Sala operativa di sicurezza informatica con schermi che mostrano grafici di rete e un avviso critico: Minacce informatiche della settimana 1-5 giugno 2026

Minacce informatiche settimana 1-5 giugno: NetScaler e Netlogon sotto attacco, Gamaredon sfrutta WinRAR

A cura di:Redazione Ore

Minacce informatiche settimana 1-5 giugno: il roundup di threat intelligence è dominato da due vulnerabilità critiche in sfruttamento attivo, entrambe su componenti che presidiano il cuore delle infrastrutture aziendali: gli appliance Citrix NetScaler esposti su internet (CVSS 9.3 nella metrica 4.0 di Citrix, 9.8 nella 3.1 di NVD) e i domain controller Windows (CVSS 9.8). Sullo sfondo, il catalogo KEV di CISA continua ad allungarsi e il gruppo russo Gamaredon affina il proprio arsenale contro l’Ucraina sfruttando una vulnerabilità di WinRAR. Di seguito i fatti verificati e le priorità di mitigazione per i team di sicurezza.

Citrix NetScaler: sfruttamento su larga scala della CVE-2026-3055

La vulnerabilità più pesante della settimana è CVE-2026-3055, un out-of-bounds read che interessa NetScaler ADC e NetScaler Gateway quando configurati come SAML Identity Provider. Il difetto, corretto da Citrix il 23 marzo con il bollettino CTX696300 insieme alla correlata CVE-2026-4368, consente a un attaccante remoto di inviare richieste SAML malformate che inducono l’appliance a includere contenuti di memoria non inizializzata nel cookie NSC_TASS. L’impatto è di information disclosure sul modello del vecchio CitrixBleed (CVE-2023-4966): dalla memoria possono uscire token di sessione e credenziali, con conseguente dirottamento delle sessioni e accesso abusivo, senza necessità di eseguire codice sull’appliance.

Il punto critico è la tempistica: le prime tracce di sfruttamento risalgono almeno al 27 marzo, quattro giorni dopo la patch, secondo le osservazioni di CrowdSec; l’allerta di Fortinet, che ha pubblicato gli indicatori di compromissione della campagna in corso, conferma uno sfruttamento ormai su larga scala contro gli appliance esposti. Chi applica la patch oggi deve quindi assumere la possibile compromissione pregressa: oltre all’aggiornamento, vanno riviste le attività SAML anomale nei log, le sessioni avviate dall’IdP senza corrispondenza con utenti legittimi, le modifiche inattese a configurazioni e certificati di firma e gli account locali creati di recente.

Netlogon: RCE pre-autenticazione sui domain controller

La seconda emergenza riguarda CVE-2026-41089, stack buffer overflow nel servizio Netlogon corretto da Microsoft nel Patch Tuesday del 12 maggio e inizialmente classificato nella fascia di sfruttamento meno probabile. La valutazione è invecchiata in fretta: come riportato da BleepingComputer, a fine maggio il Centre for Cybersecurity Belgium ha confermato lo sfruttamento attivo in attacchi reali. La falla consente a un attaccante non autenticato che raggiunga l’interfaccia RPC di Netlogon su un domain controller di eseguire codice con privilegi SYSTEM; risultano interessate le versioni di Windows Server dalla 2012 R2 alla 2025, mentre le release fuori supporto restano coperte solo da micropatch di terze parti o dai programmi di supporto esteso.

Per un bug pre-autenticazione sul controller di dominio la finestra di tolleranza è zero: la priorità è completare il patching di tutti i DC della foresta nella stessa finestra di manutenzione, perché un ambiente parzialmente aggiornato non è uno stato difendibile. In parallelo conviene restringere il traffico Netlogon a livello di rete tenendo conto dell’intera superficie RPC: il servizio è raggiungibile via SMB sulla porta TCP 445 ma anche tramite l’Endpoint Mapper sulla 135 e le porte dinamiche alte, quindi chiudere la sola 445 non basta. I controller, in ogni caso, non dovrebbero mai essere raggiungibili da segmenti non fidati. Sul fronte della prioritizzazione, il criterio è lo stesso richiesto dalla misura ACN sulla gestione delle vulnerabilità: prima ciò che è esposto e sfruttato, poi il resto.

Il catalogo KEV si allunga: cgroups, Android e Magento

Sul fronte delle vulnerabilità sfruttate certificate da CISA, l’agenzia statunitense ha aggiunto al catalogo Known Exploited Vulnerabilities, con l’alert del 2 giugno, due voci: CVE-2022-0492, vecchia falla di privilege escalation nei cgroups v1 del kernel Linux (meccanismo release_agent) tornata d’attualità negli attacchi ai container come tecnica di evasione, e CVE-2025-48595, un integer overflow nel framework Android. Il 3 giugno si è aggiunta CVE-2026-45247, deserializzazione di dati non fidati nel modulo Mirasvit Full Page Cache Warmer che apre a esecuzione di codice remota non autenticata sugli e-commerce Magento e Adobe Commerce.

Sempre in tema di scadenze: il 3 giugno è maturata la deadline imposta dalla direttiva BOD 22-01 alle agenzie federali statunitensi per le due vulnerabilità di Microsoft Defender inserite nel KEV il 20 maggio, CVE-2026-41091 (escalation locale fino a SYSTEM tramite risoluzione impropria dei link da parte del Malware Protection Engine) e CVE-2026-45498 (denial of service che può silenziare la protezione). Anche fuori dal perimetro federale USA, le due falle dell’antivirus di casa Microsoft meritano lo stesso trattamento d’urgenza: un EDR compromesso o disattivato è il preludio tipico delle fasi successive di un’intrusione.

Gamaredon industrializza l’ecosistema “Gamma” via WinRAR

Capitolo APT: il gruppo Gamaredon, riconducibile all’FSB russo, continua a sfruttare la vulnerabilità CVE-2025-8088 di WinRAR (path traversal) in una campagna modulare contro obiettivi governativi ucraini, documentata dalla ricerca di Sekoia sulla base di una catena d’infezione osservata da gennaio 2026 e ripresa questa settimana dalla stampa di settore. La catena parte dal payload HTA GammaPhish veicolato con archivi RAR armati e si sviluppa nell’ecosistema “Gamma”: il downloader GammaLoad, il worm VBScript GammaWorm, che persiste tramite attività pianificate, nasconde i propri moduli negli Alternate Data Streams di NTFS e usa un canale Telegram pubblico come dead-drop resolver per risolvere l’indirizzo del C2, e l’infostealer GammaSteel, che esfiltra i file verso bucket S3 o server di riserva; Sekoia traccia anche una componente distruttiva, GammaWipe. La campagna conferma due tendenze già osservate nelle operazioni russe, dalla campagna FrostArmada in poi: abuso di piattaforme legittime per il C2 e architetture modulari riconfigurabili al volo, pensate per sopravvivere alle bonifiche.

Priorità operative della settimana

In sintesi, per i team italiani le priorità in ordine di urgenza sono tre. Primo: patchare e ispezionare i NetScaler esposti configurati come SAML IdP, trattandoli come potenzialmente compromessi da marzo. Secondo: completare l’aggiornamento di tutti i domain controller contro CVE-2026-41089 e ridurre l’esposizione del servizio Netlogon. Terzo: allineare il patching alle nuove voci KEV, incluse le due falle di Defender, e aggiornare WinRAR ovunque sia presente, dato che CVE-2025-8088 resta sfruttata mesi dopo la correzione. Nota di contesto: la sintesi settimanale del CERT-AGID sulle campagne italiane non risultava ancora pubblicata al momento di andare online; il quadro nazionale verrà ripreso nel prossimo numero della rubrica.

Condividi sui Social Network:

Ultimi Articoli