Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Una vulnerabilità critica nel sistema operativo firewall PAN-OS di Palo Alto Networks sta permettendo agli hacker di effettuare attacchi informatici senza autenticazione. La vulnerabilità interessa i dispositivi con il portale di autenticazione User-ID abilitato
Palo Alto Networks, ha segnalato recentemente, una vulnerabilità critica all’interno del suo sistema operativo firewall PAN-OS . Gli hacker stanno già sfruttando questo bug di sicurezza per effettuare attacchi informatici, senza alcun bisogno di autenticazione.
Si tratta del bug di sicurezza monitorato con il CVE-2026-0300, dovuto ad un buffer overflow nel servizio User-ID Authentication Portal, noto anche come Captive Portal. Utilizzando dei specifici pacchetti di rete appositamente creati, un malintenzionato può eseguire del remoto codice arbitrario con privilegi di root all’interno dei firewall delle serie PA e VM.
Il problema ha ottenuto un punteggio CVSS di 9,3 su 10 se il portale di autenticazione è accessibile da Internet o da una rete non attendibile. Se l’accesso è limitato agli indirizzi IP interni attendibili, il punteggio scende a 8,7.
Palo Alto Networks ha segnalato di aver rilevato uno “sfruttamento limitato” della vulnerabilità. Gli attacchi prendono di mira i dispositivi in cui il portale di autenticazione User-ID è stato lasciato accessibile da Internet. Il problema interessa PAN-OS 10.2, 11.1, 11.2 e 12.1. Le versioni precedenti alla 10.2.18-h6, 11.1.15, 11.2.12 e 12.1.7, così come diverse build intermedie, sono considerate vulnerabili.
Al momento della pubblicazione, le patch non sono ancora state rilasciate. Palo Alto Networks prevede di iniziare a rilasciare gli aggiornamenti il 13 maggio 2026. La vulnerabilità interessa solo i firewall delle serie PA e VM con il portale di autenticazione User-ID abilitato. Fino al rilascio delle patch, l’azienda raccomanda di limitare l’accesso al portale ai segmenti di rete attendibili o di disabilitare completamente il servizio se non in uso.
Questo bug di sicurezza si inserisce in un trend sempre più crescente che vede i dispositivi “Edge” e le infrastrutture di rete come principali bersagli per le campagne di spionaggio e ransomware altamente mirate. Il fatto che lo 0day sia stato identificato durante un attacco, prima del rilascio degli aggiornamenti, sottolinea come gli attaccanti siano sempre attivi nella ricerca di bug non documentati.
Per le aziende, l’evento funge da monito per attivare finalmente una architettura Zero Trust, dove la sicurezza non è più delegata ad un singolo dispositivo perimetrale. In situazioni di sfruttamento degli zero-day come in questa vicenda, la velocità di rilevamento dei comportamenti anomali può fare la differenza tra un tentativo di intrusione fallito e un disastroso data breach.
