Martyn Ditchburn, CTO in residence Zscaler

ezstandalone.cmd.push(function () { ezstandalone.showAds(604); });
L’intelligenza artificiale, come qualsiasi tecnologia, non è intrinsecamente buona o cattiva: tutto dipende da chi la utilizza e per quale scopo. Ciò che è certo però, è che l’IA si sta evolvendo più velocemente della sua controparte più prudente, cioé la regolamentazione, dal momento che i legislatori faticano a stare al passo. A complicare la situazione, l’IA sta innovando anche al proprio interno, generando un’accelerazione senza precedenti nello sviluppo tecnologico.

Questo scenario sta aprendo la strada a una nuova serie di sfide per la sicurezza, l’ultima delle quali è rappresentata dal vibe coding. Come per qualsiasi ciclo di innovazione in ambito IA, è fondamentale capire di cosa si tratta e quali sono le implicazioni per la sicurezza.

ezstandalone.cmd.push(function () { ezstandalone.showAds(612); });

Cos’è il vibe coding

Fondamentalmente, il vibe coding è un approccio moderno allo sviluppo del software. Questo cambiamento si comprende meglio osservando l’evoluzione del ruolo dello sviluppatore. In precedenza, uno sviluppatore avrebbe avuto il compito di scrivere manualmente ogni riga di codice, per poi procedere con le classiche fasi di ispezione, test, correzione e rilascio. Ora, con l’introduzione del vibe coding, uno sviluppatore di software – e anche una persona comune – è in grado di saltare il primo passaggio, affidando all’intelligenza artificiale la scrittura del codice, limitandosi a guidarla, per poi testarlo e perfezionarlo.

Sulla carta, i benefici sono evidenti. Gli sviluppatori possono lavorare in modo più efficiente, l’accesso alla programmazione viene democratizzato, aprendolo anche agli sviluppatori alle prime armi e la creatività e la sperimentazione sono stimolate, con la creazione di nuove applicazioni rivolte ai consumatori, intuitive e facili da usare. Anche il CEO di Google, Sundar Pichai, si è lasciato coinvolgere, affermando che “è una sensazione meravigliosa fare il programmatore”, dopo essersi lasciato sfuggire che stava provando a creare una applicazione web.

Come accade per ogni innovazione guidata dall’IA – e vista la crescente accessibilità degli strumenti – il fenomeno prende piede nel settore, cambia le abitudini e porta alla nascita di nuove aziende e strumenti. Solo poche settimane fa, la società di vibe coding Lovable era in trattative per una valutazione da 1,5 miliardi di dollari. È evidente che non si può fermare questa corrente: bisogna imparare a gestirla, creare barriere adeguate e gestire correttamente i rischi. Ma quali sono questi rischi?

ezstandalone.cmd.push(function () { ezstandalone.showAds(613); });

I rischi per la sicurezza

Così come il vibe coding può essere utilizzato per scopi innovativi, può anche diventare un veicolo per nuove minacce informatiche. Per affrontare in modo efficace lo scenario, le aziende hanno bisogno di un codice sicuro, conforme e gestibile. La verità è che un codice dannoso non deve essere sofisticato né particolarmente duraturo per creare danni.

Nell’odierno panorama delle minacce guidate dall’IA, i criminali possono persino utilizzare comandi vocali per generare codice dannoso volto a sfruttare le vulnerabilità. Se portiamo questa riflessione un passo oltre, il quadro si complica ulteriormente con l’introduzione degli agenti IA, che aggiungono un’altra dimensione pericolosa. Sebbene l’IA generativa possa già produrre codice come parte del vibe coding, è comunque necessario che l’esecuzione del codice avvenga in ambienti isolati, almeno finché un agente IA non se ne assumerà la responsabilità.

Il vibe coding può inoltre causare problemi all’interno dei team stessi della sicurezza. Spesso è un’attività individuale, che compromette la natura collaborativa e agile delle pratiche DevOps. Senza una programmazione strutturata e una consapevolezza della sicurezza, il vibe coding può introdurre rischi nascosti.

ezstandalone.cmd.push(function () { ezstandalone.showAds(614); });

Strategie difensive

Il vibe coding rappresenta un salto in termini di astrazione, consentendo ai programmatori di generare codice con il linguaggio naturale. Se da un lato abbassa la barriera d’ingresso e democratizza l’accesso alla programmazione, dall’altro aumenta il rischio di un uso improprio da parte di utenti non qualificati. Le aziende devono adottare una visione di lungo periodo. Il vibe coding è solo l’ultima evoluzione degli attacchi guidati dall’IA, e per quanto sia facile concentrarsi sulla tecnologia del momento, le aziende devono prepararsi a difendersi da questo fenomeno e da ciò che verrà dopo.

La prima e più importante strategia difensiva consiste nell’adozione di un’architettura Zero Trust. Questo processo di sicurezza presuppone che nessuna entità (utente, dispositivo o applicazione) debba essere considerata attendibile a priori, anche se si trova all’interno della rete aziendale. Il vecchio adagio “se riesci a raggiungerlo, puoi violarlo” non è mai stato così attuale. Per questo motivo, ridurre o eliminare la superficie d’attacco è uno dei modi più efficaci per rafforzare il proprio livello di sicurezza.

In secondo luogo, le tecnologie basate su piattaforma offrono un valore elevato. I fornitori di piattaforme, infatti, raccolgono e analizzano enormi quantità di dati grazie al supporto di milioni di clienti, e le informazioni che ne derivano sono estremamente preziose. È un po’ come il concetto di immunità di gregge; se una vulnerabilità viene individuata e risolta in un’organizzazione, la soluzione può essere rapidamente estesa a molte altre. In sostanza, adottando una piattaforma condivisa, le aziende beneficiano dell’esperienza collettiva e della protezione derivante dall’intero ecosistema. Infine, è fondamentale che le aziende adottino un approccio proattivo alla sicurezza, passando da una logica difensiva a una di tipo offensivo, quella che comunemente viene chiamata “threat hunting”, ovvero caccia alle minacce. Mitigando i rischi prima che si aggravino, le aziende possono rafforzare il loro livello di sicurezza complessivo.

ezstandalone.cmd.push(function () { ezstandalone.showAds(615); });

Uno sguardo al futuro

In definitiva, per ragioni come l’efficienza dei costi, l’intelligenza artificiale continuerà a cambiare il modo in cui lavoriamo e quindi a influenzare come ci proteggiamo dalle minacce in evoluzione. In futuro, il vibe coding potrebbe coinvolgere più agenti di intelligenza artificiale che gestiscono diversi aspetti del processo, con un agente per ambiti come la creatività, la sicurezza e la struttura.

Quando ben implementata, la sicurezza può stimolare crescita e guadagni, favorendo l’espansione sul mercato, l’agilità operativa e l’adozione di best practice aziendali. Al contrario, se trascurata, rende le aziende vulnerabili ai rischi legati alle più recenti innovazioni e tendenze dell’IA. Adottando una visione di lungo termine del panorama delle minacce, implementando un modello Zero Trust e adottando un approccio proattivo alla loro sicurezza, le aziende possono proteggersi meglio e crescere con successo.

L'articolo Vibe Coding: Rivoluzione o Rischio per la Sicurezza? proviene da il blog della sicurezza informatica.

NetScaler ha avvisato gli amministratori di tre nuove vulnerabilità in NetScaler ADC e NetScaler Gateway, una delle quali è già utilizzata in attacchi attivi. Sono disponibili aggiornamenti e il fornitore invita a installarli immediatamente: exploit per CVE-2025-7775 sono stati individuati su dispositivi non protetti.

ezstandalone.cmd.push(function () { ezstandalone.showAds(604); });
I bug includono un overflow di memoria con rischio di esecuzione di codice e di negazione del servizio, un secondo bug simile con crash del servizio e comportamento imprevedibile e un problema di controllo degli accessi nell’interfaccia di gestione. I bug interessano sia le release standard sia le build conformi a FIPS/NDcPP. Gli aggiornamenti sono già stati distribuiti per i servizi cloud gestiti dal fornitore, ma le installazioni client richiedono aggiornamenti manuali.

Le versioni interessate sono: NetScaler ADC e Gateway 14.1 (precedentemente alla versione 14.1-47.48), 13.1 (precedente alla versione 13.1-59.22), nonché NetScaler ADC 13.1-FIPS/NDcPP (precedente alla versione 13.1-37.241) e 12.1-FIPS/NDcPP (precedente alla versione 12.1-55.330).

ezstandalone.cmd.push(function () { ezstandalone.showAds(612); });
Si segnala inoltre che le versioni 12.1 e 13.0 non sono più supportati e devono essere trasferiti alle versioni correnti. Gli aggiornamenti sono disponibili sia per i gateway standard sia per le distribuzioni Secure Private Access on-prem e ibride che utilizzano istanze NetScaler.

Citrix consiglia di effettuare l’aggiornamento alle seguenti build:

• 14.1-47.48 e versioni successive per la riga 14.1;ezstandalone.cmd.push(function () { ezstandalone.showAds(613); });
• 13.1-59.22 e versioni successive per 13.1;
• 13.1-37.241 e versioni successive per 13.1-FIPS/NDcPP;
• 12.1-55.330 e versioni successive per 12.1-FIPS/NDcPP.ezstandalone.cmd.push(function () { ezstandalone.showAds(614); });

Non ci sono soluzioni alternative.

Sono già state implementate delle correzioni per i cloud gestiti da Citrix e per l’Autenticazione Adattiva.

Per valutare la propria installazione, gli amministratori possono verificare la presenza nella propria configurazione delle stringhe rivelatrici elencate nel bollettino. Citrix ha inviato una notifica a clienti e partner tramite il sito di supporto di NetScaler. I problemi sono confermati anche dai bollettini di settore e dai database delle vulnerabilità.

ezstandalone.cmd.push(function () { ezstandalone.showAds(615); });
L'articolo Vulnerabilità critiche in NetScaler ADC e Gateway. Aggiorna subito! Gli attacchi sono in corso! proviene da il blog della sicurezza informatica.

I criminali informatici stanno rapidamente padroneggiando l’intelligenza artificiale generativa, e non stiamo più parlando di lettere di riscatto “spaventose”, ma di sviluppo di malware a tutti gli effetti. Il team di ricerca di Anthropic ha riferito che gli aggressori si affidano sempre più a modelli linguistici di grandi dimensioni, fino all’intero ciclo di creazione e vendita di strumenti di crittografia dei dati.

ezstandalone.cmd.push(function () { ezstandalone.showAds(604); });
Parallelamente, ESET ha descritto un concetto di attacco in cui i modelli locali, dal lato dell’aggressore, assumono le fasi chiave dell’estorsione. La totalità delle osservazioni mostra come l‘intelligenza artificiale rimuova le barriere tecniche e acceleri l’evoluzione degli schemi ransomware.

Secondo Anthropic, i partecipanti alla scena dell’estorsione utilizzano Claude non solo per preparare testi e scenari di negoziazione, ma anche per generare codice, testare e pacchettizzare programmi e lanciare servizi secondo il modello “crime as a service”. L’attività è stata registrata da un operatore del Regno Unito, a cui è stato assegnato l’identificativo GTG-5004.

ezstandalone.cmd.push(function () { ezstandalone.showAds(612); });
Dall’inizio dell’anno, l’operatore offre kit di attacco su forum underground a prezzi compresi tra 400 e 1.200 dollari, a seconda del livello di configurazione. Le descrizioni includevano diverse opzioni di crittografia, strumenti per aumentare l’affidabilità operativa e tecniche per eludere il rilevamento. Allo stesso tempo, secondo Anthropic, il creatore non ha una conoscenza approfondita della crittografia, delle tecniche di controanalisi o dei meccanismi interni di Windows: ha colmato queste lacune con l’aiuto di suggerimenti e della generazione automatica di Claude.

L’azienda ha bloccato gli account coinvolti e implementato filtri aggiuntivi sulla sua piattaforma, tra cui regole per il riconoscimento di pattern di codice distintivi e controlli basati sulle firme dei campioni caricati, per impedire in anticipo i tentativi di trasformare l’IA in una fabbrica di malware . Ciò non significa che l’IA stia già producendo in serie tutti i moderni trojan crittografici, ma la tendenza è allarmante: anche gli operatori immaturi stanno ottenendo un acceleratore che in precedenza era disponibile solo per gruppi esperti di tecnologia.

Il contesto del settore non fa che gettare benzina sul fuoco. Negli ultimi anni, gli estorsori sono diventati più aggressivi e inventivi, e i parametri di valutazione all’inizio del 2025 indicavano volumi record di incidenti e profitti multimilionari per i criminali. Alle conferenze di settore, è stato riconosciuto che i progressi sistemici nella lotta contro l’estorsione non sono ancora visibili. In questo contesto, l’intelligenza artificiale promette non solo un adattamento estetico dell’estorsione, ma un ampliamento dell’arsenale, dalla fase di penetrazione all’analisi automatizzata dei dati rubati e alla formulazione delle richieste.

ezstandalone.cmd.push(function () { ezstandalone.showAds(613); });
Un capitolo a parte è la dimostrazione di ESET chiamata PromptLock(del quale abbiamo parlato ieri). Si tratta di un prototipo in cui un modello distribuito localmente può generare script Lua al volo per inventariare i file di destinazione, rubare contenuti e avviare la crittografia. Gli autori sottolineano che si tratta di un concetto, non di uno strumento visto in attacchi reali, ma illustra un cambiamento: i modelli di grandi dimensioni non sono più solo un “prompt” basato sul cloud e stanno diventando una componente autonoma dell’infrastruttura di un aggressore.

Certo, l’intelligenza artificiale locale richiede risorse e occupa spazio, ma i trucchi per ottimizzare e semplificare l’inferenza rimuovono alcune delle limitazioni, e i criminali informatici stanno già esplorando queste possibilità.

Il rapporto di Anthropic descrive anche un altro cluster, identificato come GTG-2002. In questo caso, Claude Code è stato utilizzato per selezionare automaticamente i bersagli, preparare strumenti di accesso, sviluppare e modificare malware e quindi esfiltrare e contrassegnare i dati rubati. Alla fine, la stessa IA ha contribuito a generare richieste di riscatto basate sul valore di quanto trovato negli archivi. Nell’ultimo mese, l’azienda stima che almeno diciassette organizzazioni del settore pubblico, sanitario, dei servizi di emergenza e delle istituzioni religiose siano state colpite, senza rivelarne i nomi. Questa architettura mostra come il modello diventi sia un “consulente” che un operatore, riducendo il tempo tra la ricognizione e la monetizzazione.

ezstandalone.cmd.push(function () { ezstandalone.showAds(614); });
Alcuni analisti osservano che la totale “dipendenza dall’intelligenza artificiale” tra i ransomware non è ancora diventata la norma e che i modelli sono più comunemente utilizzati come primo step di sviluppo, per l’ingegneria sociale e l’accesso iniziale. Tuttavia, il quadro emergente sta già cambiando gli equilibri di potere: abbonamenti economici, sviluppi open source e strumenti di lancio locali rendono lo sviluppo e la manutenzione delle operazioni ransomware più accessibili che mai.

Se questa dinamica continua, i difensori dovranno considerare non solo i nuovi file binari, ma anche le catene decisionali delle macchine che questi file binari producono, testano e distribuiscono.

L'articolo La Democratizzazione della Criminalità informatica è arrivata! “Non so programmare, ma scrivo ransomware” proviene da il blog della sicurezza informatica.

For certain situations, older hardware is preferred or even needed to accomplish a task. This is common in industrial applications where old machinery might not be supported by modern hardware or software. Even in these situations though, we have the benefit of modern technology and the Internet to get these systems up and running again. [Old Computers Sucked] is not only building a mid-90s system to receive NOAA satellite imagery, he’s doing it only with tools and equipment available to someone from this era.

Of course the first step here is to set up a computer and the relevant software that an amateur radio operator would have had access to in 1994. [Old Computers Sucked] already had the computer, so he turned to JV-FAX for software. This tool can decode the APT encoding used by some NOAA satellites without immediately filling his 2 MB hard drive, so with that out of the way he starts on building the radio.

In the 90s, wire wrapping was common for prototyping so he builds a hardware digitizer interface using this method, which will be used to help the computer interface with the radio. [Old Computers Sucked] is rolling his own hardware here as well, based on a Motorola MC3362 VHF FM chip and a phase-locked loop (PLL), although this time on a PCB since RF doesn’t behave nicely with wire wrap. The PCB design is also done with software from the 90s, in this case Protel which is known today as Altium Designer.

In the end, [Old Computers Sucked] was able to receive portions of imagery from weather satellites still using the analog FM signals from days of yore, but there are a few problems with his build that are keeping him from seeing perfectly clear imagery. He’s not exactly sure what’s wrong but he suspects its with the hardware digitizer as it was behaving erratically earlier in the build. We admire his dedication to the time period, though, down to almost every detail of the build. It reminds us of [saveitforparts]’s effort to get an 80s satellite internet experience a little while back.

youtube.com/embed/xVsBt21cs8Q?…

hackaday.com/2025/08/28/receiv…

Il mondo della telefonia VoIP è finito ancora una volta nel mirino dei criminali informatici. Questa volta tocca a FreePBX, la piattaforma open-source costruita su Asterisk e diffusissima in aziende, call center e provider di servizi.

ezstandalone.cmd.push(function () { ezstandalone.showAds(604); });
La Sangoma FreePBX Security Team ha lanciato l’allarme: una vulnerabilità zero-day sta colpendo i sistemi che espongono in rete l’Administrator Control Panel (ACP). E non si tratta di una minaccia teorica: da giorni l’exploit è già attivamente sfruttato, con conseguenze pesanti per chi non ha preso adeguate contromisure.

L’attacco: comandi arbitrari e compromissioni di massa

Secondo le prime segnalazioni, l’exploit permette agli aggressori di eseguire qualsiasi comando con i privilegi dell’utente Asterisk. In altre parole, controllo totale del PBX e possibilità di manipolare configurazioni, deviare chiamate, compromettere trunk SIP e persino generare traffico internazionale non autorizzato.

ezstandalone.cmd.push(function () { ezstandalone.showAds(612); });
Un utente del forum FreePBX ha dichiarato:

“Abbiamo riscontrato compromissioni multiple all’interno della nostra infrastruttura, con circa 3.000 estensioni SIP e 500 trunk impattati.”

Non si tratta di un caso isolato: altri amministratori, persino su Reddit, hanno confermato di aver subito la stessa sorte.

ezstandalone.cmd.push(function () { ezstandalone.showAds(613); });

Indicatori di compromissione (IoC) da monitorare

Sangoma non ha divulgato i dettagli tecnici della vulnerabilità, ma la community ha condiviso una serie di segnali da cercare nei propri sistemi:

• File /etc/freepbx.conf mancante o modificato.
• Presenza dello script /var/www/html/.clean.sh, caricato dagli attaccanti.ezstandalone.cmd.push(function () { ezstandalone.showAds(614); });
• Log Apache sospetti legati a modular.php.
• Chiamate insolite verso l’estensione 9998 nei log di Asterisk (a partire dal 21 agosto).
• Voci non autorizzate nella tabella ampusers del database MariaDB/MySQL, con la comparsa di un utente sospetto ampuser.ezstandalone.cmd.push(function () { ezstandalone.showAds(615); });

Chi riscontra anche uno solo di questi IoC deve considerare il proprio sistema già compromesso.

Patch di emergenza (ma non per tutti…)

La Sangoma FreePBX Security Team ha rilasciato un fix EDGE per proteggere le nuove installazioni, in attesa della patch ufficiale prevista a stretto giro. Tuttavia, la correzione non risolve i sistemi già infetti.

Comandi per installare l’EDGE fix:

ezstandalone.cmd.push(function () { ezstandalone.showAds(616); });
FreePBX v16/v17:

fwconsole ma downloadinstall endpoint --edge

PBXAct v16:

fwconsole ma downloadinstall endpoint --tag 16.0.88.19

PBXAct v17:

ezstandalone.cmd.push(function () { ezstandalone.showAds(617); });
fwconsole ma downloadinstall endpoint --tag 17.0.2.31

C’è però un problema non da poco: chi ha un contratto di supporto scaduto rischia di non poter scaricare l’aggiornamento, restando così con il PBX esposto e senza difese.

Cosa fare subito

Gli amministratori che non riescono ad applicare il fix devono bloccare immediatamente l’accesso all’ACP da internet, limitandolo solo a host fidati.
In caso di compromissione, le indicazioni di Sangoma sono chiare:

• Ripristinare i sistemi da backup antecedenti al 21 agosto.ezstandalone.cmd.push(function () { ezstandalone.showAds(618); });
• Reinstallare i moduli aggiornati su ambienti puliti.
• Cambiare tutte le credenziali di sistema e SIP.
• Analizzare call detail records e fatturazione per traffico sospetto, soprattutto internazionale.ezstandalone.cmd.push(function () { ezstandalone.showAds(619); });

Conclusione

Esporre pannelli di amministrazione su internet rappresenta un rischio critico che non dovrebbe mai essere sottovalutato. La vicenda FreePBX dimostra come una vulnerabilità zero-day, combinata con configurazioni poco accorte, possa rapidamente trasformarsi in una compromissione su larga scala.

È fondamentale adottare un approccio proattivo: limitare l’accesso agli ACP esclusivamente da host fidati, monitorare costantemente gli indicatori di compromissione e mantenere aggiornati moduli e componenti. Solo così è possibile ridurre l’impatto di minacce che, come in questo caso, possono colpire senza preavviso e con conseguenze rilevanti per la continuità operativa e la sicurezza delle comunicazioni aziendali.

L'articolo FreePBX sotto attacco: exploit zero-day già in uso, rilasciata una patch di emergenza proviene da il blog della sicurezza informatica.