Nella nuova serie di Delinea Labs, il team di ricerca analizza ogni mese le minacce più significative incentrate sull’identità che stanno plasmando la cybersicurezza.
L’obiettivo è aiutare i leader della sicurezza a comprendere come evolvono gli avversari, dove le architetture identitarie si trovano sotto pressione e quali strategie difensive stanno dimostrando di essere più efficaci.
L’identità è diventata il campo di battaglia chiave della cybersicurezza moderna. Le credenziali, i token e la fiducia sono ora la moneta di scambio dei criminali informatici, e il loro “business” è in piena espansione. Ogni mese analizzeremo dati globali su violazioni, vulnerabilità divulgate e tendenze del ransomware per fornire alle aziende informazioni operative in un panorama di minacce sempre più incentrato sull’identità.
Gli eventi di ottobre 2025 hanno messo in luce questo cambiamento. Gli attaccanti non si limitano più a rubare password, ma usano la fiducia stessa come arma. Dal furto di token OAuth all’abuso dell’identità delle macchine, gli avversari sfruttano le connessioni e i permessi che tengono insieme gli attuali ecosistemi digitali.
Tema principale: la fiducia è diventata l’obiettivo
L’identità è sempre stata fondamentale nel rischio informatico, ma questo mese ha dimostrato che la fiducia stessa è il nuovo bene prezioso. Gli attaccanti stanno andando oltre le password, dirottando token OAuth, account di servizio e flussi di consenso per rimanere silenziosamente all’interno di ambienti SaaS e cloud.
L’abuso di token ha dominato il mese. Ad esempio,
le violazioni nella supply chain di Salesforce si sono diffuse tramite token OAuth riutilizzati, consentendo ai criminali informatici di eludere l’autenticazione multifattore (MFA) e spostarsi tra tenant. Un altro esempio è la campagna “CoPhish”, che integrava flussi di consenso OAuth malevoli all’interno di Microsoft Copilot Studio, offrendo agli avversari accesso legittimo ai dati tramite token approvati dagli utenti.
Inoltre, terze parti hanno ampliato la portata degli attacchi. Il provider di verifica di Discord ha esposto dati di identificazione governativa, dimostrando che le integrazioni SaaS e i connettori restano punti deboli nella catena identitaria.
La riutilizzazione delle credenziali persiste su larga scala: un dataset di 183 milioni di credenziali è apparso su Have I Been Pwned?, di cui 16 milioni nuove, a conferma dell’impatto costante degli infostealer.
Il modello è chiaro: gli attaccanti non hanno più bisogno di forzare l’ingresso quando possono semplicemente compromettere la fiducia.
Cosa abbiamo osservato a Delinea Labs: l’uso strumentale dei token e l’esposizione dell’identità delle macchine
Gli eventi di ottobre hanno dimostrato che gli avversari stanno ora industrializzando l’abuso dei token e delle identità delle macchine come minacce scalabili per la supply chain.
- L’abuso dei token OAuth si espande: i gruppi di minaccia hanno riutilizzato token in Salesforce, Atlassian e Slack, mantenendo accesso prolungato senza generare avvisi di login.
- Le identità delle macchine diventano percorsi di attacco invisibili: account di servizio e credenziali API statiche vengono sempre più utilizzati per il movimento laterale, spesso senza proprietario né supervisione.
- Gli ecosistemi low-code emergono come aree di rischio: la campagna CoPhish ha evidenziato come strumenti low-code, come Microsoft Copilot Studio, possano essere manipolati per inserire flussi di consenso malevoli in applicazioni legittime.
- Il ransomware basato sull’identità evolve: Qilin e Akira continuano a dominare il panorama, sfruttando credenziali non gestite e token privilegiati per ottenere accesso iniziale.
L’infrastruttura identitaria è sotto pressione
L’infrastruttura di identità cloud ha affrontato pressioni significative questo mese, dall’autenticazione all’autorizzazione fino alla validazione dei token.
- Microsoft Entra ID ha rivelato due vulnerabilità critiche (CVE-2025-59218 e CVE-2025-59246) che permettevano agli attaccanti di sfruttare la validazione dei token e la logica di fiducia del service principal.
Queste falle ampliano le debolezze già individuate nel bug di impersonificazione cross-tenant a settembre (CVE-2025-55241), segnalando una crisi continua nei confini identitari del cloud. - Oracle E-Business Suite è stato di nuovo attaccato, questa volta tramite una vulnerabilità zero-day (CVE-2025-61882) che consente l’accesso all’ERP e l’estorsione.
Nel complesso, sono stati registrati 524 CVE legati all’identità in ottobre (un forte aumento rispetto ai 420 di settembre), inclusi 43 all’interno di prodotti identitari stessi.
Ogni rivelazione conferma un tema centrale: l’infrastruttura identitaria è diventata infrastruttura d’attacco.
A cosa devono prepararsi le aziende?
Le aziende devono aspettarsi che l’“economia della fiducia” resti sotto attacco. La prossima fase degli attacchi basati sull’identità si concentrerà sull’esploit dell’identity sprawl, sulle identità delle macchine e sulle relazioni di fiducia cross-tenant, per ampliare silenziosamente il raggio d’azione degli avversari.
Cosa dovrebbero prioritizzare le organizzazioni?
- Rilevamento continuo delle minacce identitarie correlando comportamento dei token, pattern di consenso e attività API tra tenant in tempo reale.
- Scoperta e governance delle identità delle macchine per eliminare account di servizio non gestiti e credenziali statiche.
- Autenticazione adattiva e monitoraggio del consenso nei contesti SaaS e low-code per rilevare connessioni applicative rischiose.
- Controllo degli accessi privilegiati e rotazione delle credenziali per impedire il riutilizzo di token, segreti e credenziali con privilegi eccessivi.
Il campo di battaglia dell’identità sta cambiando: non riguarda più chi sei, ma di cosa ti fidi. Man mano che le catene identitarie si allungano e diventano più interconnesse, proteggere i legami tra di esse diventa più cruciale che mai.
Per accedere al post originale, clicchi qui.
