Specialisti di Wiz Research hanno scoperto delle vulnerabilità su Ingress-Nginx per Kubernetes. I bug consentono a un aggressore di eseguire da remoto codice arbitrario e di ottenere il controllo completo del cluster. Gli esperti stimano che su Internet siano state scoperte più di 6.500 entry point vulnerabili, tra cui quelle di aziende Fortune 500.

I controller di Kubernetes fungono da collegamento tra il mondo esterno e le applicazioni all’interno del cluster. Elaborano oggetti in ingresso, ovvero regole che descrivono quale traffico HTTP/S esterno deve essere indirizzato e dove. Ingress-Nginx è uno dei controller più comuni basati sul server web Nginx. Converte automaticamente le descrizioni degli oggetti in ingresso nei file di configurazione Nginx e reindirizza il traffico ai servizi richiesti.

Questo vulnerabilità ha a che fare con il modo in cui Ingress-Nginx gestisce tali configurazioni. Il controllor è responsabile della verifica dei parametri di configurazione. Quando riceve un oggetto in ingresso, genera una configurazione Nginx e la passa al validatore per la verifica. È qui che è stato scoperto il bug: è possibile iniettare una configurazione dannosa che consentirà l’esecuzione di codice arbitrario direttamente all’interno del pod in cui è in esecuzione il controller.

Ciò che è particolarmente pericoloso è che il controller ha per impostazione predefinita ampi privilegi e accesso a tutti gli spazi dei nomi all’interno del cluster. Un attacco riuscito consente all’hacker non solo di eseguire il proprio codice, ma anche di ottenere l’accesso a tutti i segreti, compresi i dati sensibili delle applicazioni e dei componenti di sistema.

La vulnerabilità più pericolosa è il CVE-2025-1974 (Punteggio CVSS: 9,8). La falla consente l’esecuzione di codice remoto sul controller tramite un oggetto di ingresso appositamente creato. Altre vulnerabilità sono: CVE-2025-1097 , CVE-2025-1098 e il CVE-2025-24514 che hanno tutti punteggio CVSS di 8,8. Il problema “più semplice” è il CVE-2025-24513 con score CVSS: 4,8.

Alle vulnerabilità è stato dato il nome collettivo IngressNightmare. Wiz ha informato gli sviluppatori della scoperta alla fine del 2024. Le patch sono state rilasciate il 10 marzo 2025, ma i dettagli non sono stati ancora rivelati. Le versioni di Ingress-Nginx che hanno riscontrato problemi sono 1.12.1 e 1.11.5. disponibile per il download.

Esiste il rischio che non tutti gli amministratori aggiorneranno i propri cluster in tempo. Kubernetes viene spesso utilizzato per ospitare applicazioni aziendali critiche e l’aggiornamento dei componenti può rivelarsi un’attività complessa. In questi casi, Wiz consiglia di disabilitare temporaneamente il componente del controller di ammissione o di limitarne l’accesso tramite rete, consentendone l’accesso solo dal server API Kubernetes.

L'articolo IngressNightmare e Allarme Kubernetes: Bug Critici su Ingress-Nginx Espongono 6.500 Cluster! proviene da il blog della sicurezza informatica.

In his short time as chair of the Federal Communications Commission, Brendan Carr has made so many MAGA moves contradicting what he’s previously claimed to believe in that it’s hard to pick the most hypocritical one. But high on the list is his decision to reopen the “news distortion” investigation into CBS over the editing of a “60 Minutes” interview with Kamala Harris, based on a complaint by the right-wing Center for American Rights.

The sham investigation is one of the many ways that Carr has used the FCC “to intimidate media organizations, influence editorial decisions, and suppress speech that’s critical of the administration,” as explained by a recent letter led by Public Knowledge and joined by Freedom of the Press Foundation (FPF) and other rights groups.

We’re not the only ones who think so. In an unprecedented move, Carr invited the public to weigh in on the CBS investigation, and they did. In addition to thousands of individual comments, groups on the right and the left, as well as nonpartisan organizations, expressed their views.

Many comments, including some from current and former journalists, highlighted how Carr is abusing FCC’s authority, chilling press freedom, and setting up conservative media for future regulatory retaliation. Here are excerpts from some of the best comments on those themes.

Current and former journalists tell Carr why he’s wrong:

• Christopher Terry and J. Israel Balderas, former broadcast journalists (reply comments): “The spectacle of government officials — many of whom couldn’t edit a 30-second news package if their careers depended on it — presuming to second-guess professional journalists’ editorial judgments would be laughable if it weren’t so constitutionally abhorrent. This proceeding isn’t about protecting the public from ‘distortion.’ It’s about intimidating journalists who don’t toe the preferred political line.”
• Javier Manjarres, publisher of The Floridian: “I’ve had the privilege of covering policy and politics for over a decade, interviewing dozens of conservative leaders and publishing countless articles. I firmly believe that conservatives win by countering bad ideas with better ones — not by inviting government bureaucrats to referee political media battles.”
• Christopher Arps, NewsTalkSTL host and NewsMax contributor: “If the FCC starts injecting itself as an arbiter of what is considered fair or biased and begins using that judgment as an impetus to regulate major news networks based on their editorial choices, we are no better than the ‘big brother’ government oppressors we have proudly stood up against under Democrat administrations.”

Carr’s abuse of the FCC’s authority:

• American Civil Liberties Union: “Baseless investigations are intended to scare those entities being investigated. And this investigation is just one of many that Chairman Carr has threatened since taking the Chairmanship. He has also threatened investigations against PBS/NPR, Comcast/NBC, and KCBS. Together, these investigations into disfavored media outlets send a message: say what we want you to say, or you will have to spend your resources defending yourself instead of reporting.”
• Center for Democracy and Technology: “This proceeding is not about news distortion. The publication of the full transcript and unedited video of the interview at issue lays that fact bare. CDT is concerned that the FCC’s reinstatement of this complaint is part of a systematic effort to extract favorable news coverage of the current Administration and negative coverage of its political opponents from broadcast journalists, contravening the First Amendment and exceeding the FCC’s authority over broadcast licensees.”
• Public Knowledge: “The timing and nature of these actions suggest that the technical machinery of media regulation might be transforming into something more problematic: a powerful lever that administrations can pull to intimidate media organizations they view as unfavorable — and thus undermine the very same democratic principles these independent agencies were designed to uphold.”
• The Media Institute: “The FCC simply cannot, and should not, set itself up to be an overseer of countless editorial decisions by news organizations. … Such a sweeping and constitutionally impaired role for the FCC was never the rationale for the policy, and it should not be routinely invoked at this time as a means of chilling or even outright censoring news coverage the government finds objectionable.”
• Former FCC Commissioners: “By reopening this complaint, the Commission is signaling to broadcasters that it intends to act at the behest of the White House by closely scrutinizing the content of news coverage and threatening the regulatory licenses of broadcasters whose news outlets produce coverage that does not pass muster in the President’s view.”

The investigation’s chilling impact on journalism and free speech:

• Foundation for Individual Rights and Expression: “There is a name for this kind of thing — it is called a show trial. When proceedings become a performative exercise conducted to further a political purpose, they forfeit any claim to legitimacy. Show trials tend to be retributive rather than corrective and are designed to send a message, not just to their unfortunate victims, but as a warning to other would-be transgressors.”
• Free Press (Reply Comment): “The very material burden this spectacle imposes on journalists cannot be overstated. As Commissioner Gomez has noted, the Commission’s speech-restrictive actions have already prompted broadcasters to tell ‘their reporters to be careful about how they cover stories because they fear government retribution.’ This is precisely the chilling effect … that the First Amendment guards against.”
• Reporters Committee for Freedom of the Press: “Interference by any regulatory body into the editorial judgments of journalists and news organizations threatens to both suppress news in the public interest and to interfere with the flow of information that the electorate needs to oversee the government.”
• Center for Democracy and Technology: “It does not matter if the FCC closes this proceeding without a finding that CBS violated FCC law or policy: the damage has been done. The reinstatement of the complaint and opening of this proceeding are intimidation tactics intended to pressure a news organization into providing the type and style of coverage that those currently holding political power would prefer.”

The impact on other news outlets, including conservative ones:

• Fair Media Council: “Ultimately, it must be noted that to curtail, chill, pressure or outlaw freedom of speech or of the press at any one particular network or outlet, or simply attempt to, will result in a trickle-down effect throughout all American media outlets, regardless of platform or channel: CBS, NBC, ABC, FOX, PBS, CW, NewsMax, NewsNation, One America News Network and the Christian Broadcasting Network, to name but a few, will be directly and irrevocably impacted.”
• Radio Television Digital News Association: “Make no mistake — once journalistic independence is eroded, the media will be ripe for abuse without regard for party or politics.”
• TechFreedom: “Finally, if the new standard for triggering a news distortion analysis is that any edits of raw interview video can be subject to challenge, then the FCC will spend the next four years, at least, fielding dozens, hundreds, thousands of news distortion complaints. … The news distortion complaint process will be weaponized by both political parties, and the business of the FCC will grind to a halt as it will have to assign more and more FTEs to processing these complaints.”
• Javier Manjarres, publisher of The Floridian: “The pendulum of political power shifts over time, and this action would set a dangerous precedent, allowing future Democratic administrations to target conservative media. If the FCC intervenes now, it is only a matter of time before media publishers like me find ourselves in the crosshairs.”

freedom.press/issues/fccs-inve…

La Cybersecurity and Infrastructure Security Agency (CISA) ha emesso un avviso di sicurezza critico riguardante una vulnerabilità di bypass dell’autenticazione nei sistemi FortiOS e FortiProxy di Fortinet. La vulnerabilità, identificata come CVE-2025-24472, è attualmente sfruttata attivamente in campagne ransomware, rendendola una minaccia significativa per le organizzazioni che utilizzano questi prodotti.

Pertanto è importante assicurarsi che i prodotti Fortinet siano correttamente aggiornati e in caso contrario procedere con l’applicazione delle patch.

La falla di sicurezza, che ha ottenuto un punteggio CVSS di 8,1, consente ad aggressori remoti di ottenere privilegi di super amministratore attraverso richieste proxy CSF contraffatte, senza richiedere l’interazione dell’utente. Secondo l’avviso pubblicato da Fortinet: “Una vulnerabilità di bypass dell’autenticazione mediante un percorso o canale alternativo che interessa FortiOS e FortiProxy potrebbe consentire a un aggressore remoto di ottenere privilegi di super amministratore tramite richieste proxy CSF contraffatte.”

Versioni Interessate e implicazioni del bug di sicurezza

Questa vulnerabilità riguarda le seguenti versioni dei prodotti Fortinet:

• FortiOS: dalla versione 7.0.0 alla 7.0.16
• FortiProxy: dalla versione 7.0.0 alla 7.0.19 e dalla 7.2.0 alla 7.2.12

Uno sfruttamento riuscito di questa vulnerabilità potrebbe fornire agli attaccanti pieno accesso amministrativo ai sistemi compromessi. Le potenziali conseguenze includono:

• Creazione di account amministrativi non autorizzati
• Modifica delle policy del firewall
• Accesso non autorizzato alle VPN SSL, consentendo agli aggressori di infiltrarsi nelle reti interne

Questo livello di compromissione rende la vulnerabilità particolarmente pericolosa, soprattutto nel contesto delle operazioni ransomware.

Mitigazioni e Patch Disponibili

La CISA ha invitato tutte le organizzazioni a implementare immediatamente le misure di mitigazione suggerite dal fornitore. Fortinet ha rilasciato le seguenti patch per correggere la vulnerabilità:

• FortiOS: aggiornato alla versione 7.0.17 o successive
• FortiProxy: aggiornato alle versioni 7.0.20 o 7.2.13 o successive

Per le organizzazioni che non possono applicare subito l’aggiornamento, Fortinet raccomanda di:

• Disabilitare l’interfaccia amministrativa HTTP/HTTPS
• Implementare restrizioni basate su IP tramite policy di ingresso locale
• Monitorare i registri per individuare attività sospette, come accessi amministrativi inspiegabili o la creazione di account amministrativi con nomi utente casuali

L’Importanza del Catalogo KEV di CISA

La vulnerabilità CVE-2025-24472 è stata inserita nel catalogo KEV (Known Exploited Vulnerabilities) del CISA, una lista di vulnerabilità confermate come sfruttate attivamente. Il CISA raccomanda a tutte le organizzazioni di dare priorità alla correzione delle vulnerabilità presenti nel catalogo KEV per ridurre il rischio di compromissioni.

L’utilizzo del catalogo KEV come riferimento nella gestione delle vulnerabilità aiuta a identificare e risolvere tempestivamente le falle di sicurezza più critiche, proteggendo le infrastrutture IT da attacchi mirati.

L'articolo CISA: Fortinet FortiOS e FortiProxy sfruttati attivamente. Il Bug di Authentication Bypass finisce nel KEV proviene da il blog della sicurezza informatica.

Roberto, 67enne veneto, da anni combatte contro un glioma diffuso, un tumore cerebrale diagnosticato nel 2006. Dal 2018 la sua condizione è peggiorata con crisi epilettiche quotidiane e difficoltà motorie che gli causano frequenti cadute. Nonostante il dolore e il progressivo deterioramento delle sue condizioni fisiche e cognitive, non vi sono linee terapeutiche in grado di contrastare la malattia.

Lo scorso ottobre, Roberto ha chiesto alla sua azienda sanitaria la verifica delle condizioni per accedere al suicidio medicalmente assistito, viste le sue sofferenze insostenibili e l’irreversibilità della malattia. Nel mese di dicembre l’azienda sanitaria ha nominato una commissione medica, ma a oggi, a oltre cinque mesi dalla richiesta, non sono ancora state effettuate le visite domiciliari previste dalla sentenza 242/2019.

“Vedo avvicinarsi rapidamente il giorno in cui non potrò più dedicarmi le cure e le attenzioni che un essere umano deve poter riservare a sé stesso. Sento che si avvicina rapidamente il momento in cui desidererò sottrarmi alla sofferenza e all’incapacità di essere me stesso con dignità e di rispettarmi come è indispensabile rispettarsi. Nulla desidero come la possibilità di sottrarmi a questo destino, voglio concludere i miei giorni finché sono, sia pure meno che lievemente, in grado di essere come sono stato fino a pochi anni fa” sono le parole e speranze di Roberto.

Evidenzia l’avvocata Filomena Gallo, che coordina il collegio di studio e difesa di Roberto, e Segretaria Nazionale dell’Associazione Luca Coscioni: “un ritardo ingiustificato ed illegittimo da parte dell’azienda sanitaria, che comprime i diritti costituzionalmente garantiti di Roberto. Il tumore di cui è affetto è una vera e propria ‘bomba ad orologeria’, potrebbe esplodere in qualsiasi momento e determinare un’improvvisa perdita delle capacità cognitive, uno stato vegetativo, la perdita a esempio della vista oppure, nel caso peggiore, la sua morte.

Uno scenario doloroso e spaventoso che Roberto vuole evitare in tutti modi, volendo decidere come e quando morire con autosomministrazione del farmaco letale, senza il rischio di trovarsi in uno stato di incapacità improvviso che gli renda impossibile esercitare il suo diritto di autodeterminarsi. Per questo abbiamo diffidato la ASL all’urgente completamento della procedura di verifica delle condizioni di Roberto. Confidiamo anche che la Corte costituzionale accolga l’ultima questione di legittimità costituzionale per cui si è tenuta udienza il giorno 26 marzo, aggiungendo in alternativa al trattamento di sostegno vitale la diagnosi di prognosi infausta”.

Conclude Marco Cappato, tesoriere dell’associazione Luca Coscioni: “se il Consiglio regionale del Veneto avesse approvato la nostra proposta di legge regionale ‘Liberi subito’, Roberto non avrebbe dovuto subire le conseguenze di questa attesa. Chiediamo alla Regione Veneto di definire, con una legge o con un provvedimento di Giunta, dei tempi certi di verifica delle condizioni e una risposta alle persone malate come Roberto”.

L'articolo Un malato di cancro attende da oltre 5 mesi la prima visita per accedere al suicidio assistito proviene da Associazione Luca Coscioni.

Roberto, 67enne veneto, da anni combatte contro un glioma diffuso, un tumore cerebrale diagnosticato nel 2006. Dal 2018 la sua condizione è peggiorata con crisi epilettiche quotidiane e difficoltà motorie che gli causano frequenti cadute. Nonostante il dolore e il progressivo deterioramento delle sue condizioni fisiche e cognitive, non vi sono linee terapeutiche in grado di contrastare la malattia.

Lo scorso ottobre, Roberto ha chiesto alla sua azienda sanitaria la verifica delle condizioni per accedere al suicidio medicalmente assistito, viste le sue sofferenze insostenibili e l’irreversibilità della malattia. Nel mese di dicembre l’azienda sanitaria ha nominato una commissione medica, ma a oggi, a oltre cinque mesi dalla richiesta, non sono ancora state effettuate le visite domiciliari previste dalla sentenza 242/2019.

“Vedo avvicinarsi rapidamente il giorno in cui non potrò più dedicarmi le cure e le attenzioni che un essere umano deve poter riservare a sé stesso. Sento che si avvicina rapidamente il momento in cui desidererò sottrarmi alla sofferenza e all’incapacità di essere me stesso con dignità e di rispettarmi come è indispensabile rispettarsi. Nulla desidero come la possibilità di sottrarmi a questo destino, voglio concludere i miei giorni finché sono, sia pure meno che lievemente, in grado di essere come sono stato fino a pochi anni fa” sono le parole e speranze di Roberto.

Evidenzia l’avvocata Filomena Gallo, che coordina il collegio di studio e difesa di Roberto, e Segretaria Nazionale dell’Associazione Luca Coscioni: “un ritardo ingiustificato e illegittimo da parte dell’azienda sanitaria, che comprime i diritti costituzionalmente garantiti di Roberto. Il tumore di cui è affetto è una vera e propria ‘bomba a orologeria’, potrebbe esplodere in qualsiasi momento e determinare un’improvvisa perdita delle capacità cognitive, uno stato vegetativo, la perdita a esempio della vista oppure, nel caso peggiore, la sua morte.

Uno scenario doloroso e spaventoso che Roberto vuole evitare in tutti modi, volendo decidere come e quando morire con autosomministrazione del farmaco letale, senza il rischio di trovarsi in uno stato di incapacità improvviso che gli renda impossibile esercitare il suo diritto di autodeterminarsi. Per questo abbiamo diffidato la ASL all’urgente completamento della procedura di verifica delle condizioni di Roberto. Confidiamo anche che la Corte costituzionale accolga l’ultima questione di legittimità costituzionale per cui si è tenuta udienza il giorno 26 marzo, aggiungendo in alternativa al trattamento di sostegno vitale la diagnosi di prognosi infausta”.

Conclude Marco Cappato, tesoriere dell’associazione Luca Coscioni: “se il Consiglio regionale del Veneto avesse approvato la nostra proposta di legge regionale ‘Liberi subito’, Roberto non avrebbe dovuto subire le conseguenze di questa attesa. Chiediamo alla Regione Veneto di definire, con una legge o con un provvedimento di Giunta, dei tempi certi di verifica delle condizioni e una risposta alle persone malate come Roberto”.

L'articolo Un malato di cancro attende da oltre 5 mesi la prima visita per accedere al suicidio assistito proviene da Associazione Luca Coscioni.