Palo Alto: zero-day PAN-OS dà ai pirati il controllo del perimetro

Palo Alto: zero-day PAN-OS dà ai pirati il controllo del perimetro

Il 6 maggio 2026 Palo Alto Networks ha pubblicato l’advisory di CVE-2026-0300, un buffer overflow nel servizio User-ID Authentication Portal — noto come Captive Portal — di PAN-OS. La vulnerabilità consente a un attaccante remoto e non autenticato di eseguire codice arbitrario con privilegi root sui firewall PA-Series e VM-Series inviando pacchetti appositamente costruiti. L’allerta diventa ora incontornabile perché Unit 42 ha ricostruito una campagna mirata attiva almeno dal 9 aprile, con esfiltrazione tramite strumenti open-source e manomissione dei log per eludere i sistemi di rilevazione standard.

Il meccanismo del buffer overflow nel Captive Portal

"A buffer overflow vulnerability in the User-ID Authentication Portal (aka Captive Portal) service of Palo Alto Networks PAN-OS software allows an unauthenticated attacker to execute arbitrary code with root privileges on the PA-Series and VM-Series firewalls by sending specially crafted packets through network traffic." La descrizione, contenuta nel threat brief di Unit 42, definisce l’entità della minaccia: nessuna credenziale richiesta e impatto totale sulla macchina. L’attacco si attiva al livello rete, senza interazione umana da parte della vittima.

Le versioni interessate includono PAN-OS 11.2, 11.1 e 10.2 in specifici build precedenti alle patch. Prisma Access, Cloud NGFW e Panorama non sono affetti. Il punteggio CVSS raggiunge 9,3 quando il portale è esposto a internet o reti untrusted, e si assesta a 8,7 se l’accesso è ristretto a soli IP interni considerati trusted, un dettaglio che non attenua l’urgenza ma ne disegna i perimetri concreti di esposizione.

"This vulnerability is specific to a limited number of customers with their User-ID Authentication Portal (Captive Portal) exposed to the public internet or untrusted IP addresses", ha precisato un portavoce di Palo Alto Networks via The Hacker News. La distinzione è rilevante perché riduce la superficie d’attacco a un sottoinsieme definito di dispositivi, anche se la gravità resta invariata per ogni singola installazione esposta.

Timeline della campagna CL-STA-1132

Unit 42 ha ricostruito exploitation limitato a partire dal 9 aprile 2026, quando i primi tentativi falliti hanno colpito l’infrastruttura bersaglio. Il RCE riuscito è stato documentato una settimana dopo, il 16 aprile. "We are aware of only limited exploitation of CVE-2026-0300 at this time", ha sottolineato il team di ricerca, escludendo al momento una campagna di massa o una propagazione worm-like.

Il 29 aprile 2026 gli attaccanti hanno condotto un SAML flood per promuovere un secondo dispositivo a Active ed eseguire RCE anche su di esso. Questo passaggio conferma che l’obiettivo non era semplicemente il firewall, ma l’intero ecosistema di trust identity ad esso collegato. Non è tuttavia chiaro se la vulnerabilità sia stata scoperta durante l’indagine sulla campagna o fosse già nota prima degli attacchi di aprile; su questo punto le fonti non forniscono evidenze certe.

L’identità o l’attribuzione nazionale del gruppo CL-STA-1132 non è confermata dalle fonti disponibili, che collocano il comportamento solo all’interno di un trend più ampio di minacce avanzate. Non è nemmeno noto se esistano proof-of-concept pubblici o se l’exploit sia in vendita sul mercato underground, un’incognita che rende impossibile stimare l’accelerazione del rischio nei prossimi giorni.

Stealth e tool open-source: la post-exploitation

Dopo il RCE, gli operatori hanno rimosso tracce cancellando crash kernel messages, entry nginx e core dump, una pulizia che denota operational restraint e attenzione alla persistenza a basso rumore. Le sessioni di comando sono state intermittenti, probabilmente calibrate per restare al di sotto delle soglie di detection degli endpoint standard e prolungare la permanenza nell’infrastruttura.

Il pivoting interno non ha richiesto malware proprietario. Il 29 aprile 2026 Unit 42 ha documentato il download di EarthWorm e ReverseSocks5 sul secondo dispositivo compromesso: entrambi strumenti open-source di tunneling SOCKS v5, difficili da classificare come malevoli in ambienti che non applichino un controllo rigoroso sui binari non firmati. L’enumerazione di Active Directory è proseguita usando le credenziali di servizio del firewall, violando così il trust identity a partire da un asset perimetrale.

La scelta di strumenti pubblici e legittimi cambia il paradigma della difesa. Non basta più cercare firme di malware noti; è necessario monitorare il comportamento anomalo dei processi, le connessioni SOCKS improvvise e l’accesso ai log di sistema da parte di account che non dovrebbero toccarli. Il firewall, in questo scenario, diventa sia il punto di ingresso sia la piattaforma di lancio per il movimento laterale.

"A buffer overflow vulnerability in the User-ID Authentication Portal (aka Captive Portal) service of Palo Alto Networks PAN-OS software allows an unauthenticated attacker to execute arbitrary code with root privileges on the PA-Series and VM-Series firewalls by sending specially crafted packets through network traffic."

Cosa fare adesso

• Limitare immediatamente l’accesso al Captive Portal a zone trusted o a indirizzi IP interni noti, rimuovendo qualsiasi esposizione diretta a internet o reti non controllate fino al rilascio delle patch previsto per il 13 maggio 2026.
• Disabilitare il servizio User-ID Authentication Portal se non strettamente necessario all’operatività aziendale, poiché la sua inattività annulla completamente la superficie d’attacco legata a CVE-2026-0300.
• Monitorare con attenzione i log di sistema alla ricerca di cancellazioni anomale di crash kernel, entry nginx o core dump, che rappresentano indicatori di anti-forense coerenti con la post-exploitation osservata.
• Ispezionare e, ove possibile, forzare il reset delle credenziali di servizio che il firewall utilizza per l’integrazione con Active Directory, prevenendo che un eventuale compromissione diventi un ponte verso il dominio aziendale.

Il perimetro non basta più

La campagna CL-STA-1132 dimostra che i firewall di rete edge, per quanto robusti, sono diventati obiettivi privilegiati per il movimento laterale quando gestiscono identità e trust verso l’interno. Con tool open-source e una pulizia meticolosa dei log, gli aggressori poggiano la persistenza più sulla disciplina operativa che sulla sofisticazione tecnologica, spostando il peso della difesa dalla prevenzione alla velocità di risposta e alla segmentazione rigorosa del traffico interno. Se il dispositivo di confine cade, la rete deve essere pronta a non fidarsi nemmeno di ciò che sta oltre il muro.

Domande frequenti

Quali versioni di PAN-OS sono effettivamente a rischio?

Le fonti indicano PAN-OS 11.2, 11.1 e 10.2 in specifici build precedenti alle patch rilasciate. Prisma Access, Cloud NGFW e Panorama restano esclusi dal perimetro del rischio.

L’attacco può essere considerato di massa o automatizzato?

No. Palo Alto Networks e Unit 42 parlano esplicitamente di exploitation limitato e mirato, con tentativi iniziati il 9 aprile 2026 e primo RCE riuscito il 16 aprile. Al momento non esistono evidenze di propagazione worm-like.

La patch è disponibile al momento della pubblicazione?

No. Le patch sono previste per il 13 maggio 2026. Al momento l’unica mitigazione consiste nel limitare l’accesso al Captive Portal a reti trusted o nel disabilitare completamente il servizio.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://unit42.paloaltonetworks.com/captive-portal-zero-day/
• https://origin-unit42.paloaltonetworks.com/captive-portal-zero-day/
• https://thehackernews.com/2026/05/palo-alto-pan-os-flaw-under-active.html