Vulnerabilità critiche in n8n, l’Italia nel mirino di attività di phishing e ransomware, le ultime dalla Cina
n8n: vulnerabilità critiche ad alto impatto operativo
Negli ultimi giorni la piattaforma di workflow automation open-source n8n è stata al centro dell’attenzione a seguito della divulgazione e dell’analisi di più vulnerabilità critiche, con potenziali impatti sulla sicurezza di istanze cloud e on-premise esposte. Il focus si è concentrato in particolare su CVE-2026-21858 (CVSS 10.0), soprannominata Ni8mare, una Improper Input Validation sfruttabile anche senza autenticazione che, tramite una gestione non corretta dell’intestazione “Content-Type”, può abilitare la lettura arbitraria di file e scenari di esecuzione di codice remoto. A questa si affiancano CVE-2026-21877 (CVSS 10.0) e CVE-2025-68668 (CVSS 9.9) denominata N8scape, rispettivamente una Unrestricted Upload of File with Dangerous Type che consente l’esecuzione di codice remoto (RCE) e una Protection Mechanism Failure corretta a dicembre 2025, che permette di eludere la sandbox ed eseguire comandi arbitrari a specifiche condizioni. Entrambe sfruttabili da utenti autenticati, interessano i meccanismi di esecuzione dei workflow e il sandboxing, ampliando significativamente la superficie di attacco della piattaforma. Completa il quadro CVE-2025-68613 (CVSS 9.9), una Improper Control of Dynamically-Managed Code Resources anch’essa divulgata e sanata a dicembre 2025, che conferma una tendenza recente a vulnerabilità ad alto impatto capaci di portare alla compromissione completa delle istanze n8n non adeguatamente aggiornate o esposte. Si segnala infine che è disponibile pubblicamente un exploit Proof-of-Concept (PoC) che dimostra la concatenabilità di CVE-2026-21858 con CVE-2025-68613, consentendo una Remote Code Execution (RCE) non autenticata. Il 7 gennaio 2026, la piattaforma di gestione delle superfici di attacco Censys ha dichiarato di aver identificato 26.512 host n8n esposti, la maggior parte dei quali si trova negli Stati Uniti (7.079), in Germania (4.280), in Francia (2.655), in Brasile (1.347) e a Singapore (1.129).
Italia: nuove campagne di phishing e rivendicazioni ransomware
Nell’ultima settimana sono state rilevate in Italia diverse operazioni di phishing. Una nuova campagna a tema Agenzia delle Entrate induce le potenziali vittime a compilare una “Dichiarazione Fiscale Criptovalute” su una pagina fraudolenta al fine di esfiltrare wallet crypto. Un falso portale del Ministero dell’Interno è stato sfruttato in un’operazione a tema permesso di soggiorno per rubare dati della vittima utili per furti d’identità o frodi mirate a stranieri. Studenti e personale dell’Università degli Studi di Brescia (UNIBS) sono il bersaglio di una campagna che mira a impossessarsi delle loro credenziali istituzionali, tramite una pagina che riproduce il Single Sign-On (SSO) dell’Ateneo. E-mail a tema rinnovo tessera sanitaria che sfruttano loghi e nomi del Sistema Tessera Sanitaria e del Ministero della Salute indirizzano su un portale fasullo progettato per la raccolta di informazioni personali, tra cui generalità, data di nascita, indirizzo di residenza, numero di telefono e indirizzo e-mail. Infine, è stata tracciata una campagna di smishing a tema INPS, finalizzata al furto di dati personali. A queste si aggiunge la notizia dell’attacco informatico al sistema di refertazione sanitaria digitale di Area 3 (ex Asl3 Genova), gestito da un fornitore esterno, che ha causato limitazioni temporanee ai servizi interessati. Non sarebbero disponibili indicazioni pubbliche circa l’eventuale compromissione di dati sanitari, né dettagli tecnici sulle modalità dell’attacco. Passando al panorama ransomware, sono 6 le realtà italiane oggetto di rivendicazioni: Nova ha dichiarato la compromissione di Saplog, operante nel trasporto nazionale e internazionale di merce; Brotherhood di Italgrafica Sistemi, società parte del Gruppo Konig Print specializzata nella progettazione e stampa di etichette adesive e cartellini; Akira Team di Labeltex Group S.r.l., attiva nella produzione di etichette tessili e stampate per il settore moda e industriale; Qilin Team di Cressi, operante nella progettazione e produzione di attrezzature per attività subacquee, e Softlab S.p.A., quotata alla Borsa di Milano e attiva su scala internazionale nel Business Advisory, ICT Consulting and Digital Entertainment; TA505 di Mutti S.p.A., storica azienda italiana con sede a Parma, leader nella trasformazione del pomodoro e nella produzione di conserve e derivati.
Cina: rilevati attacchi contro Taiwan, compromissioni di GhostEmperor e un’intrusione basata su presunti exploit 0-day
Le autorità di intelligence taiwanesi hanno rilevato nel corso del 2025 un’intensificazione sistematica e continua delle operazioni cyber condotte dalla Cina contro infrastrutture critiche del Paese, con una media di 2,63 milioni di tentativi di intrusione al giorno su nove settori strategici, in aumento del 6% rispetto al 2024. Il settore maggiormente impattato è quello energetico (+1.000%), seguito da quello dei soccorsi di emergenza e ospedaliero (+54%), mentre quelli delle comunicazioni e delle trasmissioni hanno registrato un aumento del 6,7%. Sono invece in diminuzione gli attacchi alle agenzie amministrative (seppur lievemente) e quelli ai settori finanziario e delle risorse idriche. Le attività, che includono principalmente lo sfruttamento di vulnerabilità hardware, campagne di social engineering mirate, offensive DDoS e attacchi supply chain, sono attribuite a cinque gruppi cinesi, tra cui Radio Panda, Flax Typhoon, Mustang Panda, Axiom e UNC3886, ciascuno con un focus settoriale distinto ma complementare. Sempre inerente alla Cina, un noto quotidiano economico-finanziario britannico avrebbe appreso da una persona informata sui fatti che l’APT di Pechino GhostEmperor (Salt Typhoon) avrebbe avuto accesso ai sistemi di posta elettronica utilizzati da alcuni membri dello staff della Commissione Cina della Camera dei Rappresentanti degli Stati Uniti, nonché da assistenti delle Commissioni Affari Esteri, Intelligence e Forze Armate. Le intrusioni sarebbero state rilevate a dicembre 2025. Il portavoce dell’ambasciata cinese, Liu Pengyu, avrebbe rilasciato una dichiarazione pubblica, condannando quelle che avrebbe definito “speculazioni e accuse infondate”. Infine, nel dicembre 2025 è stata identificata una sofisticata intrusione culminata nell’esecuzione di exploit presumibilmente 0-day contro hypervisor VMware ESXi, che ha sfruttato come accesso iniziale una VPN SonicWall compromessa. L’avversario ha utilizzato l’orchestrator exploit.exe denominato MAESTRO, per preparare l’ambiente e coordinare la catena di sfruttamento dell’hypervisor, inclusa la distribuzione di driver e tool ausiliari. L’analisi del toolkit identificato rivela stringhe in cinese semplificato nei percorsi di sviluppo e prove che suggeriscono una progettazione verosimilmente di tipo 0-day oltre un anno prima della divulgazione pubblica di VMware, indicando uno sviluppatore ben organizzato operante in una regione sinofona.
Weekly Threats è l’aggiornamento settimanale di Telsy con le principali novità sugli attacchi cyber e sui threat actor attivi a livello globale, realizzato dal nostro team di Threat Intelligence & Response.
La squadra è composta da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.
Attraverso il monitoraggio costante di minacce cyber ed eventi geopolitici, forniamo ad aziende e PA informazioni utili per anticipare gli attacchi e comprenderne la portata, offrendo supporto affidabile in caso di incidente informatico.
Quello che leggi ogni settimana è solo una parte del nostro lavoro: scopri di più sui nostri servizi di Cyber Threat Intelligence
Iscriviti alla newsletter LinkedIn per ricevere ogni lunedì gli aggiornamenti del Weekly Threats.