Fortezza Firewall Violata: Hacker Ottengono il Controllo Root tramite uno Zero-Day di Palo Alto Networks
Sottotitolo: Attaccanti non autenticati sfruttano un bug critico di PAN-OS, trasformando difese di rete fidate in piattaforme d’attacco silenziose.
Quando un firewall diventa la porta, non la serratura, il panico si diffonde nel mondo della difesa cyber. Questa settimana, una falla critica nei firewall PAN-OS di Palo Alto Networks ha fatto proprio questo-lasciando migliaia di organizzazioni esposte mentre gli attaccanti sfruttano una vulnerabilità zero-day che consegna loro le chiavi maestre: accesso a livello root.
La vulnerabilità, tracciata come CVE-2026-0300, colpisce al cuore la sicurezza enterprise: il Portale di Autenticazione User-ID-spesso usato per l’accesso guest e per policy basate sull’identità. La falla è una classica scrittura out-of-bounds (CWE-787), che permette agli attaccanti di inviare pacchetti costruiti ad arte per costringere il firewall a eseguire codice arbitrario come root, il privilegio più alto del sistema. Nessuna password, nessuna autenticazione-solo un’autostrada aperta verso la compromissione.
Le agenzie di sicurezza hanno lanciato l’allarme dopo aver osservato attacchi nel mondo reale. Secondo Palo Alto Networks, lo sfruttamento è iniziato con tentativi falliti a inizio aprile, ma a metà mese gli attaccanti hanno avuto successo-iniettando shellcode e ripulendo immediatamente i log per cancellare le tracce. Per i difensori, questo significa che i metodi di rilevamento tradizionali potrebbero essere inutili; gli attaccanti hanno usato strumenti come Earthworm e ReverseSocks5 per creare tunnel più in profondità nelle reti, aggirando NAT e firewall, e stabilendo canali di comando furtivi.
La minaccia non è ipotetica. CISA ha aggiunto il bug al suo catalogo Known Exploited Vulnerabilities il 6 maggio, imponendo alle agenzie federali di applicare patch o mitigazioni entro il 9 maggio in base alla Binding Operational Directive 22-01. L’urgenza deriva dalla natura dei dispositivi: i firewall dovrebbero essere l’ultima linea di difesa, considerati affidabili per proteggere il traffico al perimetro. La loro compromissione potrebbe consentire agli intrusi di riscrivere le regole, monitorare l’attività o persino usare il dispositivo come trampolino per ulteriori attacchi-il tutto restando invisibili dietro un’infrastruttura fidata.
Palo Alto Networks sta correndo per rilasciare le patch, con i primi aggiornamenti attesi entro il 13 maggio. Nel frattempo, ai team di sicurezza si consiglia di limitare l’accesso al portale alle zone fidate o di disabilitare del tutto la funzionalità. Qualsiasi traffico del portale non spiegato, modifiche alle regole o nuovi comportamenti amministrativi dovrebbero essere trattati con sospetto; le compromissioni root significano che i responder devono presumere una violazione totale.
Questo incidente fa parte di una tendenza più ampia: gli attori della minaccia, inclusi gruppi sospettati di essere sostenuti da Stati, stanno prendendo sempre più di mira i dispositivi di edge di rete-firewall, router, VPN-che spesso non dispongono di protezioni endpoint avanzate e di logging. Man mano che il perimetro si sfuma, i difensori devono ripensare come monitorare e mettere in sicurezza questi colli di bottiglia critici.
Con i firewall che diventano bersagli anziché scudi, la lezione è chiara: anche gli apparati di sicurezza più fidati non sono immuni. Finché non arriveranno le patch, vigilanza e mitigazioni aggressive sono le uniche difese tra gli attaccanti e il cuore della tua rete.
WIKICROOK
- Zero: Una vulnerabilità zero-day è una falla di sicurezza nascosta, sconosciuta al produttore del software, senza una correzione disponibile, il che la rende estremamente preziosa e pericolosa per gli attaccanti.
- Accesso Root: L’accesso root è il livello più alto di controllo del sistema, che consente modifiche, cancellazioni o accesso senza restrizioni a qualsiasi file e impostazione su un dispositivo.
- Out: La verifica out-of-band conferma l’identità usando un canale separato, come una telefonata o un SMS, per aumentare la sicurezza e prevenire accessi non autorizzati.
- Captive Portal: Un captive portal è una pagina web mostrata quando ci si collega a un WiFi pubblico, di solito chiedendo il login o l’accettazione dei termini prima di concedere l’accesso a internet.
- Esecuzione di Codice da Remoto (RCE): L’esecuzione di codice da remoto (RCE) si verifica quando un attaccante esegue il proprio codice sul sistema della vittima, spesso arrivando al controllo completo o alla compromissione di quel sistema.




