Focus On Security
  1. Sei qui:  
  2. Home

Home

KDDI, violato il sistema email condiviso con cinque provider: fino a 14,22 milioni di account potenzialmente coinvolti

  • news
  • databreach

Il colosso giapponese delle telecomunicazioni KDDI ha reso noto un incidente di sicurezza che ha coinvolto la piattaforma email gestita per conto proprio e di altri cinque provider internet del Paese. Secondo la stima massima fornita dall'azienda, l'episodio potrebbe aver interessato fino a 14,22 milioni di account, con una possibile esposizione di indirizzi email e password.

Cosa è successo

Secondo quanto comunicato da KDDI, l'intrusione è stata rilevata il 17 giugno 2026 e contenuta nello stesso giorno mediante modifiche al sistema interessato e l'adozione di ulteriori misure di sicurezza. Le indagini interne hanno stabilito che gli attaccanti hanno sfruttato una vulnerabilità presente in un software di terze parti integrato nell'infrastruttura email condivisa.

I sistemi coinvolti forniscono il servizio di posta elettronica non solo a KDDI, ma anche a cinque provider partner: STNet, JCOM, Chubu Telecommunications, NIFTY e BIGLOBE. La condivisione della stessa infrastruttura ha fatto sì che un singolo punto di compromissione potesse interessare contemporaneamente più operatori.

Quali dati potrebbero essere stati esposti

Secondo KDDI, tra le informazioni potenzialmente coinvolte figurano indirizzi email e password degli account. L'azienda non ha però reso pubblici dettagli tecnici sulle modalità di memorizzazione o protezione delle password eventualmente interessate, né ha precisato quanti account siano stati effettivamente compromessi.

Il numero di 14,22 milioni rappresenta il totale massimo di account potenzialmente interessati dall'incidente e comprende anche utenze non più attive. Sono tuttora in corso verifiche per determinare l'effettiva portata della violazione.

Nel caso in cui alcune credenziali fossero state effettivamente sottratte, uno dei rischi principali è il cosiddetto credential stuffing: gli attaccanti tentano di riutilizzare le stesse combinazioni di email e password su altri servizi, facendo leva sull'abitudine di molti utenti a riutilizzare le medesime credenziali.

Perché l'incidente è rilevante

KDDI è uno dei principali operatori di telecomunicazioni del Giappone e gestisce servizi utilizzati da milioni di utenti. L'incidente evidenzia un problema comune a molte infrastrutture IT moderne: quando un unico fornitore eroga un servizio critico per più organizzazioni, una vulnerabilità può avere effetti che si estendono contemporaneamente a più basi clienti.

La gestione dell'incidente

L'azienda ha dichiarato di aver notificato l'accaduto alla Personal Information Protection Commission (PPC) e al Ministero degli Affari Interni e delle Comunicazioni del Giappone nello stesso giorno in cui l'intrusione è stata rilevata. KDDI ha inoltre avviato il coordinamento con i provider coinvolti per gestire le attività di risposta all'incidente e le comunicazioni agli utenti interessati.

Cosa fare se si è clienti dei servizi coinvolti

In attesa di eventuali comunicazioni individuali da parte del proprio provider, è consigliabile adottare alcune misure di precauzione:

  • cambiare la password dell'account email interessato, soprattutto se la stessa password è utilizzata anche su altri servizi;

  • verificare ed eventualmente sostituire le credenziali riutilizzate su account bancari, social network, servizi cloud o altri siti;

  • attivare l'autenticazione a due fattori (2FA), preferibilmente tramite un'app di autenticazione quando disponibile;

  • prestare particolare attenzione a possibili email di phishing che potrebbero sfruttare il contesto della violazione;

  • seguire esclusivamente gli aggiornamenti pubblicati dai canali ufficiali del proprio provider, evitando di cliccare su link contenuti in email non verificate.

Fonti: comunicato ufficiale KDDI, BleepingComputer, TechRadar Pro, Security Affairs.

Ubiquiti corregge 25 vulnerabilità nell'ecosistema UniFi: una con CVSS 10.0 su oltre 100.000 dispositivi esposti

  • news
  • patchsoftware

Ubiquiti ha pubblicato il Security Advisory Bulletin 066, con cui corregge 25 vulnerabilità distribuite su tutto l'ecosistema UniFi: le applicazioni Connect, Talk, Access, Protect e Network, oltre al sistema operativo UniFi OS che equipaggia router, gateway, NAS e sistemi di videosorveglianza dell'azienda. Sette di queste falle sono classificate come critiche, con punteggi CVSS che arrivano fino al massimo teorico di 10.0.

Cosa è stato scoperto

La vulnerabilità più grave, CVE-2026-50746, è un difetto di controllo degli accessi (CWE-284) nell'applicazione UniFi Connect, il software che gestisce l'automazione di edifici commerciali — illuminazione LED intelligente e colonnine di ricarica per veicoli elettrici incluse. Il problema permette a un attaccante con semplice accesso alla rete di eseguire comandi arbitrari sul dispositivo senza alcuna autenticazione. Colpisce le versioni 3.4.16 e precedenti, corrette nella 3.4.20.

A ruota seguono altre sei falle critiche, tra cui: CVE-2026-50747 (SQL injection in UniFi Talk, CVSS 9,9), CVE-2026-50748 (command injection in UniFi Access, CVSS 9,9), CVE-2026-54402 (command injection in UniFi OS, CVSS 9,9), CVE-2026-55115 (Server-Side Request Forgery in UniFi Protect, CVSS 9,9) e CVE-2026-55116 (controllo accessi improprio su gateway UDM, CVSS 9,0). Una vulnerabilità di path traversal (CVE-2026-54403, CVSS 8,6) è stata inoltre segnalata come "concatenabile" con le altre: un attaccante potrebbe usarla come ponte per bypassare i requisiti di privilegio minimo richiesti dalle falle più gravi.

Come possono essere sfruttate

Sei delle sette vulnerabilità critiche condividono lo stesso profilo di rischio: exploit a bassa complessità, senza necessità di interazione da parte dell'utente. Alcune, come quella più grave su UniFi Connect, non richiedono nemmeno credenziali valide: è sufficiente che l'attaccante raggiunga il dispositivo sulla rete, anche solo tramite un'interfaccia di gestione esposta su Internet.

Al momento della pubblicazione, Ubiquiti non ha riscontrato sfruttamento attivo di queste 25 falle. Il precedente però è recente e non incoraggiante: appena un mese fa l'azienda aveva corretto una diversa catena di tre vulnerabilità critiche in UniFi OS, che CISA ha successivamente confermato essere sfruttata attivamente in attacchi reali, al punto da imporre alle agenzie federali statunitensi di correggerla entro tre giorni. Il centro di ricerca Bishop Fox ha inoltre dimostrato che quelle vulnerabilità potevano essere concatenate per ottenere l'esecuzione di codice remoto con privilegi elevati, rilasciando anche uno script gratuito per individuare i sistemi vulnerabili.

Perché conta

Secondo la società di threat intelligence Censys, oltre 100.000 istanze di UniFi OS risultano attualmente raggiungibili da Internet, quasi la metà delle quali negli Stati Uniti. Il dato non distingue quanti di questi sistemi siano già stati aggiornati, ma dà la misura di una superficie d'attacco enorme per prodotti che, va ricordato, non gestiscono solo la connettività di rete: UniFi Access controlla l'accesso fisico a porte, tornelli e varchi; UniFi Talk gestisce la telefonia VoIP aziendale. Una compromissione, quindi, può avere ripercussioni che vanno ben oltre il classico furto di dati, toccando la sicurezza fisica degli ambienti.

Va aggiunto che i dispositivi Ubiquiti sono già stati bersaglio in passato di campagne su larga scala: router Ubiquiti Edge OS erano stati reclutati da attori legati alla Russia nella botnet MooBot, smantellata da un'operazione delle forze dell'ordine nel febbraio 2024.

Cosa fare

Per le vulnerabilità coperte dal bollettino 066, Ubiquiti non ha indicato mitigazioni temporanee: l'aggiornamento è l'unica strada per ridurre il rischio. Nel dettaglio, gli amministratori dovrebbero:

  • aggiornare UniFi Connect alla versione 3.4.20 o successiva;
  • aggiornare UniFi Talk alla versione 5.2.2 o successiva;
  • aggiornare UniFi Access alla versione 4.2.29 o successiva;
  • aggiornare UniFi Protect alla versione 7.1.83 o successiva;
  • aggiornare UniFi Network Application alla versione 10.4.57 o successiva;
  • aggiornare UniFi OS (su UDM, UNVR, UNAS e dispositivi correlati) alla versione 5.1.19 o successiva;
  • dare priorità ai sistemi con interfacce di gestione raggiungibili da Internet o da reti non fidate;
  • limitare l'accesso alle interfacce di gestione UniFi a reti amministrative dedicate, VPN o VLAN riservate, evitando l'esposizione diretta su Internet o su reti utente generiche.

Fonti: The Hacker News, BleepingComputer, Security Boulevard, TechTimes, Cyber Security News (bollettino Ubiquiti Security Advisory Bulletin 066).

Falla critica in Webmin: RCE con privilegi root scoperta dal Red Team di TIM

  • news
  • patchsoftware

Il laboratorio di ricerca offensiva di TIM ha individuato una vulnerabilità critica in Webmin, il pannello di amministrazione via web per server Linux più diffuso al mondo. Il bug, tracciato come CVE-2026-49103 e classificato con CVSSv4 pari a 9,4/10 (Critical), consente l'esecuzione di codice remoto con privilegi di root.

Cosa è stato scoperto

Il TIM Red Team Research — il team interno a TIM dedicato ad attività di ethical hacking, bug hunting e ricerca su vulnerabilità zero-day — ha identificato un difetto nelle versioni di Webmin precedenti alla 2.640. Si tratta di una vulnerabilità di tipo path traversal (CWE-24), localizzata nel componente che gestisce il download degli allegati email (mailboxes/detachall.cgi).

In sintesi, il modulo di gestione della posta di Webmin non sanifica correttamente i nomi dei file negli allegati. Un allegato costruito ad arte, con un nome contenente sequenze di traversamento di percorso, può indurre il sistema a scrivere un file arbitrario al di fuori della directory prevista, con gli stessi privilegi con cui gira il processo Webmin — tipicamente root. Se questo file finisce, ad esempio, in una directory di cron job, l'attaccante ottiene di fatto l'esecuzione di comandi arbitrari sul server.

Come può essere sfruttata

Secondo quanto documentato nell'advisory pubblicato da TIM, la catena d'attacco richiede che l'attaccante conosca l'indirizzo email di un utente Webmin abilitato alla lettura della posta ("Read User Email"), ma non richiede alcuna autenticazione preventiva sul sistema target. È sufficiente inviare un'email con un allegato malevolo in formato compresso: quando la vittima, all'interno dell'interfaccia Webmin, sceglie di scaricare tutti gli allegati, il componente vulnerabile scompatta il file nel percorso manipolato dall'attaccante, aprendo la strada all'esecuzione di codice sul server nel giro di pochi istanti.

Va sottolineato che si tratta di uno scenario che richiede comunque un'interazione da parte della vittima (l'apertura dell'allegato), ma la combinazione tra assenza di autenticazione richiesta all'attaccante, privilegi root ottenibili e ampia diffusione del software rende il rischio particolarmente elevato.

Perché Webmin è un bersaglio rilevante

Webmin è un progetto open source molto diffuso per l'amministrazione grafica di server Linux, con una base installata stimata in milioni di istanze a livello globale. Il software risulta inoltre censito nel Technical Reference Model del Department of Veterans Affairs statunitense, a conferma di un utilizzo che coinvolge anche contesti istituzionali e infrastrutture sensibili. Una vulnerabilità critica su un prodotto con questa diffusione ha quindi un potenziale impatto su larga scala.

Il ruolo del TIM Red Team Research

La scoperta si inserisce nell'attività di Coordinated Vulnerability Disclosure che TIM porta avanti dal 2019 attraverso il proprio Red Team Research: individuazione di vulnerabilità zero-day tramite reverse engineering e testing mirato, seguita da una gestione responsabile della disclosure in collaborazione con vendor e maintainer. Il team ha contribuito, dalla fine del 2019 a oggi, alla pubblicazione di oltre 200 CVE, di cui 18 con severity critical.

Cosa fare

Chi gestisce istanze Webmin dovrebbe:

  • verificare la versione installata e aggiornare quanto prima a Webmin 2.640 o successiva, dove il problema risulta corretto;
  • se l'aggiornamento immediato non è possibile, limitare l'esposizione del pannello di amministrazione a reti fidate e valutare la disabilitazione temporanea del privilegio "Read User Email" per gli utenti non strettamente necessari;
  • monitorare i log del componente mailboxes per eventuali tentativi di sfruttamento.

Fonti: advisory tecnico pubblicato da Gruppo TIM (Vulnerability Research), scheda CVE-2026-49103, articolo di Red Hot Cyber.

Main Menu

  • Home
  • News
  • Privacy APP

Login Form

  • Password dimenticata?
  • Hai dimenticato il tuo nome utente?