6,192 CVEs Discovered, 7 Actively Exploited in March 2026

Operational Summary - marzo 2026

**
Pubblicazione**

PL01/260422/CSIRT-ITA

Condividi
- Facebook
- Twitter
- LinkedIn
- Whatsapp
Torna l’appuntamento mensile di CSIRT Italia sull’analisi e l’andamento della minaccia cyber con l’elenco delle vulnerabilità informatiche più gravi.

Di seguito i principali punti emersi nel mese:

• In continuità con le attività già assicurate per i XXV Giochi Olimpici Invernali del mese di febbraio, anche nell’ambito della XIV edizione dei Giochi Paralimpici Invernali del mese di marzo l’Agenzia per la Cybersicurezza Nazionale ha operato in stretto coordinamento con la Fondazione Milano Cortina 2026, in attuazione del protocollo d’intesa sottoscritto nel gennaio 2025, in considerazione della rilevanza strategica dell’evento e dell’elevato livello di complessità tecnologica connesso alla sua realizzazione. Nella sezione 1.1 si riporta un approfondimento dedicato agli eventi e agli incidenti cibernetici correlati alle Paralimpiadi.
• Nel mese di marzo 2026 sono stati registrati 436 eventi, in equilibrio rispetto ai 435 di febbraio, mentre il numero di incidenti (313) è in aumento dell’81%rispetto al mese precedente. Gli incrementi nel numero di eventi e incidenti di febbraio e marzo 2026 sono dovuti all’incrementata visibilità di ACN derivante dall’attuazione della Direttiva NIS2, che ha introdotto nuovi obblighi di notifica per migliaia di soggetti italiani, a partire proprio da inizio 2026. Sono dovuti, altresì, a un incidente cyber che ha coinvolto un fornitore di servizi digitali, con conseguenti disservizi a cascata sui suoi clienti, prevalentemente operanti nei settori sanitario e delle telecomunicazioni. Nel corso del mese di marzo, le principali minacce rilevate hanno riguardato l’ esposizione dati, le compromissioni di caselle di posta elettronica e il guasto (violazione dei livelli di servizio attesi, in larga misura derivanti dall’incidente al fornitore di servizi digitali).
• I settori con il maggior numero di eventi cyber registrati nel mese sono stati: Telecomunicazioni, Sanitario e Manifatturiero. Il settore delle telecomunicazioni e il sanitario sono stati principalmente interessati da violazione dei livelli di servizio attesi (incidente al fornitore di servizi digitali), mentre il settore manifatturiero da esposizione dati e compromissione delle caselle e-mail.
• Gli attacchi ransomware hanno interessato prevalentemente i settori manifatturiero, telecomunicazioni e sanitario. L’analisi degli eventi rilevati evidenzia come i principali vettori di compromissione siano riconducibili all’utilizzo di credenziali valide, precedentemente compromesse, e allo sfruttamento di servizi di accesso remoto non adeguatamente configurati.
• Nel mese in esame, i settori maggiormente colpiti da eventi DDoS risultano essere il tecnologico, l’ energetico e il sanitario. L’attività riconducibile a gruppi hacktivisti si è mantenuta su livelli contenuti, con sole 7 rivendicazioni rilevate nel periodo.
• Nell’ambito dell’attività proattiva di monitoraggio della superficie esposta dei soggetti nazionali, il CSIRT Italia ha inviato, a marzo 2026, 1.977 comunicazioni di allertamento a pubbliche amministrazioni e imprese appartenenti alla constituency, relative all’esposizione su Internet di 3.340 servizi a rischio. L’analisi dei log provenienti da malware di tipo infostealer ha consentito, infine, di identificare 12 account potenzialmente compromessi afferenti a soggetti istituzionali, tutti prontamente allertati.
• I punti di ingresso più frequenti a marzo 2026 sono stati la supply-chain - per quanto riguarda le violazioni del livello di servizio atteso, a causa dell’incidente al fornitore di servizi digitali - , le e-mail e l’utilizzo di account validi.
• Sono state pubblicate 6.192 nuove CVE, in aumento (+1.385) rispetto a febbraio. Di queste, 1.281 presentano almeno un Proof of Concept (PoC), in aumento (+172), e per 7 CVE è stato rilevato lo sfruttamento attivo, in diminuzione (−6) rispetto a febbraio. Particolarmente critiche le vulnerabilità che interessano Citrix NetScaler ADC e Gateway (soluzioni per la gestione del traffico di rete e l’accesso remoto sicuro alle applicazioni, CVE-2026-3055 e CVE-2026-4368), che potrebbero consentire, rispettivamente, l’accesso a informazioni sensibili presenti in memoria e la compromissione delle sessioni utente; la vulnerabilità di Copeland XWEB 300D PRO, XWEB 500D PRO e XWEB 500B PRO (dispositivi per il monitoraggio e la gestione di impianti di refrigerazione e condizionamento, CVE-2026-21718), che potrebbe consentire l’elusione dei meccanismi di autenticazione con conseguente esecuzione di codice sul sistema; nonché quella di Ubiquiti UniFi Network Application (piattaforma software per l’amministrazione centralizzata di reti e apparati prodotti da UniFi, CVE-2026-22557), che potrebbe consentire a un attaccante già presente in rete di accedere a file di sistema e sfruttarli per compromettere credenziali o account. Tali criticità sono state oggetto di specifiche attività di allertamento da parte del CSIRT Italia.
• Le numerose vulnerabilità individuate hanno determinato un incremento del numero di sistemi e servizi potenzialmente esposti a marzo 2026, con conseguente aumento delle comunicazioni di allertamento effettuate dall’Agenzia ai sensi dell’art.2, comma 1, della Legge n. 90/2024, finalizzate a favorire l’adozione tempestiva degli interventi risolutivi da parte dei soggetti interessati. Pertanto, le comunicazioni dirette, effettuate dal CSIRT Italia per segnalare potenziali compromissioni o fattori di rischio ad amministrazioni ed imprese italiane, nel mese di marzo 2026 sono state in totale 7.216, in sensibile aumento (+2.566) rispetto a febbraio.

Allegati (1)

1. OperationalSummarymar26_CLEAR.pdf (3318159) - 23/04/2026

Change log

Argomenti

• Operational Summary
• marzo

Data pubblicazione

22/04/26 ore 16:12

Data Ultimo Aggiornamento

24/04/26 ore 11:58