Netcrook Logo
👤 LOGICFALCON
🗓️ 16 Apr 2026   🌍 North America

Violazione del firewall: come Interlock e altri hanno trasformato marzo in un campo minato della cybersecurity

Un’ondata di 31 vulnerabilità sfruttate - tra Cisco, Apple, Microsoft e altri - mostra come zero-day e vecchi bug stiano alimentando attacchi ransomware e malware a una velocità senza precedenti.

Era un normale martedì quando gli allarmi hanno iniziato a suonare a tutto volume nel security operations center di una Fortune 500. Nel giro di poche ore, gli ingegneri di rete hanno capito che il loro firewall Cisco - lo scudo stesso pensato per tenere fuori gli aggressori - era diventato il punto d’ingresso. Entro la fine di marzo 2026, questo scenario si è ripetuto in tutto il mondo, mentre i threat actor trasformavano in armi un record di 31 vulnerabilità ad alto impatto, scatenando una tempesta di ransomware e cyber-spionaggio con una precisione agghiacciante.

Dati rapidi

  • Nel marzo 2026 sono state sfruttate attivamente 31 vulnerabilità ad alto impatto, 29 delle quali valutate “Molto critiche”.
  • Una falla zero-day (CVE-2026-20131) in Cisco Secure Firewall Management Center è stata abusata dal gruppo ransomware Interlock per oltre un mese prima del rilascio di una patch.
  • Microsoft e Apple hanno rappresentato quasi un terzo dei bug sfruttati, evidenziando la preferenza degli attaccanti per piattaforme ampiamente utilizzate.
  • Almeno nove vulnerabilità hanno consentito l’esecuzione di codice da remoto, colpendo prodotti di Google, Apple, Microsoft e altri.
  • Vulnerabilità vecchie, incluso un bug Hikvision di 9 anni, restano sotto sfruttamento attivo, sottolineando il rischio dei sistemi legacy non patchati.

Secondo l’intelligence del gruppo Insikt di Recorded Future, marzo 2026 ha segnato un nuovo massimo storico per gli attacchi informatici che sfruttano falle software. La più nota è stata una zero-day nel Secure Firewall Management Center (FMC) di Cisco, che la gang ransomware Interlock ha sfruttato per ottenere accesso root sui firewall aziendali. La vulnerabilità, dovuta a una deserializzazione insicura di flussi di byte Java, permetteva agli attaccanti di eseguire da remoto codice arbitrario - senza alcuna autenticazione. La catena d’attacco di Interlock è stata da manuale: inviare una richiesta HTTP appositamente costruita, scaricare un payload ELF malevolo e distribuire un mix di strumenti di accesso remoto personalizzati per muoversi lateralmente, aumentare i privilegi e preparare il terreno al rilascio del ransomware.

Ma Cisco era tutt’altro che sola. Vendor diversi come Microsoft, Apple, Google, ConnectWise e Citrix hanno visto i propri prodotti finire nel mirino. Gli utenti Apple sono stati colpiti da catene di exploit sofisticate come DarkSword e Coruna, che combinavano exploit del browser e a livello kernel per distribuire spyware e malware per il furto di dati. Nel frattempo, nove vulnerabilità hanno consentito l’esecuzione di codice da remoto su piattaforme ampiamente utilizzate, amplificando la minaccia per le organizzazioni ovunque.

Exploit proof-of-concept pubblici per 10 dei bug hanno accelerato la loro trasformazione in armi, permettendo non solo a hacker d’élite ma anche a gruppi crimeware meno sofisticati di entrare in gioco. Strumenti come i template di Nuclei hanno consentito ai difensori di scansionare rapidamente l’esposizione, ma gli attaccanti spesso avevano un vantaggio di un mese o più - soprattutto nel caso della zero-day di Cisco, sfruttata attivamente prima che la maggior parte delle organizzazioni sapesse persino di essere a rischio.

Forse la cosa più inquietante è che le vecchie vulnerabilità si rifiutavano di morire. Una falla Hikvision del 2017 continuava a offrire una backdoor agli attaccanti, un promemoria netto che i bug di ieri possono diventare la violazione di domani se lasciati senza patch. Gli esperti di sicurezza avvertono che la gestione del rischio deve essere guidata dallo sfruttamento nel mondo reale, non solo da punteggi di gravità teorici, e che i difensori devono dare priorità in base a threat intelligence in tempo reale e visibilità degli asset.

Come mostra la carneficina di marzo, la corsa agli armamenti sulle vulnerabilità sta accelerando. Che si tratti di una zero-day scintillante o di una falla dimenticata di anni fa, gli attaccanti stanno trovando - e sfruttando - crepe ovunque. Per i difensori, la lezione è chiara: vigilanza, patching rapido e valutazione del rischio guidata dall’intelligence non sono solo best practice - sono competenze di sopravvivenza in un’epoca in cui la prossima violazione potrebbe essere già in corso.

TECHCROOK

Per ridurre il rischio di compromissione da vulnerabilità sfruttate attivamente (zero-day e bug “vecchi” ma ancora in circolazione), un approccio pratico è affiancare al patching un controllo endpoint avanzato. Bitdefender Total Security è una suite di protezione multi-dispositivo con motore antimalware, anti-ransomware e difese comportamentali in grado di intercettare attività anomale (esecuzioni sospette, escalation di privilegi, persistenza) anche quando l’exploit iniziale passa da servizi esposti o software non ancora aggiornato. Include protezione web/anti-phishing, firewall e strumenti di hardening di base, utili per limitare la superficie d’attacco e contenere movimenti laterali dopo un primo accesso. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

Bitdefender Total Security è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

  • Zero: Una vulnerabilità zero-day è una falla di sicurezza nascosta, sconosciuta al produttore del software, per la quale non esiste ancora una correzione, rendendola estremamente preziosa e pericolosa per gli attaccanti.
  • Esecuzione di codice da remoto (RCE): L’esecuzione di codice da remoto (RCE) si verifica quando un attaccante esegue il proprio codice sul sistema della vittima, spesso arrivando al controllo completo o alla compromissione di quel sistema.
  • Deserializzazione: La deserializzazione converte i dati in oggetti di programma utilizzabili. Se non viene eseguita in modo sicuro, può consentire agli attaccanti di iniettare istruzioni dannose nelle applicazioni.
  • Proof: Un Proof-of-Concept (PoC) è una dimostrazione che mostra come una vulnerabilità di cybersecurity possa essere sfruttata, aiutando a validare e valutare i rischi reali.
  • Persistenza: La persistenza comprende tecniche usate dal malware per sopravvivere ai riavvii e restare nascosto sui sistemi, spesso imitando processi o aggiornamenti legittimi.
Cybersecurity Ransomware Vulnerabilities
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news