Spcnet.it

2026-06-09 14:05:21

CVE-2026-20245 e CVE-2026-41089: zero-day Cisco SD-WAN e RCE su Netlogon sotto attacco attivo

Questa settimana il panorama della sicurezza infrastrutturale è segnato da due vulnerabilità critiche in sfruttamento attivo: un zero-day su Cisco Catalyst SD-WAN Manager e un buffer overflow nel protocollo Netlogon di Windows. Entrambe riguardano componenti centrali nelle architetture enterprise e richiedono attenzione immediata da parte degli amministratori di sistema.

CVE-2026-20245: Zero-day su Cisco Catalyst SD-WAN Manager

Cisco ha divulgato la vulnerabilità CVE-2026-20245, una privilege escalation critica che colpisce Cisco Catalyst SD-WAN Manager. La caratteristica più preoccupante è che, al momento della divulgazione, non è disponibile alcuna patch.

Secondo Cisco, sono stati osservati casi di sfruttamento attivo in cui l’attaccante è riuscito a modificare configurazioni e a propagarle verso i dispositivi edge della rete SD-WAN. Questo tipo di accesso è particolarmente pericoloso perché consente potenzialmente di alterare il routing del traffico, intercettare comunicazioni o isolare segmenti di rete.

Il contesto: il gruppo UAT-8616

L’attività non è isolata. Il threat actor noto come UAT-8616 ha già sfruttato in precedenza vulnerabilità simili di authentication bypass su sistemi SD-WAN Cisco. Il pattern operativo del gruppo prevede:

• Sfruttamento di falle di autenticazione per accedere al management plane
• Modifica delle configurazioni degli edge device per ottenere persistenza o pivoting laterale
• Campagne mirate a infrastrutture enterprise con SD-WAN distribuita geograficamente

Mitigazioni temporanee

In assenza di patch, Cisco raccomanda di:

• Limitare l’accesso alla management interface di SD-WAN Manager esclusivamente a indirizzi IP fidati tramite ACL
• Abilitare il logging avanzato per rilevare accessi anomali o modifiche di configurazione non autorizzate
• Monitorare i cambiamenti alla configurazione degli edge device con sistemi di change management
• Isolare il piano di gestione (out-of-band management) dalla rete dati

Verificare costantemente la pagina degli advisory di sicurezza Cisco per l’uscita della patch.

CVE-2026-41089: RCE nel protocollo Netlogon di Windows

Parallelamente, è in corso lo sfruttamento attivo di CVE-2026-41089, una vulnerabilità di tipo stack-based buffer overflow nel protocollo Netlogon di Windows. La falla consente l’esecuzione di codice remoto (RCE) senza necessità di autenticazione preventiva.

Il protocollo Netlogon è fondamentale nell’ecosistema Active Directory: gestisce l’autenticazione dei computer membri del dominio, la sincronizzazione delle password degli account macchina e la comunicazione sicura tra domain controller. Un attaccante che sfrutti questa vulnerabilità può eseguire codice arbitrario direttamente su un domain controller, compromettendo di fatto l’intera infrastruttura Active Directory.

Perché è critica

I domain controller rappresentano il cuore pulsante di ogni infrastruttura Windows enterprise:

• Gestiscono tutte le autenticazioni Kerberos e NTLM
• Ospitano il catalogo globale e le policy di gruppo (GPO)
• Controllano i permessi e i privilegi di tutta la rete

Una compromissione del DC equivale tipicamente a un compromesso totale del dominio: l’attaccante può creare account privilegiati, modificare policy, accedere a segreti Kerberos (Golden Ticket) e muoversi lateralmente verso ogni sistema del dominio.

Azioni immediate

Se non già fatto, è essenziale applicare le patch del Patch Tuesday di giugno 2026 che correggono questa vulnerabilità. Fino all’applicazione della patch:

# Verificare se il servizio Netlogon è esposto su interfacce non necessarie
netstat -ano | findstr :135
netstat -ano | findstr :49152

# Controllare gli accessi recenti ai domain controller
Get-EventLog -LogName Security -InstanceId 4624,4625 -Newest 500 | 
  Where-Object {$_.EntryType -eq 'FailureAudit'} | 
  Select-Object TimeGenerated, Message | 
  Format-Table -AutoSize

È inoltre consigliabile verificare che il traffico Netlogon (RPC su porte dinamiche) sia limitato tramite firewall a soli sistemi del dominio e non esposto verso reti non fidate.

Contesto più ampio: giugno 2026, un mese critico per la sicurezza

Le due CVE sopra descritte si inseriscono in un contesto di patch Tuesday giugno 2026 che conta oltre 120 CVE corrette da Microsoft su Windows 10 e Windows 11. Nello stesso periodo:

• Palo Alto GlobalProtect VPN: rilevati tentativi limitati di sfruttamento di un authentication bypass
• Android (CVE-2025-48595): Google ha rilasciato l’aggiornamento di sicurezza di giugno 2026 per correggere una vulnerabilità di alta severità nel framework, probabilmente già usata in attacchi mirati
• Miasma worm: nei giorni precedenti, un worm ha colpito 73 repository GitHub di Microsoft in un supply chain attack

Checklist per gli amministratori

• ✅ Applicare il Patch Tuesday di giugno 2026 su tutti i domain controller il prima possibile
• ✅ Verificare se l’ambiente usa Cisco Catalyst SD-WAN Manager e implementare le mitigazioni temporanee
• ✅ Abilitare audit logging su DC per rilevare accessi anomali tramite Netlogon
• ✅ Controllare che l’accesso al management plane SD-WAN sia ristretto via ACL
• ✅ Monitorare i bollettini Cisco per la disponibilità della patch CVE-2026-20245

---

Fonti: 4sysops, Help Net Security, SecurityWeek

Cisco SD-WAN zero-day and Windows Netlogon RCE face active exploitation – 4sysops

Cisco has disclosed a critical privilege escalation vulnerability, CVE-2026-20245, affecting Catalyst SD-WAN Manager for which no patch is currently available.

^{IT News (4sysops)}

(in)sicurezza digitale

2026-06-09 13:59:13

PulseRAT: il RAT .NET che usa Google Sheets come C2 e sfrutta il partenariato India-EAU come esca geopolitica

Si parla di:
Toggle

Un ISO caricato dagli Emirati Arabi con dentro un Remote Access Trojan inedito, progettato per nascondersi come servizio Windows legittimo e ricevere comandi da un semplice foglio Google Sheets: è PulseRAT, la nuova minaccia documentata il 6 giugno 2026 dal ricercatore DmpDump. L’esca geopolitica — la settimana della partnership strategica India-EAU, annunciata dal governo Modi nel maggio 2026 — e la catena d’infezione curata ne fanno un sample di forte interesse per la threat intelligence.

Il contesto geopolitico come vettore

Il campione è stato individuato il 19 maggio 2026, caricato su VirusTotal da un indirizzo UAE. Il file si chiama UAE-India_Strategic_Partnership_Week.iso ed è progettato per sembrare documentazione correlata alla visita di stato del Premier indiano Modi negli Emirati Arabi, durante la quale India e UAE hanno firmato accordi nel settore della difesa e dell’energia. Questo tipo di lure geopolitico — sfruttare eventi diplomatici reali per mascherare malware — è una tattica consolidata di gruppi APT, e suggerisce un operatore con sufficiente consapevolezza del contesto politico regionale per costruire un inganno credibile.

Al momento della pubblicazione dell’analisi, l’attribuzione resta aperta: il ricercatore nota analogie con artefatti legati a un host chiamato desktop-526nitv, ma non formula attribuzioni definitive a gruppi noti.

La catena d’infezione

L’ISO contiene due file:

• UAE-India_Strategic_Partnership-Week.lnk — un collegamento Windows che esegue il secondo file tramite cmd.exe. I metadati del file LNK rivelano che è stato creato su una macchina denominata desktop-526nitv.
• Document_11052026-03578240540350-93.exe — un dropper .NET compilato l’11 maggio 2026, il cui nome originale è FinalTool.exe.

Il dropper esegue le seguenti operazioni:

• Crea la directory %LOCALAPPDATA%\Microsoft\Vault\
• Estrae due risorse embedded: il payload principale (vaultsvc.exe) e un “decoy PDF” da 0 byte
• Registra un Scheduled Task denominato WindowsVaultSyncService tramite l’interfaccia COM del Task Scheduler di Windows (non via riga di comando, riducendo la visibilità nei log)
• Si auto-elimina dopo il setup

Il nome scelto per il servizio — WindowsVaultSyncService — è una tecnica classica di masquerading: nomi plausibili per processi di sistema Windows riducono la probabilità che un analista o un tool automatico sollevino un alert.

Il RAT: Google Sheets come C2

Il payload finale è un RAT .NET con una caratteristica architetturale notevole: utilizza un foglio Google Sheets come canale di command-and-control. Questa tecnica — nota come Living off Trusted Sites (LoTS) — è sempre più diffusa tra gli attori avanzati perché il traffico verso i servizi Google è raramente bloccato a livello di firewall o proxy aziendale e si confonde facilmente col traffico legittimo.

Il funzionamento documentato dal ricercatore:

• Il RAT genera un UID vittima a partire da nome utente e nome macchina
• Crea un mutex GlobalWinSync_ per evitare esecuzioni multiple
• Raccoglie informazioni di sistema tramite PowerShell in-process (systeminfo)
• Scrive i risultati e i log dei comandi eseguiti nel foglio Google Sheets dell’attaccante
• Legge i comandi dal foglio e li esegue tramite PowerShell base64-encoded
• Le stringhe critiche del RAT sono offuscate con una combinazione di base64 e XOR, decodificate a runtime dal metodo JIT

MITRE ATT&CK mapping

La catena copre diverse tecniche MITRE: T1204.002 (esecuzione file malevolo tramite LNK), T1059.001 (PowerShell), T1053.005 (Scheduled Task per persistenza), T1071.001 e T1102.001 (C2 via web service Google Sheets), T1027 (offuscamento stringhe), T1070.004 (auto-delete del dropper).

Indicatori di compromissione (IoC)

# File names
UAE-India_Strategic_Partnership_Week.iso
Document_11052026-03578240540350-93.exe
UAE-India_Strategic_Partnership-Week.lnk
vaultsvc.exe
# SHA-256 hashes
1ba67bb1cfad42446880cca53cbd05fe66d7514b2bb139b48e5c63adff14be7b  (ISO)
2cc7c2d8653c98e5bac32fcaf5e45b861efb4bb87df3b3f96285edb475e75bba  (dropper)
62d62950ff7a0e43550a5d0ba55d32d5083b9de5538e0f012e406b6d951e16aa  (RAT)
# Google Sheets C2
Spreadsheet ID: 1Lb5BEIsehbCGe8p1jkfWf5Mw1dBAcw5RHWFdga5gFq8
Service account: [redacted]@insicurezza-lab.iam.gserviceaccount.com
# Host artifact
Hostname: desktop-526nitv
# Mutex
GlobalWinSync_
# Scheduled Task
WindowsVaultSyncService

Due righe per i difensori

PulseRAT è un campione che illustra una tendenza crescente: l’abuso di infrastrutture cloud legittime (Google, OneDrive, GitHub, Slack) per il C2. Dal punto di vista difensivo, bloccare questo tipo di traffico è complesso perché si sovrappone al traffico produttivo aziendale. Alcune contromisure pratiche:

• Monitorare creazioni anomale di Scheduled Task tramite l’interfaccia COM (Event ID 4698 nei log Windows Security, con particolare attenzione a task non firmati o con path in %LOCALAPPDATA%).
• Implementare regole YARA o EDR per rilevare dropper .NET che si auto-eliminano dopo aver scritto payload in directory utente.
• Considerare il blocco o il monitoraggio stretto delle API di Google Sheets in uscita da endpoint non autorizzati a usarle.
• Bloccare il mount automatico di file ISO da fonti esterne tramite Group Policy.
• Aggiungere i hash SHA-256 riportati alle threat intel feed aziendali.

Il ricercatore DmpDump ha reso disponibile l’analisi completa sul suo blog, con screenshot del codice decompilato e della struttura del foglio Google Sheets usato come C2. La ricerca resta aperta sull’attribuzione: se hai visto sample simili, il ricercatore accetta segnalazioni per aggiornare il nome e i riferimenti alla famiglia malware.