1 marzo 2026 · 5 min lettura
Intelligenza Artificialeduck.ai promette chat AI senza tracciamento: nessun log, nessun IP, accordi con Anthropic e OpenAI. Ma DuckDuckGo ha già tradito questa fiducia una volta.
Self-HostingLa cloud sovranità europea è sovereignty washing: i datacenter sono in UE, le chiavi restano a Seattle. Gaia-X è fallito, NIS2 stringe. Il homelab risponde.
Self-HostingIscriviti alla newsletter per ricevere i migliori articoli direttamente nella tua inbox.
900k siti WordPress esposti a RCE critico, 500k a file read su wp-config.php. Se ospiti WordPress in homelab o su VPS, ecco cosa fare nei prossimi 30 minuti.
Un gruppo hacker ha avuto accesso root alle reti SD-WAN di mezzo mondo per tre anni. Ha creato peer fantasma, manipolato configurazioni, cancellato le prove. E nessuno — nessuno — se n'è accorto. Benvenuti nel più grande fallimento di sicurezza Cisco degli ultimi dieci anni.
Partiamo dai numeri, perché sono impietosi. CVE-2026-20127 ha ottenuto un punteggio CVSS di 10.0 su 10.0 — il massimo possibile nella scala di gravità delle vulnerabilità informatiche. Non è un numero da prendere alla leggera: significa che un attaccante remoto, senza credenziali, può ottenere privilegi amministrativi completi semplicemente inviando una richiesta artefatta al sistema.
Il problema risiede nel meccanismo di autenticazione peer di Cisco Catalyst SD-WAN Controller (l'ex vSmart) e SD-WAN Manager (l'ex vManage). In parole povere: il sistema che dovrebbe verificare l'identità dei dispositivi che si collegano alla rete semplicemente non funziona. Non è una falla complessa che richiede condizioni particolari: il meccanismo di autenticazione, stando a Cisco, «non funziona correttamente». Punto.
Tutti i tipi di deployment sono vulnerabili: on-premise, Cisco Hosted SD-WAN Cloud, ambienti managed e perfino quelli FedRAMP — cioè quelli certificati per il governo federale americano. Se la vostra rete usa Cisco SD-WAN, siete nel mucchio.
Il bello — o il tragico, a seconda dei punti di vista — è che questa falla non è stata scoperta perché qualche ricercatore ha avuto un'intuizione brillante. È stata trovata perché qualcuno la sfruttava attivamente dal 2023. Tre anni. Millecentoventi giorni circa in cui un attore classificato da Cisco Talos come «altamente sofisticato» ha avuto campo libero nelle infrastrutture di rete di organizzazioni critiche.
L'attore, tracciato come UAT-8616, ha un modus operandi da manuale di spionaggio digitale. La catena d'attacco, ricostruita dai ricercatori di Talos e dall'Australian Signals Directorate, segue cinque fasi chirurgiche:
Per capire la portata del disastro, servono un po' di numeri di contesto. Il mercato SD-WAN vale circa 9,3 miliardi di dollari nel 2025, con una crescita prevista del 30% annuo. Oltre il 60% delle organizzazioni globali ha adottato soluzioni SD-WAN, e il 66% delle aziende Fortune 1000 ha progetti SD-WAN attivi. Cisco, con la sua soluzione Catalyst, è il leader di mercato.
Tradotto: non stiamo parlando di un prodotto di nicchia usato da tre startup in un garage. Stiamo parlando dell'infrastruttura di rete che gestisce il traffico dati di banche, ospedali, enti governativi e aziende energetiche in tutto il mondo. E un attore sofisticato — che Talos si rifiuta di attribuire pubblicamente ma descrive come operante contro «settori di infrastrutture critiche» — ci ha messo le mani dentro per tre anni.
In Italia la situazione non è diversa. Cisco ha una presenza capillare nelle aziende e nella pubblica amministrazione, e l'SD-WAN è ormai lo standard per collegare sedi distribuite. Think.it ha già pubblicato una guida specifica per le aziende italiane, segno che il problema è percepito — ma resta da capire quante organizzazioni abbiano effettivamente controllato i propri sistemi.
La risposta istituzionale è stata rapida — almeno sulla carta. La CISA ha emesso la Emergency Directive ED-26-03, un provvedimento d'urgenza che obbliga tutte le agenzie federali americane a:
L'avviso è stato emesso congiuntamente dai Five Eyes — l'alleanza di intelligence di USA, Regno Unito, Australia, Canada e Nuova Zelanda — il che dà la misura della gravità percepita. Non è la solita advisory di routine: è un allarme rosso internazionale.
Cisco ha rilasciato patch per le versioni 20.9.8.2, 20.12.5.3, 20.12.6.1, 20.15.4.2 e 20.18.2.1. Chi usa versioni precedenti alla 20.9.1 deve migrare completamente — non esiste un fix retroattivo. Per il rilevamento, il consiglio è controllare /var/log/auth.log cercando connessioni «Accepted publickey for vmanage-admin» da IP sconosciuti. Se ne trovate, il peggio potrebbe essere già successo.
Mettiamola così: bug nel software esistono e esisteranno sempre. Una vulnerabilità, anche grave, è un rischio calcolabile. Ma un meccanismo di autenticazione che «non funziona correttamente» — con queste esatte parole di Cisco — attivo per anni in un prodotto venduto specificamente per proteggere e gestire reti enterprise, è qualcosa di diverso. È un fallimento sistemico.
La domanda scomoda è: come è possibile che nessuno, dentro Cisco, abbia mai testato seriamente il meccanismo di peer authentication del proprio prodotto di punta per la rete enterprise? Non parliamo di un buffer overflow nascosto in un angolo del codice — parliamo della funzione fondamentale del prodotto: verificare chi si collega alla rete. Se questa non funziona, tutto il resto è teatro della sicurezza.
E poi c'è il tempismo. Sono serviti i servizi di intelligence australiani — l'ASD-ACSC — per scoprire quello che Cisco avrebbe dovuto trovare con un audit interno. Tre anni di sfruttamento attivo contro infrastrutture critiche, e la scoperta arriva dall'esterno. Non esattamente una pubblicità brillante per la sicurezza «by design» che Cisco vende nei suoi white paper.
CVE-2026-20127 non è solo una vulnerabilità critica: è lo specchio di un'industria che vende sicurezza senza praticarla davvero. Se il meccanismo di autenticazione del vostro prodotto di punta non funziona da anni e serve un'agenzia di intelligence straniera per scoprirlo, forse è il momento di chiedersi cosa altro non stia funzionando. Le patch sono disponibili. Applicatele oggi, non domani. E la prossima volta che un vendor vi parla di «sicurezza enterprise», chiedetegli se l'ha testata.
Fonti: The Hacker News, Cisco Talos Intelligence, Help Net Security, Security Affairs, ASD-ACSC Advisory. Immagine: Cisco Systems HQ, Travis Wise (CC BY 2.0) via Wikimedia Commons.