Zero-day Palo Alto: RCE root su firewall, patch dal 13 maggio
CVE-2026-0300 consente RCE root non autenticata sui firewall Palo Alto. CISA ordina mitigazioni entro 72 ore, ma le patch arriveranno non prima del 13 maggio.
Contenuto
Palo Alto Networks ha pubblicato mercoledì 6 maggio 2026 un advisory di sicurezza relativo a una vulnerabilità zero-day critica nel servizio User-ID Authentication Portal di PAN-OS, identificata con il codice CVE-2026-0300. Il difetto consente a un attaccante non autenticato di eseguire codice in modalità remota con privilegi root sui firewall PA-Series e VM-Series.
Il difetto è già oggetto di sfruttamento in the wild in assenza di patch correttive. CISA ha confermato l’exploitation attiva e ordinato alle agenzie federali statunitensi di applicare le mitigazioni entro sabato, generando una finestra di esposizione forzata di circa una settimana prima dell’arrivo degli aggiornamenti previsti a partire dal 13 maggio 2026.
- CVE-2026-0300 colpisce il servizio User-ID Authentication Portal (Captive Portal) di PAN-OS e permette esecuzione remota di codice non autenticata con privilegi root sui modelli PA-Series e VM-Series.
- La gravità varia con la configurazione di rete: il punteggio CVSS massimo è pari a 9,3 quando il portal è accessibile da internet o reti non attendibili, e scende a 8,7 se l’accesso è ristretto a soli indirizzi IP interni considerati trusted.
- Al momento della segnalazione non esistono patch disponibili; Palo Alto Networks prevede di rilasciare gli aggiornamenti a partire dal 13 maggio 2026, lasciando una lacuna di circa sette giorni tra l’avviso e il primo remedy ufficiale.
- CISA ha imposto alle agenzie federali USA un termine di circa 72 ore per applicare le contromisure, riconoscendo il rischio perimetrale di una RCE root sui dispositivi di confine della rete.
Il meccanismo: buffer overflow sul Captive Portal
Secondo la descrizione tecnica riportata da Palo Alto Networks, la vulnerabilità risiede nel servizio User-ID Authentication Portal, noto anche come Captive Portal, integrato nel sistema operativo PAN-OS. Il difetto è un buffer overflow che consente a un attaccante non autenticato di inviare pacchetti appositamente craftati per eseguire codice arbitrario con privilegi root sul dispositivo.
"A buffer overflow vulnerability in the User-ID Authentication Portal (aka Captive Portal) service of Palo Alto Networks PAN-OS software allows an unauthenticated attacker to execute arbitrary code with root privileges on the PA-Series and VM-Series firewalls by sending specially crafted packets"
La compromissione di un firewall perimetrale con privilegi amministrativi massimi espone l’intera infrastruttura di rete a rischi estremi. I modelli PA-Series e VM-Series fungono tipicamente da nodi di confine critici, per cui un aggressore potrebbe modificare regole di traffico, intercettare comunicazioni o pivotare verso segmenti interni senza incontrare ulteriori controlli di sicurezza. La gravità dello scenario è accentuata dal fatto che il servizio interessato è progettato per autenticare utenti e dispositivi, una funzione tipicamente esposta verso l’esterno o verso zone di rete ad ampio accesso.
Perché il punteggio CVSS cambia tra 9,3 e 8,7
La valutazione della minaccia non è uniforme per tutte le installazioni. Il punteggio CVSS di CVE-2026-0300 raggiunge il valore massimo di 9,3 nelle configurazioni in cui il User-ID Authentication Portal è abilitato e raggiungibile da internet o da reti non attendibili. Se invece l’accesso al portal è vincolato esclusivamente a indirizzi IP interni considerati trusted, il punteggio scende a 8,7.
Questa differenza non attenua la criticità della falla, ma fornisce una mappa immediata del rischio. Le organizzazioni che hanno esposto il servizio verso l’esterno senza restrizioni si trovano nella fascia di pericolo più alta. Al contrario, chi ha già segregato il Captive Portal in zone interne riduce la probabilità di compromissione remota, anche se non la elimina completamente. Secondo il vendor, i clienti che seguono best practice di segmentazione di rete sono esposti a un rischio notevolmente ridotto.
La deadline CISA e il divario con le patch
Nelle ore successive alla pubblicazione dell’advisory, CISA ha confermato che la vulnerabilità è sfruttata attivamente e ha emesso un ordine diretto alle agenzie del governo federale statunitense: applicare le mitigazioni entro sabato 9 maggio 2026. Il termine, pari a circa 72 ore dall’avviso del 6 maggio, riflette la percezione di urgenza legata a una RCE root su dispositivi di sicurezza perimetrale.
Il problema istituzionale è evidente: le agenzie federali devono adempiere a una direttiva di mitigazione che non può essere risolta con un aggiornamento software. Palo Alto Networks ha infatti comunicato che nessuna patch è disponibile al momento e che gli aggiornamenti inizieranno a essere distribuiti non prima del 13 maggio 2026. L’assenza di un fix immediato trasforma ogni istanza esposta in un obiettivo potenzialmente compromettibile senza che l’amministratore possa applicare un aggiornamento definitivo.
Rapid7 stima che gli aggiornamenti potrebbero coprire molte delle versioni interessate entro quella data, ma non fornisce garanzie di copertura totale per tutti i rami di PAN-OS 10.2, 11.1 e 11.2. Questo divario genera una condizione di esposizione forzata. Le amministrazioni pubbliche statunitensi, così come le aziende private che utilizzano i medesimi modelli, si trovano nella necessità di restringere funzionalità e accessi senza poter chiudere la falla a livello di codice. La situazione è aggravata dal fatto che diverse società di sicurezza hanno segnalato exploitation attiva, sebbene l’entità completa della campagna e l’identità degli attori non siano state rese pubbliche.
Chi è effettivamente a rischio
La vulnerabilità non colpisce indistintamente tutti i prodotti Palo Alto Networks. I modelli interessati sono esclusivamente i firewall PA-Series e VM-Series su cui è attivo il servizio User-ID Authentication Portal, in esecuzione su specifiche versioni dei rami PAN-OS 10.2, 11.1 e 11.2. I dispositivi che non utilizzano il Captive Portal o che appartengono ad altre famiglie hardware non rientrano nel perimetro della minaccia.
L’exploitation attiva segnalata da Palo Alto Networks e CISA appare mirata e circoscritta a istanze del portal esposte pubblicamente a internet. Questo elemento riduce il campo d’azione degli attaccanti ma non offre alcuna garanzia: una volta divulgata la natura tecnica della falla, il rischio di escalation e di scansione di massa verso altri obiettivi resta concreto, specialmente in assenza di patch per circa una settimana.
Cosa fare adesso
Le organizzazioni che gestiscono infrastrutture basate sui firewall interessati devono agire immediatamente sulla configurazione, dato che non è possibile risolvere la vulnerabilità tramite aggiornamento software prima del 13 maggio. Le contromisure prioritarie passano attraverso una riduzione drastica della superficie d’attacco e un ripristino dei controlli di accesso al servizio.
- Verificare l’inventario: identificare i modelli PA-Series e VM-Series che eseguono PAN-OS 10.2, 11.1 o 11.2 con il User-ID Authentication Portal abilitato.
- Restringere l’accesso di rete: limitare il raggiungimento del Captive Portal esclusivamente a segmenti interni trusted, rimuovendo qualsiasi regola che ne consenta l’esposizione diretta a internet o a reti non controllate.
- Disabilitare il servizio se non necessario: se il portal non è indispensabile per le politiche di autenticazione aziendale, la sua disattivazione temporanea rimuove completamente il vettore di attacco fino all’installazione della patch.
- Aumentare il monitoraggio: analizzare i log del firewall per rilevare connessioni anomale o traffico sospetto diretto verso le interfacce del User-ID Authentication Portal, con attenzione particolare alle origini esterne.
Perché la finestra di esposizione è un problema di governance
La vicenda di CVE-2026-0300 mette in luce una contraddizione strutturale della cybersecurity contemporanea. Da un lato, gli organismi di regolamentazione reagiscono con tempi da incident response, imponendo scadenze di poche decine di ore; dall’altro, i vendor non sempre dispongono di un remedy pronto, specialmente quando la falla è di tipo zero-day e richiede cicli di sviluppo e test rigorosi prima della distribuzione.
Il risultato è che la responsabilità della protezione viene temporaneamente spostata dai fornitori di software agli operatori di rete, che devono modificare architetture e flussi di lavoro in emergenza. Per i firewall perimetrali, elementi fondamentali della sicurezza aziendale, questa condizione è particolarmente insidiosa: il dispositivo deputato a filtrare le minacce diventa esso stesso il punto di ingresso per una compromissione totale. La gestione di questi circa sette giorni di attesa definirà il confine tra un incidente contenuto e una breccia strutturale.
Domande frequenti
Quali versioni di PAN-OS sono interessate?
La vulnerabilità si applica a specifiche versioni dei rami PAN-OS 10.2, 11.1 e 11.2 installate su firewall PA-Series e VM-Series configurati per utilizzare il User-ID Authentication Portal.
È sicuro attendere la patch del 13 maggio senza intervenire sulla configurazione?
No. L’exploitation attiva è confermata da CISA e da Palo Alto Networks ed è mirata alle istanze esposte. In assenza di patch, la mitigazione passa esclusivamente dalla modifica delle policy di accesso o dalla disabilitazione del servizio.
Il mio firewall è vulnerabile anche se non utilizzo il Captive Portal?
No. La falla si attiva solo sui dispositivi che hanno abilitato il servizio User-ID Authentication Portal. Se il portal è disattivato, il vettore di attacco non è presente anche se il modello rientra tra quelli potenzialmente affetti.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.