CVE-2026-0300: RCE su firewall Palo Alto, attacchi attivi
Una vulnerabilità critica nel User-ID Portal di PAN-OS consente RCE root senza autenticazione. Unit 42 conferma exploitation attivo dal 9 aprile 2026.
Contenuto
Palo Alto Networks ha confermato exploitation attivo e limitato della vulnerabilità CVE-2026-0300 nel servizio User-ID Authentication Portal di PAN-OS. La falla, uno buffer overflow che consente esecuzione remota di codice con privilegi root senza autenticazione, è stata osservata in-the-wild dal 9 aprile 2026 dal team Unit 42, che ha ricostruito una campagna di cyber spionaggio mirato. Con le patch attese a partire dal 13 maggio 2026 e una deadline federale fissata al 9 maggio, la correzione non può attendere.
- CVE-2026-0300 consente RCE root non autenticato su PA-Series e VM-Series tramite pacchetti appositamente costruiti inviati al User-ID Authentication Portal.
- Unit 42 ha tracciato la campagna CL-STA-1132 dal 9 aprile 2026: tentativi falliti, poi RCE riuscito con iniezione di shellcode in nginx e cancellazione mirata di log.
- CISA ha inserito la vulnerabilità nel catalogo KEV il 6 maggio 2026, imponendo alle agenzie FCEB di applicare fix o mitigazioni entro il 9 maggio 2026.
- Le patch inizieranno ad arrivare in due ondate: la prima a partire dal 13 maggio 2026, la seconda intorno al 28 maggio 2026.
Il buffer overflow nel Captive Portal: RCE root senza credenziali
La vulnerabilità risiede nel servizio User-ID Authentication Portal, spesso associato al Captive Portal di PAN-OS. Si tratta di un buffer overflow innescabile tramite pacchetti appositamente costruiti: l’attaccante può sovrascrivere la memoria del processo bersaglio per ottenere esecuzione di codice arbitrario con privilegi root, senza fornire alcuna credenziale. Una volta ottenuto il controllo, l’exploit consente di manipolare il processo nginx in esecuzione sul firewall, trasformando il dispositivo stesso in un punto di ascolto e lancio per attività successive. Prisma Access, Cloud NGFW e Panorama non sono coinvolti.
Il punteggio CVSS riflette una biforcazione nettamente legata alla topologia di rete. Quando il portal è esposto a internet o a reti non trusted, la gravità raggiunge il 9.3; se invece l’accesso è circoscritto a indirizzi IP trusted interni, il punteggio si attesta sull’8.7. Questa differenza non è formale: indica che la superficie d’attacco dipende interamente dalle scelte di configurazione del perimetro.
Cronaca della campagna CL-STA-1132: dal 9 aprile alla nuova fase del 29 aprile
Unit 42 ha tracciato la campagna con il codename CL-STA-1132. L’attività malevola è iniziata il 9 aprile 2026 con tentativi di exploit non riusciti contro un dispositivo PAN-OS. Circa una settimana dopo, gli stessi attori hanno ottenuto l’esecuzione remota di codice con successo, inaugurando una fase di post-exploitation caratterizzata da metodicità e attenzione alla pulizia delle tracce.
"The attacker behind this activity exploited CVE-2026-0300 to achieve unauthenticated remote code execution (RCE) in PAN-OS software. Upon successful exploitation, the attacker was able to inject shellcode into an nginx worker process" Palo Alto Networks Unit 42 (via The Hacker News)
Dopo l’accesso iniziale, gli attaccanti hanno rimosso crash kernel messages, nginx crash entries e core dump files, eliminando i residui tecnici che potessero segnalare l’intrusione. Hanno poi condotto attività di Active Directory enumeration, mappando l’ambiente interno. Il 29 aprile 2026 hanno rilasciato payload aggiuntivi contro un secondo dispositivo, ampliando la presenza nella rete bersaglio.
I tool impiegati nella campagna sono open-source e sono stati precedentemente associati a gruppi di cyber spionaggio riconducibili a una matrice cinese. Unit 42 non ha fornito un’attribuzione esplicita a un governo specifico, ma ha contestualizzato l’operazione nel più ampio trend di attacchi mirati contro asset di rete perimetrale.
Il punteggio CVSS 9.3 e la geometria del rischio perimetrale
La scelta di colpire il User-ID Authentication Portal non è casuale. Il servizio è progettato per identificare gli utenti e governa l’accesso a segmenti sensibili della rete; se esposto o mal configurato, diventa il punto debole ideale in un dispositivo che per definizione dovrebbe bloccare ogni minaccia esterna. È il paradosso del perimetro: il firewall, artefice della difesa, si trasforma nel canale d’ingresso per lo spionaggio di stato.
Unit 42 colloca la campagna all’interno di una tendenza consolidata. Negli ultimi cinque anni, gli attori statali impegnati in cyber spionaggio hanno progressivamente spostato l’attenzione sugli asset di rete perimetrale, inclusi firewall, router, dispositivi IoT, hypervisor e soluzioni VPN. Questi obiettivi offrono un doppio vantaggio: accesso privilegiato al confine della rete e, spesso, una scarsa visibilità da parte dei sistemi di logging interni.
Cosa fare adesso
Valutare la disabilitazione del User-ID Authentication Portal qualora non sia indispensabile per le operazioni aziendali. Se il servizio è necessario, la mitigazione immediata consiste nel limitarne l’accesso esclusivamente a indirizzi IP trusted interni, rimuovendo qualsiasi esposizione diretta a internet o a segmenti non trusted.
Rivedere le policy di interfaccia e routing per assicurarsi che il Captive Portal non sia raggiungibile da reti esterne. Palo Alto Networks ha sottolineato che chi segue questa best practice è a rischio notevolmente ridotto.
Intensificare il monitoraggio sui log di sistema, con particolare attenzione a nginx crash entries, kernel crash messages e core dump files. La loro cancellazione anomala è un indicatore forte di attività di post-exploitation manuale.
Preparare il piano di aggiornamento per le due ondate di patch: la prima è attesa a partire dal 13 maggio 2026, la seconda intorno al 28 maggio 2026. La priorità deve andare ai dispositivi esposti o che gestiscono traffico da reti non trusted.
Il caso CVE-2026-0300 conferma una tendenza inquietante: gli edge assets che gestiscono identità e accesso sono diventati il bersaglio privilegiato dello spionaggio informatico. Quando un servizio di identificazione utenti risiede sullo stesso dispositivo che dovrebbe bloccare le minacce esterne, un singolo buffer overflow offre all’attaccante non solo l’ingresso, ma anche la capacità di cancellare le prove con privilegi di root. La domanda che i team di sicurezza devono porsi non è più semplicemente quando patchare, ma perché un portal di autenticazione debba mai essere esposto senza restrizioni rigide di rete.
Domande frequenti
- Quali dispositivi Palo Alto sono effettivamente vulnerabili?
- La CVE-2026-0300 colpisce i firewall PA-Series e VM-Series che eseguono PAN-OS con il servizio User-ID Authentication Portal abilitato. Prisma Access, Cloud NGFW e Panorama non sono interessati.
- È possibile ridurre il rischio in attesa delle patch senza disabilitare il servizio?
- Sì. La mitigazione principale consiste nel limitare l’accesso al portal a indirizzi IP trusted interni. Palo Alto Networks ha indicato che questa configurazione riduce drasticamente la probabilità di exploitation.
- Gli attacchi osservati mostrano caratteristiche di attività automatizzata o mirata?
- Palo Alto Networks ha classificato la vulnerabilità come automabile dal punto di vista tecnico, ma non ha confermato che gli attacchi in-the-wild rilevati da Unit 42 siano automatizzati. La campagna CL-STA-1132 mostra segni di post-exploitation manuale e mirata.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/2026/05/pan-os-rce-exploit-under-active-use.html
- https://thehackernews.com/2026/05/palo-alto-pan-os-flaw-under-active.html
- https://www.helpnetsecurity.com/2026/05/06/palo-alto-firewalls-vulnerability-exploited-cve-2026-0300/
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.