Apriamo questo episodio con una vulnerabilità critica in n8n riportata da Security Online. La CVE-2025-68668, con un punteggio CVSS di 9.9, consente a un utente autenticato di evadere dalla sandbox Python della piattaforma di automazione per eseguire comandi di sistema arbitrari, trasformando il Code Node in un vettore di compromissione totale del sistema host.

CVEfeed.io segnala una falla di caricamento DLL non controllato in AsusSoftwareManagerAgent. La CVE-2025-12793, valutata 8.5 in CVSS 4.0, sfrutta un percorso di ricerca non affidabile che consente a un attaccante locale di eseguire codice arbitrario tramite la manipolazione dei Namespace DLL.

Clubic torna sulla scomparsa del dominio principale di Anna's Archive. Il registro ha posto annas-archive.org sotto status serverHold due settimane dopo il caricamento di 300 terabyte di dati Spotify, suggerendo un'azione legale del Public Interest Registry a seguito della causa dell'OCLC per l'estrazione di 2,2 terabyte di dati WorldCat.

Phoronix riporta una situazione critica per il progetto Debian: i tre membri delegati del Data Protection Team si sono dimessi simultaneamente, lasciando il progetto senza un team attivo per gestire gli obblighi GDPR. Il leader del progetto Andreas Tille ora gestisce questo ruolo in modo ad-hoc in attesa di nuovi volontari.

Infine, il CERT-FR ha emesso l'avviso CERTFR-2026-AVI-0004 riguardante la CVE-2025-13699 che interessa più rami di MariaDB. Il fornitore non ha specificato la natura esatta del problema di sicurezza, ma raccomanda un aggiornamento alle versioni 10.11.15, 10.6.24, 11.4.9 o 11.8.4.

Fonti:

• Security Online – n8n CVE-2025-68668: https://securityonline.info/n8n-sandbox-escape-how-cve-2025-68668-turns-workflows-into-weapons/
• CVEfeed.io – CVE-2025-12793 ASUS: https://cvefeed.io/vuln/detail/CVE-2025-12793
• Clubic – Dominio Anna's Archive: https://www.clubic.com/actualite-593797-le-site-qui-avait-pirate-spotify-perd-son-nom-de-domaine.html
• Phoronix – Debian Data Protection Team: https://www.phoronix.com/news/No-Debian-Data-Protection-Team
• CERT-FR – Vulnerabilità MariaDB: https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0004/

Non si riflette, si patcha!

I vostri commenti sono benvenuti.
Email: radiocsirt@gmail.com
Sito web: https://www.radiocsirt.com
Newsletter settimanale: https://radiocsirtitalianedition.substack.com/

Benvenuti al vostro podcast quotidiano di cybersecurity.

Apriamo questa edizione con un'analisi pubblicata da FIRST punto org il 29 dicembre 2025, che presenta il bilancio annuale delle previsioni di vulnerabilità per l'anno 2025. L'articolo, scritto da Éireann Leverett, conferma la validazione delle previsioni del progetto Vuln4Cast con 49.183 CVE pubblicate al 29 dicembre, collocandosi nell'intervallo di confidenza da 41.142 a 49.868 CVE stabilito nel febbraio 2025. Il MAPE dell'1 virgola 39 percento rispetto al limite superiore dimostra un'eccellente precisione dei modelli di previsione.

Le previsioni trimestrali per Q4 2025 sono anch'esse validate con 12.359 CVE pubblicate, all'interno dell'intervallo di confidenza da 11.815 a 14.129 CVE. Questa precisione inferiore al 5% dimostra che le previsioni trimestrali sono sufficientemente affidabili per la pianificazione operativa dei team di patch management, SOC e CERT.

L'articolo evidenzia l'espansione dell'ecosistema di previsione delle vulnerabilità con CVEForecast punto org sviluppato da Jerry Gamblin di Cisco utilizzando XGBoost, e la piattaforma Vulnerability-Lookup di CIRCL Lussemburgo che aggiunge il sightings tracking e statistiche complete. Gli sviluppi futuri si concentreranno sulla previsione delle distribuzioni per fornitore, dei vettori CVSS, dei CWE e della sfruttabilità delle vulnerabilità. I miglioramenti sono in corso in sei aree: analisi delle cause radice CWE, previsione di exploit, previsione di exploitation, previsione CNA, previsione dei vettori CVSS e previsione dei punteggi CVSS.

FIRST annuncia la conferenza VulnOptiCon 2026 in Lussemburgo, ospitata da CIRCL, per permettere alla comunità di condividere metodologie e far progredire collettivamente la scienza dell'esposizione e la sicurezza predittiva.

Fonte

FIRST – Bilancio annuale delle previsioni di vulnerabilità 2025: https://www.first.org/blog/20251229-Vulnerability-Forecast-Review

Non si riflette, si patcha!

I vostri commenti sono benvenuti.
Email: radiocsirt@gmail.com
Sito web: https://www.radiocsirt.com
Newsletter settimanale: https://radiocsirtitalianedition.substack.com/

Benvenuti al vostro podcast quotidiano di cybersicurezza.

Apriamo questa edizione con diversi avvisi di sicurezza pubblicati dal CERT-FR relativi a vulnerabilità critiche che interessano componenti chiave dell’ecosistema Linux e degli ambienti aziendali. I bollettini riguardano in particolare Ubuntu, Red Hat e prodotti IBM, esposti a falle che possono consentire l’escalation dei privilegi, l’esecuzione di codice arbitrario o la compromissione della riservatezza. Queste vulnerabilità colpiscono componenti ampiamente distribuiti nelle infrastrutture server e cloud, evidenziando l’importanza di una gestione rigorosa delle patch.

Analizziamo poi una vulnerabilità che interessa il webmail Roundcube, identificata come CVE-2025-68461. Questa falla consente a un attaccante remoto di sfruttare i meccanismi di gestione degli input per compromettere la sicurezza delle sessioni o eseguire codice malevolo nel contesto dell’utente bersaglio. Considerata l’ampia diffusione di Roundcube, il rischio per le organizzazioni esposte su Internet è significativo.

Infine, torniamo su una vulnerabilità corretta da Microsoft, identificata come CVE-2025-13699. Questa falla interessa un componente del sistema Windows e può essere sfruttata per aggirare i meccanismi di sicurezza o ottenere privilegi elevati. Microsoft ha rilasciato le correzioni e raccomanda un’applicazione tempestiva.

Fonti

• CERT-FR – Vulnerabilità Ubuntu: https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1139/
• CERT-FR – Vulnerabilità Red Hat: https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1141/
• CERT-FR – Vulnerabilità prodotti IBM: https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1137/
• Vulnerabilità Roundcube – CVE-2025-68461: https://cyberveille.esante.gouv.fr/alertes/roundcube-cve-2025-68461-2025-12-26
• Microsoft – CVE-2025-13699: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-13699

Non si riflette, si patcha!

I vostri commenti sono benvenuti.
Email: radiocsirt@gmail.com
Sito web: https://www.radiocsirt.com
Newsletter settimanale: https://radiocsirtitalianedition.substack.com/

Benvenuti al vostro podcast quotidiano di cybersicurezza.

Apriamo questa edizione con un caso che intreccia cybercriminalità e attività di intelligence nell’Europa orientale. In Georgia, l’ex capo del controspionaggio è stato arrestato nell’ambito di un’indagine su centri di truffa operanti su larga scala. Le autorità sospettano che abbia facilitato o protetto operazioni fraudolente strutturate con vittime internazionali, evidenziando ancora una volta la convergenza tra criminalità organizzata, corruzione e cyberfrodi.

Analizziamo poi una campagna di phishing rivolta agli utenti di criptovalute tramite email fraudolente che impersonano Grubhub. I messaggi promettono un rendimento dieci volte superiore sulle criptovalute inviate. I fondi vengono immediatamente trasferiti verso wallet controllati dagli attaccanti, senza possibilità di recupero, dimostrando l’efficacia persistente dell’ingegneria sociale applicata agli asset digitali.

Infine, esaminiamo un’operazione attribuita a Evasive Panda, gruppo collegato alla Cina, che ha condotto attività di spionaggio sfruttando un’infrastruttura DNS compromessa. Gli attaccanti hanno utilizzato tecniche avanzate di risoluzione DNS e reindirizzamento del traffico per distribuire payload malevoli furtivi, aggirando diversi meccanismi di rilevamento. La campagna mostra l’evoluzione continua delle TTP degli APT nel cyber-spionaggio statale.

Fonti

• Arresto in Georgia – centri di truffa: https://therecord.media/republic-of-georgia-former-spy-chief-arrested-scam-centers
• Phishing crypto – false email Grubhub: https://www.bleepingcomputer.com/news/security/fake-grubhub-emails-promise-tenfold-return-on-sent-cryptocurrency/
• APT Evasive Panda – infrastruttura DNS malevola: https://thehackernews.com/2025/12/china-linked-evasive-panda-ran-dns.html

Non si riflette, si patcha!

I vostri commenti sono benvenuti.
Email: radiocsirt@gmail.com
Sito web: https://www.radiocsirt.com
Newsletter settimanale: https://radiocsirtitalianedition.substack.com/

Benvenuti al vostro podcast quotidiano di cybersicurezza.

Apriamo questa edizione con una sequenza geopolitica che segna una nuova fase delle tensioni transatlantiche sulla regolamentazione digitale. Gli Stati Uniti hanno imposto restrizioni sui visti a diverse personalità europee coinvolte nella regolazione delle piattaforme tecnologiche, tra cui Thierry Breton, ex commissario europeo. Washington giustifica la decisione accusando l’Europa di censura extraterritoriale, in particolare nell’applicazione del Digital Services Act. L’Unione Europea ha condannato la misura e richiesto chiarimenti formali, richiamando la propria sovranità normativa.

Analizziamo poi CVE-2018-25154, una vulnerabilità critica di buffer overflow in GNU Barcode versione 0.99. Il difetto nel meccanismo di codifica Code 93 consente l’esecuzione di codice arbitrario tramite file di input appositamente costruiti. Il punteggio CVSS 3.1 è critico a 9.8.

Esaminiamo inoltre CVE-2023-36525, una Blind SQL Injection non autenticata che colpisce il plugin WordPress WPJobBoard fino alla versione 5.9.0, sfruttabile da remoto senza privilegi.

Nel segmento cybercrime, l’FBI ha sequestrato l’infrastruttura web3adspanels.org, utilizzata come backend per centralizzare credenziali bancarie rubate in campagne di phishing finalizzate ad attacchi di account takeover.

Ci soffermiamo poi su Urban VPN Proxy, un’estensione VPN gratuita che nelle versioni recenti implementa la raccolta ed esfiltrazione delle conversazioni con piattaforme di intelligenza artificiale, attiva di default.

Infine, affrontiamo lo sfruttamento attivo di CVE-2020-12812 sui firewall FortiGate, una vulnerabilità storica ancora utilizzata per il bypass della 2FA tramite LDAP.

Fonti :

• Regolamentazione tech e tensioni USA–UE: https://www.01net.com/actualites/pourquoi-les-etats-unis-sattaquent-a-thierry-breton-et-aux-autres-regulateurs-de-la-tech.html
• CVE-2018-25154 – GNU Barcode buffer overflow: https://cvefeed.io/vuln/detail/CVE-2018-25154
• CVE-2023-36525 – WPJobBoard Blind SQL Injection: https://cvefeed.io/vuln/detail/CVE-2023-36525
• Sequestro dell'FBI – web3adspanels.org: https://securityaffairs.com/186094/cyber-crime/fbi-seized-web3adspanels-org-hosting-stolen-logins.html
• Raccolta dati di Urban VPN Proxy: https://boingboing.net/2025/12/19/this-free-vpn-is-a-massive-security-risk.html
• Sfruttamento del bypass 2FA di FortiGate: https://cyberpress.org/hackers-abuse-3-year-old-fortigate-flaw/

Non si riflette, si patcha!

I vostri commenti sono benvenuti.
Email: radiocsirt@gmail.com
Sito web: https://www.radiocsirt.com
Newsletter settimanale: https://radiocsirtitalianedition.substack.com/

Benvenuti al vostro podcast quotidiano di cybersicurezza.

Una nuova iniziativa unisce esperti volontari di cybersicurezza per supportare i servizi idrici nella difesa contro minacce informatiche in crescita. Professionisti della comunità DEF CON Franklin collaborano con operatori pubblici per valutare i sistemi OT e migliorare la resilienza delle infrastrutture critiche.

MongoDB ha lanciato un avviso urgente invitando gli amministratori ad applicare immediatamente le patch per una grave vulnerabilità di esecuzione remota di codice. La falla interessa ambienti Node.js ed è già accompagnata da exploit di prova pubblici.

Una campagna su larga scala associata al malware PCPcat ha compromesso oltre 59.000 server sfruttando vulnerabilità critiche in Next.js e React. Gli attaccanti hanno sottratto credenziali, chiavi SSH e variabili d’ambiente, mantenendo accessi persistenti.

In Francia, La Poste e La Banque Postale hanno subito interruzioni significative a seguito di un attacco DDoS durante il periodo festivo. Diversi servizi online sono stati temporaneamente indisponibili, senza compromissione dei dati dei clienti.

Fonti:

• Cyber Volunteers / Water Utility / MSSP : https://therecord.media/cyber-volunteer-water-utility-mssp
• MongoDB – Severe RCE Patch Warning : https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-rce-flaw-immediately/
• PCPcat – React/Next.js Servers Breach : https://thecyberexpress.com/pcpcat-react-servers-nextjs-breach/
• La Poste – Outage After a Cyber Attack : https://securityaffairs.com/186064/security/la-poste-outage-after-a-cyber-attack.html

Non si riflette, si patcha!

I vostri commenti sono benvenuti.
Email: radiocsirt@gmail.com
Sito web: https://www.radiocsirt.com
Newsletter settimanale: https://radiocsirtitalianedition.substack.com/

Benvenuti al vostro podcast quotidiano sulla cybersicurezza.

CISA ha aggiunto la CVE-2023-52163 al catalogo KEV per lo sfruttamento attivo dei registratori Digiever DS-2105 Pro. La falla permette di bypassare i controlli di autorizzazione. CISA esorta ad aggiornare il firmware per mitigare i rischi di controllo non autorizzato. Questa vulnerabilità rappresenta un vettore critico per l'accesso iniziale nelle reti IoT e nei sistemi di sorveglianza.

Genians Security Center analizza la campagna "Artemis" di APT37 contro la Corea del Sud tramite documenti HWP malevoli. L'attacco sfrutta oggetti OLE e DLL side-loading tramite VolumeId per distribuire il malware RoKRAT. Gli attori utilizzano la steganografia e servizi cloud come Yandex e pCloud per le operazioni C2. La tecnica elude i rilevamenti operando nel contesto di processi legittimi.

SoundCloud ha ammesso un cyberattacco che ha esposto i dati di 26 milioni di utenti tramite una dashboard ausiliaria. Le informazioni includono email e profili pubblici; password e dati finanziari sono sicuri. L'incidente è stato seguito da attacchi DDoS. Il rafforzamento dei controlli IAM ha causato disservizi temporanei per gli utenti VPN durante le fasi di remediazione.

Ricercatori di Socket Security hanno individuato due estensioni Chrome, Phantom Shuttle, che rubano credenziali su 170 domini aziendali tra cui AWS e GitHub. Le estensioni agiscono come Man-in-the-Middle tramite script PAC e iniezioni proxy. I dati sensibili, inclusi token API e cookie, vengono inviati in chiaro al server C2 phantomshuttle[.]space ogni cinque minuti.

Il gruppo Anna’s Archive ha pubblicato un archivio da 300 terabyte con 86 milioni di brani prelevati da Spotify. Lo scraping è avvenuto tramite stream-ripping sistematico via account terzi per mesi. Spotify ha disattivato gli account e implementato nuovi monitoraggi per bloccare i pattern di riproduzione automatizzati, a tutela dei diritti dei creatori.

Sources:
CISA KEV Digiever : https://www.cisa.gov/news-events/alerts/2025/12/22/cisa-adds-one-known-exploited-vulnerability-catalog
APT37 Artemis : https://www.genians.co.kr/en/blog/threat_intelligence/dll
SoundCloud Breach : https://www.theregister.com/2025/12/16/soundcloud_cyberattack_data_leak/
Chrome Phantom Shuttle : https://thehackernews.com/2025/12/two-chrome-extensions-caught-secretly.html
Spotify Scraping : https://therecord.media/spotify-disables-scraping-annas

Non si riflette, si patcha!

I vostri commenti sono benvenuti.
Email: radiocsirt@gmail.com
Sito web: https://www.radiocsirt.com
Newsletter settimanale: https://radiocsirtitalianedition.substack.com/