchange.

Il disservizio ha colpito decine di migliaia di organizzazioni, tra cui fornitori sanitari e il sistema ferroviario olandese. Microsoft ha confermato problemi con Azure Front Door CDN e ha consigliato l’uso di metodi programmatici come PowerShell e CLI fino al ripristino.

L’incidente segue un blackout DNS simile di AWS avvenuto la settimana precedente. Microsoft ha ripristinato la funzionalità reindirizzando il traffico e sta indagando sulle cause per rafforzare la resilienza del servizio.

Atroposia: Malware-as-a-Service preoccupante

I ricercatori di sicurezza di Varonis hanno scoperto una nuova piattaforma malware-as-a-service (MaaS) chiamata Atroposia, che offre ai cybercriminali un potente trojan di accesso remoto (RAT) per soli $200 al mese. Questo toolkit modulare consente accesso persistente e invisibile ai sistemi infetti, con funzionalità avanzate come desktop remoto nascosto, controllo del file system, furto di credenziali e hijacking DNS.

La comunicazione criptata e la capacità di bypassare il User Account Control (UAC) di Windows lo rendono particolarmente pericoloso. Il suo scanner di vulnerabilità integrato può identificare debolezze sfruttabili in ambienti aziendali.

Varonis avverte che Atroposia si aggiunge a strumenti plug-and-play come SpamGPT e MatrixPDF, abbassando la barriera tecnica per attaccanti poco esperti.

Herodotus e GhostGrab prendono di mira utenti Android

Due nuove minacce Android, Herodotus e GhostGrab, stanno emergendo nel panorama malware-as-a-service (MaaS).

Herodotus, scoperto da ThreatFabric, è un trojan bancario che prende di mira Italia e Brasile. Simula il comportamento umano per eludere i sistemi biometrici antifrode e sfrutta i servizi di accessibilità Android per dirottare dispositivi, rubare credenziali e intercettare codici 2FA. La sua funzione distintiva è l’introduzione di ritardi casuali nell’input remoto, rendendo le azioni più simili a quelle di un utente reale.

GhostGrab, identificato da CYFIRMA, è una minaccia ibrida che colpisce gli utenti in India. Combina il furto di credenziali bancarie con il mining nascosto di Monero, generando un doppio flusso di entrate per gli attaccanti. Diffuso tramite app finanziarie false, richiede permessi ad alto rischio per rubare dati sensibili, inclusi PIN bancomat e documenti governativi.

Entrambe le minacce evidenziano la crescente sofisticazione del malware Android.

Consiglio di sicurezza: evitare il sideloading, controllare i permessi e usare solo fonti affidabili come Google Play.

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización. 

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.