Breach: nel mirino l’Università di Oxford, il World Food Programme (WFP), Tchap e ServiceNow

Il fornitore terzo Group GTI, responsabile della piattaforma CareerConnect utilizzata dall’Università di Oxford, ha informato l’Ateneo che il sistema era stato oggetto di un accesso non autorizzato. Group GTI ha dichiarato di aver corretto la vulnerabilità e implementato misure di sicurezza. Successivamente, il 2 giugno 2026, il World Food Programme (WFP) delle Nazioni Unite ha confermato una violazione dei dati che ha interessato la Self-Registration Application (SRA), piattaforma utilizzata dai beneficiari palestinesi per registrarsi ai programmi di assistenza alimentare e finanziaria.

Secondo quanto comunicato dall’organizzazione, avversari non autorizzati hanno avuto accesso alle informazioni personali di circa 600.000 famiglie nella Striscia di Gaza. Il WFP ha precisato che l’incidente non ha coinvolto altri sistemi dell’organizzazione, incluso SCOPE, il programma globale di gestione dei dati dei beneficiari.

In data 7 giugno 2026, un avversario identificato come “misere” ha rivendicato su un forum underground l’esfiltrazione di un vasto dataset dalla piattaforma Tchap (tchap[.]gouv[.]fr), il sistema di messaggistica istituzionale ufficiale del Governo francese sviluppato dalla Direction Interministérielle du Numérique (DINUM) e utilizzato dai funzionari pubblici di ministeri quali Interno, Finanze, Difesa, ANSSI, Diplomazia, Giustizia e Ufficio del Primo Ministro.

L’avversario ha pubblicato sample di conversazioni interne, evidenziando l’utilizzo della piattaforma anche per comunicazioni informali e contenuti non istituzionali, mentre l’intero archivio è stato posto dietro un paywall sul forum. L’esposizione di metadati, conversazioni e credenziali di alti funzionari pubblici, inclusi riferimenti a classificazioni ristrette, configura quindi una potenziale grave violazione della sicurezza nazionale francese.

Infine, il 10 giugno 2026, la software house californiana ServiceNow ha pubblicato un advisory ufficiale relativo a un incidente di sicurezza che ha riguardato una problematica in grado, in determinate circostanze, di consentire a un utente non autenticato di ottenere un accesso non voluto a informazioni presenti nelle istanze della piattaforma. L’azienda sta valutando, secondo le proprie policy interne, la possibilità di pubblicare un codice CVE associato alla problematica. L’impatto si è limitato a un sottoinsieme di istanze hosted, ma l’aggiornamento di sicurezza è stato distribuito anche ai partner e ai clienti self-hosted.

Vulnerabilità: sfruttate ITW falle di Google, Cisco, Check Point, SolarWinds, Microsoft Defender e Oracle

Google ha corretto diverse vulnerabilità, tra cui la 0-day tracciata con codice CVE-2026-11645, una Out-of-bounds Memory Access in V8 che consente a un avversario remoto di eseguire codice arbitrario all’interno di una sandbox tramite una pagina HTML appositamente modificata. Il vendor ha dichiarato di essere a conoscenza dell’esistenza di un exploit ITW.

La falla è stata aggiunta al catalogo KEV della Cisa. Cisco ha rilasciato un bollettino di sicurezza per una vulnerabilità ad alto impatto in Cisco Catalyst SD-WAN Manager, sfruttata ITW e anch’essa inserita nel KEV. Tracciata con codice CVE-2026-20245 (CVSS 7.8), la falla è una Improper Encoding or Escaping of Output presente nell’interfaccia CLI (Command Line Interface), dovuta a una convalida insufficiente degli input forniti dall’utente, che potrebbe consentire a un avversario locale e autenticato di eseguire comandi arbitrari con privilegi root inviando un file appositamente modificato al sistema interessato.

Check Point ha rilasciato aggiornamenti di sicurezza per Security Gateways e Spark Firewall che notificano due vulnerabilità, di cui una sfruttata ITW. La falla, tracciata con codice CVE-2026-50751 (CVSS 9.3) è una Authentication Bypass che consente a un attaccante remoto non autenticato di bypassare l’autenticazione utente sfruttando una debolezza nel flusso logico di validazione dei certificati durante lo scambio di chiavi IKEv1, permettendo così di stabilire una connessione VPN di accesso remoto senza una password utente valida. Stando a quanto riportato, lo sfruttamento risulta limitato a poche decine di organizzazioni mirate a livello globale.

Un caso ha riguardato attività post-compromissione confermata e associata a Qilin Team. La CISA ha aggiunto CVE-2026-50751 al suo catalogo KEV in data 8 giugno 2026, incaricando le Agenzie dello US Federal Civilian Executive Branch (FCEB) di correggerla entro l’11 giugno 2026. Inoltre, il 5 giugno 2026, la CISA ha inserito nel suo catalogo KEV CVE-2026-28318 di SolarWinds Serv-U, una Uncontrolled Resource Consumption che consente a richieste POST appositamente modificate, che utilizzano l’intestazione Content-Encoding: deflate, di causare il crash del servizio Serv-U senza autenticazione.

Le Agenzie dello US Federal Civilian Executive Branch (FCEB) sono state incaricate di correggere la falla entro il 19 giugno 2026. Il 9 giugno 2026, poche ore dopo il rilascio del Patch Tuesday, il ricercatore noto come Nightmare Eclipse ha pubblicato su GitHub un exploit Proof-of-Concept (PoC) per una nuova vulnerabilità 0-day di Microsoft Defender denominata RoguePlanet.

Nel dettaglio, si tratta di una Time-of-check Time-of-use (TOCTOU) Race Condition presente nel motore mpengine di Microsoft Defender che consente l’escalation di privilegi locali fino al livello NT AUTHORITY\SYSTEM. Al momento non esiste alcuna patch ufficiale rilasciata da Microsoft per questa specifica vulnerabilità e l’exploit continua a operare correttamente sui sistemi aggiornati al Patch Tuesday di giugno 2026.

L’unico workaround efficace consiste nell’application allowlisting, ossia nell’adozione di policy di controllo delle applicazioni per impedire l’esecuzione di binari non autorizzati. Infine, Oracle ha rilasciato un bollettino di sicurezza per una vulnerabilità ad alto impatto in Oracle PeopleSoft PeopleTools, sfruttata ITW. Tracciata con codice CVE-2026-35273 (CVSS 9.8), la falla è di tipo Missing Authentication for Critical Function, e consente a un attaccante non autenticato con accesso di rete via HTTP di compromettere il sistema target, con possibili conseguenze di esecuzione remota di codice. Il gruppo ShinyHunters ha rivendicato la responsabilità di aver compromesso server PeopleSoft appartenenti a oltre 100 organizzazioni, la maggior parte delle quali opera nel settore dell’istruzione.

Si segnala che questa settimana sono state inserite nel catalogo KEV anche: CVE-2026-42271 (OS Command Injection/Command Injection) di BerriAI LiteLLM, CVE-2026-7473 (Incomplete Comparison with Missing Factors) di Arista Extensible Operating System (EOS) e CVE-2026-10520 (OS Command Injection) di Ivanti Sentry. Per quest’ultima sembrerebbe essere disponibile anche una Proof-of-Concept (PoC).

Italia: osservate diverse attività malevole

Nell’ultima settimana, diverse offensive hanno puntato a target italiani. È stata tracciata una nuova campagna di smishing a tema INPS, visualizzabile esclusivamente da dispositivi mobili.

Il collettivo hacktivista filorusso NoName057(16) ha rivendicato offensive DDoS contro 21 target italiani, tra cui: Europa Verde; il Comune di Potenza; il Consiglio Regionale della Valle d’Aosta; la Regione Lazio; il Comune di Giugliano; Tiscali Italia S.p.A.; HeraBit S.p.A.; il Comune di Parma; il Comune di Reggio Emilia; l’Unione Italiana Lavoratori della Pubblica Amministrazione (UILPA); l’Autorità Portuale di Olbia e Golfo Aranci; il Comune di Palermo; l’Assemblea Regionale Siciliana; la Provincia di Padova; il Comune di Arzignano; CoopVoce; Terminal Napoli S.p.A.; l’Autorità di Sistema Portuale del Mar Tirreno Centrale; l’Autorità Portuale dello Stretto di Messina; l’Unione Sindacale di Base (USB); e il Centro per lo Studio delle Trasformazioni Socio-Economiche (CESTES).

Lo stesso avversario ha rivendicato anche una presunta compromissione del sistema di videosorveglianza di una sala giochi italiana dotata di numerose slot machine. Stando a quanto riportato, il gruppo afferma di aver ottenuto accesso completo al sistema CCTV, inclusa la visualizzazione in tempo reale di clienti, dipendenti e attività della struttura. Restando in tema hacktivismo, il colletivo Dark Storm Team ha rivendicato offensive DDoS ai danni di Veneto Sviluppo S.p.A.; Agenzia delle Dogane e dei Monopoli (Servizio Richiesta Modifiche); CRP Technology S.r.l.; Aidro S.r.l.; NiEW Design S.r.l.; e Sagewill S.r.l. Passando al panorama ransomware, Nova ha rivendicato sul proprio sito dei leak la compromissione di Trevi; Space Bears di Cattani S.p.A. e NightSpire di Pattono S.r.l. Infine, Eataly ha rilevato un attacco informatico alla propria infrastruttura che ospita l’e-commerce in Italia.

L’accesso non autorizzato ha potenzialmente esposto informazioni anagrafiche e di contatto (nome, cognome, data di nascita, codice fiscale, indirizzi, recapiti) nonché la storia degli ordini di alcuni utenti. Non risultano esposti dati di carte di credito né password in chiaro. L’azienda ha dichiarato espressamente che non emerge alcun download o furto di dati, e che al momento non ci sono state rivendicazioni dell’attacco.

 Weekly Threats è la newsletter settimanale del team di Threat Intelligence & Response di Telsy.

Attraverso il monitoraggio costante di minacce cyber ed eventi geopolitici, la nostra squadra fornisce ad aziende e PA informazioni utili per anticipare gli attacchi e comprenderne la portata, offrendo supporto affidabile in caso di incidente informatico.

Quello che leggi ogni settimana è solo una parte del nostro lavoro ➡️ scopri di più sui servizi di Cyber Threat Intelligence di Telsy.