PAN-OS, zero-day CVE-2026-0300: RCE root su firewall esposti
CVE-2026-0300: RCE root non autenticato sul Captive Portal PAN-OS. Exploitation attiva dal 9 aprile, patch dal 13 maggio. CISA impone remediation in 72h.
Contenuto
Palo Alto Networks ha reso pubblico il 6 maggio 2026 CVE-2026-0300, una vulnerabilità zero-day nel portale User-ID Authentication (Captive Portal) di PAN-OS che consente esecuzione remota di codice con privilegi root senza autenticazione. Unit 42 ha confermato exploitation attiva con successo già dal 16 aprile, dopo tentativi falliti registrati il 9 aprile, con post-exploitation che include cancellazione dei log, tunneling SOCKS5 e enumerazione Active Directory. La criticità è massima per ogni organizzazione che espone il Captive Portal a internet: CISA ha inserito la falla nel catalogo KEV il 6 maggio con scadenza per le agenzie federali fissata al 9 maggio, mentre la patch correttiva è arrivata solo il 13 maggio.
- Buffer overflow nel servizio User-ID Authentication Portal (Captive Portal) che consente RCE root non autenticato a chiunque raggiunga l'interfaccia esposta a internet o a IP non trusted.
- Timeline exploitation: tentativi falliti dal 9 aprile, compromissione RCE confermata il 16 aprile con shellcode, log cleanup e deploy di EarthWorm e ReverseSocks5.
- Enumerazione Active Directory tramite abuso delle credenziali del service account firewall, abbinata a tunneling SOCKS5 e proxy outbound per movimento laterale.
- Prisma Access, Cloud NGFW e Panorama non sono interessati; la patch è stata rilasciata il 13 maggio 2026 dopo l'inserimento nel KEV catalog di CISA il 6 maggio.
Il buffer overflow nel Captive Portal: come funziona l'attacco
L'advisory di Unit 42 descrive CVE-2026-0300 come un buffer overflow nel servizio User-ID Authentication Portal, noto anche come Captive Portal, di PAN-OS. Un attaccante remoto e non autenticato può inviare pacchetti appositamente craftati per sovrascrivere la memoria del processo, ottenendo esecuzione di codice arbitrario con privilegi root sul firewall. Non è richiesta alcuna credenziale né interazione umana: è sufficiente che il Captive Portal sia raggiungibile dalla posizione dell'attaccante. Palo Alto Networks ha assegnato alla vulnerabilità un punteggio CVSS di 9,3.
Avere root sul firewall significa che l'attaccante controlla completamente il dispositivo: può modificare regole, intercettare traffico, reindirizzare sessioni e usare l'apparato come pivot verso la rete interna. La combinazione di RCE non autenticato e privilegi massimi rende questa zero-day particolarmente pericolosa rispetto a vulnerabilità che richiedono almeno un accesso parziale o utente locale.
Dall'9 aprile al 16 aprile: la cronologia dell'exploitation confermata
La timeline pubblicata da Palo Alto Networks traccia i primi tentativi di exploitation al 9 aprile 2026, inizialmente falliti. Sette giorni dopo, il 16 aprile, gli stessi attori hanno ottenuto RCE con successo, iniettato shellcode e immediatamente proceduto alla cancellazione sistematica delle tracce. Unit 42 ha documentato la rimozione di crash kernel messages, l'eliminazione di nginx crash entries e nginx crash records, oltre alla distruzione dei file core dump. Questo pattern indica un'operazione deliberata di anti-forensics, non un exploit automatico o casuale.
"Starting April 9, 2026, there were unsuccessful exploitation attempts against a PAN-OS device. A week later, the attackers successfully achieved RCE against the device and injected shellcode. Following the compromise, the attackers immediately conducted log cleanup to mitigate detection by clearing crash kernel messages, deleting nginx crash entries and nginx crash records, as well as removing crash core dump files." — Unit 42, Palo Alto Networks
L'intervallo di oltre un mese tra il primo tentativo e la disclosure pubblica del 6 maggio mostra che gli attori hanno avuto tempo sufficiente per perfezionare l'attacco e compromettere obiettivi in modo selettivo. Il riferimento di Palo Alto Networks a limited exploitation indica, secondo il vendor, una campagna selettiva piuttosto che un uso indiscriminato su larga scala, anche se il numero esatto di vittime non è stato divulgato.
EarthWorm, ReverseSocks5 e la pulizia dei log
Una volta ottenuto il controllo root, gli attaccanti hanno deployato tool open-source per mantenere la connettività e muoversi lateralmente. Unit 42 e BleepingComputer confermano l'uso di EarthWorm per il tunneling SOCKS5 e di ReverseSocks5 per creare proxy outbound attraverso il firewall compromesso. Contemporaneamente, i ricercatori hanno osservato tentativi di enumerazione di Active Directory sfruttando le credenziali del service account assegnato al dispositivo. Questa combinazione suggerisce un obiettivo di reconnaissance e persistenza all'interno della rete interna, piuttosto che un semplice blitz o attacco opportunistico.
L'uso di EarthWorm e ReverseSocks5 indica che gli attaccanti non si sono limitati al firewall, ma hanno cercato di stabilire un'infrastruttura di comando e controllo resiliente. Il tunneling SOCKS5 permette di incapsulare traffico arbitrario attraverso il firewall, rendendo difficile il rilevamento da parte di sistemi DLP o proxy aziendali. L'enumerazione AD tramite il service account del firewall, inoltre, sfrutta una trust relationship pre-esistente, evitando la fase iniziale di brute-force o phishing.
Esposizione su internet e l'ordine CISA
L'attacco richiede che il Captive Portal sia esposto a indirizzi IP non trusted o direttamente a internet. Shadowserver ha rilevato circa 2.466 istanze esposte in Asia e quasi 1.998 in Nord America, creando una superficie d'attacco globale concentrata ma significativa. Il 6 maggio 2026 CISA ha inserito CVE-2026-0300 nel catalogo KEV, imponendo alle agenzie federali appartenenti alla categoria FCEB una remediation entro il 9 maggio. La patch, tuttavia, è stata rilasciata solo il 13 maggio, generando un intervallo di diversi giorni in cui le agenzie erano formalmente obbligate a mitigare una minaccia per la quale il fix ufficiale non era ancora disponibile.
L'incidente si sovrappone alla campagna marketing AI-driven del vendor, documentata da Flyingpenguin con la pubblicazione quasi simultanea del Defender's Guide. La zero-day è stata scoperta e sfruttata da attori umani attraverso tecniche post-exploitation classiche, offrendo un contrasto netto con la narrativa AI-driven del vendor: l'exploitation ha avuto inizio oltre un mese prima della disclosure pubblica.
Cosa fare adesso
La risposta alla zero-day deve essere strutturata e rapida, considerando che l'exploitation è confermata, i log possono essere inaffidabili e i tool di post-exploitation sono già standardizzati.
- Verificare immediatamente se il Captive Portal è esposto a IP non trusted o a internet: in caso affermativo, applicare la patch rilasciata il 13 maggio 2026 o rimuovere l'esposizione entro le 72 ore richieste da CISA per le agenzie FCEB.
- Eseguire threat hunting sui log di PAN-OS alla ricerca di crash nginx anomali, cancellazione di core dump o messaggi kernel mancanti nel periodo compreso tra il 9 aprile e il 13 maggio 2026.
- Ruotare le credenziali del service account utilizzato dal firewall per l'integrazione Active Directory e verificare accessi anomali a LDAP o AD dagli IP dei dispositivi edge.
- Ispezionare il traffico di rete per connessioni SOCKS5 o pattern compatibili con EarthWorm e ReverseSocks5, controllando in particolare sessioni outbound insolite dai firewall PA-Series o VM-Series.
L'incidente mette a nudo la fragilità dei perimetri che espongono il Captive Portal a internet. Il ritardo tra il primo RCE documentato il 16 aprile e il rilascio della patch il 13 maggio, sovrapposto alla campagna marketing AI-driven di Palo Alto, offre uno spaccato sul divario tra narrativa tecnologica e pratica operativa. Per i team di sicurezza, il messaggio è netto: la zero-day è sfruttata da operatori umani con tecniche anti-forensics, e il tempo di reazione deve misurarsi in ore, non in cicli di rilascio mensili.
Domande frequenti
Perché il Captive Portal espone una superficie d'attacco così ampia?
Il portale User-ID Authentication (Captive Portal) elabora pacchetti di rete in ingresso per autenticare gli utenti; quando esposto a internet o a IP non trusted, il buffer overflow consente a un attaccante remoto di sovrascrivere la memoria del processo e ottenere esecuzione di codice con privilegi root, bypassando completamente l'autenticazione.
Se i log sono stati cancellati, come si rileva retroattivamente una compromissione?
Unit 42 ha evidenziato la cancellazione di nginx crash entries, kernel messages e core dump, ma è possibile correlare indici di compromissione esterni: analisi delle credenziali AD sfruttate dal service account, presenza di file EarthWorm o ReverseSocks5 sul filesystem, e anomalie di traffico outbound SOCKS5 non spiegabili con le policy standard.
A chi si applica la deadline CISA del 9 maggio 2026?
L'ordine di remediation entro il 9 maggio 2026 si applica alle agenzie federali appartenenti alla categoria FCEB. Le organizzazioni private non sono vincolate alla stessa scadenza, ma la gravità della zero-day e l'esposizione pubblica del Captive Portal impongono ugualmente un intervento immediato.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/2026/05/threatsday-bulletin-pan-os-rce-mythos.html
- https://unit42.paloaltonetworks.com/captive-portal-zero-day/
- https://www.bleepingcomputer.com/news/security/pan-os-firewall-rce-zero-day-exploited-in-attacks-since-april-9/
- https://www.bleepingcomputer.com/news/security/palo-alto-networks-warns-of-actively-exploited-firewall-zero-day/
- https://www.flyingpenguin.com/palo-alto-defenders-guide-refutes-mythos-claim/comment-page-1/