Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
A volte basta un dettaglio fuori posto e tutto cambia.
Qui si parla di una vulnerabilità registrata come CVE-2026-0542 con CVS score pari a 9,2, individuata nella piattaforma AI di ServiceNow. Non è il classico problema minore, anzi, riguarda proprio l’esecuzione di codice dentro l’ambiente sandbox.
Il punto che inquieta molti team IT è semplice: in certe condizioni anche un utente non autenticato potrebbe arrivare a eseguire codice. Chi usa queste funzionalità per workflow e gestione servizi capisce subito perché la questione sta facendo discutere.
La vulnerabilità è collegata a un errore di isolamento, classificato come CWE-653. In pratica il confine pensato per contenere il codice non sempre regge. Succede che il meccanismo sandbox, creato per mantenere separati i processi, possa essere aggirato in circostanze precise.
Il risultato possibile non è banale: compromissione dell’integrità dell’istanza e accesso a dati sensibili. Non sempre, certo. Però il rischio esiste.
La cosa curiosa, e un po’ inquietante, è che l’attacco può partire dalla rete senza autenticazione. Non serve interazione dell’utente. Un attore con le giuste conoscenze potrebbe inviare richieste studiate per alterare il flusso di esecuzione della piattaforma AI.
Ti è mai capitato di vedere processi strani comparire all’improvviso nei log?
Tra i segnali possibili ci sono esecuzioni di codice insolite, connessioni di rete inattese verso l’esterno oppure modifiche sospette nelle configurazioni della sandbox. Anche accessi anonimi seguiti da eventi di esecuzione possono far alzare un sopracciglio.
Qui la risposta è piuttosto diretta: applicare gli aggiornamenti di sicurezza rilasciati per le istanze ospitate, quelle self hosted e anche quelle gestite da partner. Prima della patch molti amministratori stanno controllando i log per capire suggerimenti di exploit.
Vale anche monitorare traffico di rete, analizzare i log applicativi e attivare alert in tempo reale sugli eventi di sicurezza più sensibili. La ricerca e le informazioni tecniche sono state diffuse da ServiceNow stessa, e i dettagli completi si possono consultare direttamente nella documentazione.
Per la community di Red Hot Cyber questa vicenda ricorda una cosa semplice ma spesso ignorata: quando una piattaforma AI entra nei processi aziendali, il perimetro di sicurezza non è più quello di ieri. L’avviso è stato diramato anche dallo CSIRT dell’Agenzia per la Cybersicurezza Nazionale ACN.
Serve più attenzione… osservare i log, capire i comportamenti normali e reagire subito quando qualcosa… stona.
Ma questo lo sappiamo bene, se aumentiamo la superficie di rischio, i rischi aumentano sempre.
