PAN-OS Captive Portal zero-day: vulnerabilità RCE CVE-2026-0300 sfruttata

PAN-OS Captive Portal zero-day: vulnerabilità RCE CVE-2026-0300 sfruttata

Palo Alto Networks ha emesso un avviso di sicurezza critico il 6 maggio 2026, rivelando l'esistenza di una vulnerabilità zero-day nel sistema operativo PAN-OS. La falla, identificata come CVE-2026-0300, risiede nel servizio User-ID Authentication Portal, comunemente noto come Captive Portal.

Questa componente gestisce l'autenticazione degli utenti nelle reti aziendali, rendendo la sua esposizione un rischio primario per chi utilizza hardware PA-Series o istanze virtuali VM-Series. La gravità della situazione è determinata dalla possibilità di esecuzione di codice arbitrario senza autenticazione preventiva.

Un utente malintenzionato può inviare pacchetti di rete appositamente confezionati per innescare un buffer overflow, ottenendo privilegi di root sul dispositivo. Questo livello di accesso garantisce il controllo totale sul firewall, permettendo la manipolazione del traffico e la creazione di tunnel persistenti verso l'interno della rete protetta.

"A buffer overflow vulnerability in the User-ID Authentication Portal (aka Captive Portal) service of Palo Alto Networks PAN-OS software allows an unauthenticated attacker to execute arbitrary code with root privileges on the PA-Series and VM-Series firewalls by sending specially crafted packets through network traffic."

Cronologia e dinamica dell'incidente

Le indagini condotte dall'unità Unit 42 hanno stabilito una timeline precisa basata sulle evidenze raccolte durante l'incident response. I primi tentativi di sfruttamento della vulnerabilità zero-day sono stati osservati il 9 aprile 2026. In questa fase iniziale, le attività registrate consistevano in tentativi falliti contro i dispositivi target.

Secondo i dati certificati dal vendor, gli aggressori hanno raggiunto il successo operativo circa una settimana dopo i primi tentativi. In questo frangente, è stata ottenuta l'esecuzione di codice remoto (RCE) e l'iniezione di shellcode direttamente nel processo del Captive Portal. Questo successo ha permesso agli attori delle minacce di passare dalla fase di ricognizione esterna alla compromissione interna del sistema operativo.

Il 29 aprile 2026 è stata registrata un'attività ancora più complessa: un attacco di tipo SAML flood. Questa tecnica è stata impiegata per forzare un failover in una configurazione di alta affidabilità, promuovendo un secondo dispositivo allo stato "Active". Una volta che il traffico è passato sul nuovo nodo, gli attaccanti hanno sfruttato nuovamente la CVE-2026-0300 per compromettere anche il secondo firewall.

"Starting April 9, 2026, there were unsuccessful exploitation attempts against a PAN-OS device. A week later, the attackers successfully achieved RCE against the device and injected shellcode."

Sintesi tecnica: vulnerabilità e perimetro

La vulnerabilità CVE-2026-0300 è un buffer overflow che affligge il servizio User-ID Authentication Portal (Captive Portal). Sebbene i dettagli tecnici specifici sulla gestione dei pacchetti non siano stati divulgati, il vendor conferma che l'invio di dati appositamente formattati può dirottare il flusso di esecuzione verso shellcode arbitrario.

L'esecuzione avviene con i massimi privilegi (root) sul sistema operativo PAN-OS, invalidando di fatto ogni barriera di sicurezza tra l'attaccante e il core del sistema. Nonostante l'elevato potenziale di rischio, Palo Alto Networks ha circoscritto il perimetro dei sistemi interessati dalla vulnerabilità.

Il vendor ha confermato che Prisma Access, Cloud NGFW e il sistema di gestione centralizzata Panorama non sono interessati da questa specifica falla. Tale distinzione è fondamentale per gli amministratori che devono prioritizzare gli interventi di mitigazione sulle infrastrutture on-premise o cloud-managed specifiche basate su hardware fisico o virtuale tradizionale.

Tattiche di post-exploitation: il gruppo CL-STA-1132

L'attore dietro questa campagna, identificato internamente come CL-STA-1132, ha mostrato una disciplina operativa notevole nella gestione della post-exploitation. Invece di installare impianti malware complessi e proprietari, ha optato per l'uso di strumenti legittimi e open-source. Questa scelta riduce drasticamente l'efficacia delle soluzioni di sicurezza basate su firme tradizionali.

Unit 42 ha documentato l'uso di tool come EarthWorm e ReverseSocks5, impiegati per stabilire tunnel crittografati e facilitare il movimento laterale. Una volta ottenuto il controllo del firewall, CL-STA-1132 ha utilizzato le credenziali dell'account di servizio del firewall per comunicare con Active Directory. Questo ha permesso un'enumerazione massiva degli utenti e dei gruppi del dominio direttamente dal perimetro.

L'analisi delle operazioni di pulizia dei log evidenzia ulteriormente la consapevolezza tattica del gruppo. Gli aggressori hanno sistematicamente rimosso i messaggi di crash del kernel e le entry di crash del servizio nginx. Hanno inoltre cancellato i core dump generati, rendendo estremamente difficile per i difensori ricostruire l'accaduto senza una telemetria avanzata ed esterna al dispositivo stesso.

"The reliance of the attackers behind CL-STA-1132 on open-source tooling, rather than proprietary malware, minimized signature-based detection and facilitated seamless environment integration."

Cosa fare adesso

Le organizzazioni devono verificare immediatamente se il servizio Captive Portal è abilitato sui loro firewall PA-Series o VM-Series. La raccomandazione principale è disabilitare il servizio User-ID Authentication Portal se non è strettamente necessario per le funzioni aziendali. Questo interrompe immediatamente il vettore di attacco principale della CVE-2026-0300.

Qualora il portale debba rimanere attivo, l'accesso deve essere limitato esclusivamente a segmenti di rete interni fidati tramite criteri di sicurezza rigorosi. Questa restrizione impedisce agli attaccanti esterni di raggiungere il servizio vulnerabile, confinando il rischio a potenziali minacce interne o ad attori già presenti nella rete.

Per chi dispone di licenze Advanced Threat Prevention, è essenziale verificare l'attivazione della protezione specifica. Palo Alto Networks ha rilasciato il Threat ID 510019 per PAN-OS 11.1 e versioni successive, in grado di rilevare e bloccare i tentativi di exploit legati a questa falla. È imperativo assicurarsi che i database dei contenuti di sicurezza siano aggiornati.

Infine, è necessaria un'attività di threat hunting retroattiva. I team di sicurezza dovrebbero cercare indicatori di compromissione (IoC) come la presenza di file associati a EarthWorm o ReverseSocks5. Anomalie nei log di sistema, in particolare buchi temporali nelle entry di nginx o del kernel avvenuti dal 9 aprile 2026, devono essere trattate come potenziali segni di intrusione.

Analisi Editoriale: Il paradosso strategico

L'incidente CVE-2026-0300 pone l'accento sulla vulnerabilità intrinseca dei dispositivi di sicurezza. Quando un firewall viene compromesso tramite un accesso root non autenticato, non è solo una barriera a cadere, ma un intero ecosistema di fiducia a essere violato. Il firewall smette di essere un difensore per diventare un facilitatore dell'attacco.

L'uso del SAML flood per manipolare l'alta affidabilità dimostra che gli attaccanti hanno superato la fase della semplice esecuzione di codice. Puntare a sovvertire le architetture di ridondanza per mantenere il controllo è un'evoluzione tattica che evidenzia una conoscenza profonda dei meccanismi interni dei sistemi di difesa aziendali.

La strategia di CL-STA-1132, basata su tool open-source, sottolinea l'insufficienza di una difesa basata puramente sul perimetro. La mancanza di una patch software immediata al momento della disclosure sposta il peso della sicurezza sulle capacità di monitoraggio. La sicurezza del firewall non può più essere considerata un dato acquisito, ma deve essere monitorata costantemente.

In conclusione, la gestione di questa zero-day richiede una bonifica che vada oltre il semplice aggiornamento delle firme. Le aziende colpite devono considerare compromesse le credenziali di servizio utilizzate dai firewall. Solo una verifica sistematica dell'integrità dei log e una rotazione completa dei segreti possono garantire che l'attore non abbia stabilito punti di accesso silenti.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://unit42.paloaltonetworks.com/captive-portal-zero-day/