Netcrook Logo
👤 KERNELWATCHER
🗓️ 15 Jan 2026   🌍 North America

Firewall KO: come un singolo difetto potrebbe permettere agli hacker di zittire le difese digitali di Palo Alto

Un bug critico in GlobalProtect di Palo Alto Networks ha esposto migliaia di firewall ad attacchi paralizzanti - senza bisogno di password.

Immagina questo: un singolo esterno, senza lasciare tracce nei log, può abbattere proprio i muri digitali pensati per tenere lontani gli attori delle minacce. Non è uno scenario apocalittico, ma la realtà che migliaia di organizzazioni si trovano ad affrontare dopo che Palo Alto Networks ha rivelato una falla ad alta gravità in grado di mandare in crash i suoi firewall di punta - senza che gli aggressori debbano mai effettuare l’accesso.

Dati rapidi

  • La vulnerabilità CVE-2026-0227 consente ad attaccanti non autenticati di mandare in crash i firewall che eseguono GlobalProtect.
  • Quasi 6.000 firewall Palo Alto sono esposti online, senza prove di sfruttamento in the wild - per ora.
  • Tutte le versioni interessate di PAN-OS e Prisma Access richiedono aggiornamenti urgenti; non esiste alcuna soluzione alternativa.
  • I prodotti Palo Alto Networks proteggono oltre 70.000 organizzazioni, inclusa la maggior parte delle aziende Fortune 10.
  • Negli ultimi mesi si sono visti molteplici zero-day e falle DoS prendere di mira l’infrastruttura di sicurezza di Palo Alto.

Dentro la falla: il tallone d’Achille di un firewall

Palo Alto Networks, un colosso della cybersecurity enterprise, sta correndo ai ripari ancora una volta. Il Gateway e il Portal di GlobalProtect - componenti fondamentali che forniscono accesso remoto e servizi VPN - sono risultati vulnerabili a una falla di denial-of-service (DoS). Tracciato come CVE-2026-0227 e con un punteggio di 7,7 sulla scala CVSS, questo bug permette a chiunque su internet di mandare in crash un firewall semplicemente inviando richieste appositamente costruite. Nessun login, nessun accesso interno: basta una configurazione vulnerabile e un attaccante determinato.

La falla deriva da un “controllo improprio delle condizioni eccezionali”, il che significa che il software del firewall non è riuscito a gestire alcune situazioni inattese, aprendo la porta ad attaccanti che possono mandare ripetutamente i sistemi in crash fino alla modalità di manutenzione. Una volta innescato, il firewall va offline, potenzialmente lasciando intere reti esposte e senza protezione.

L’elenco dei sistemi colpiti è ampio: le versioni di PAN-OS dalla 10.1 in su, insieme a determinate distribuzioni cloud di Prisma Access, sono tutte nel mirino se GlobalProtect è abilitato. Il NGFW cloud-native di Palo Alto evita il problema, ma per migliaia di implementazioni on-premise e ibride l’unica soluzione è aggiornare - non esiste alcun workaround temporaneo.

Ricercatori e osservatori della sicurezza come Shadowserver hanno contato quasi 6.000 firewall Palo Alto esposti su internet. Sebbene Palo Alto affermi che non ci siano ancora prove di sfruttamento attivo, l’urgenza è evidente: i gateway GlobalProtect esposti hanno subito scansioni e tentativi di probing ripetuti per mesi. L’azienda ha rilasciato in fretta le patch e sta spingendo gli aggiornamenti per i clienti cloud rimasti indietro, ma la finestra per gli attori malevoli resta aperta finché ogni dispositivo non sarà messo in sicurezza.

Questo episodio è solo l’ultimo di una serie preoccupante di attacchi e vulnerabilità zero-day che stanno martellando i prodotti Palo Alto. Tra la fine del 2024 e l’inizio del 2025, gli aggressori hanno sfruttato più falle - alcune per ottenere accesso root, altre per mandare in crash le difese - innescando avvisi governativi e ordini di patch d’emergenza. Campagne automatizzate di brute force che prendono di mira i portali GlobalProtect mostrano che gli attaccanti osservano da vicino, sondando le debolezze nel momento stesso in cui compaiono.

Conclusione: un richiamo alla vigilanza

Con i firewall di Palo Alto Networks a presidiare i varchi delle più grandi banche, agenzie governative e imprese del mondo, la posta in gioco non potrebbe essere più alta. Questa ultima falla è un promemoria netto: nella cybersecurity, anche i muri più solidi possono crollare se una singola crepa resta senza patch. Per i difensori ovunque, vigilanza costante - e aggiornamenti tempestivi - restano l’unico vero scudo.

WIKICROOK

  • Denial: In cybersecurity, “denial” significa rendere sistemi o servizi non disponibili per gli utenti, spesso tramite attacchi come il Denial-of-Service (DoS) che li inondano di traffico.
  • Zero: Una vulnerabilità zero-day è una falla di sicurezza nascosta, sconosciuta al produttore del software, senza una correzione disponibile, il che la rende estremamente preziosa e pericolosa per gli attaccanti.
  • PAN: PAN è il sistema operativo proprietario di Palo Alto Networks per i suoi firewall, che offre sicurezza avanzata, visibilità e prevenzione delle minacce nelle reti aziendali.
  • GlobalProtect: GlobalProtect è una VPN di Palo Alto Networks che consente agli utenti remoti di connettersi in modo sicuro alla rete interna di un’azienda da qualsiasi luogo.
  • CVSS Score: Un CVSS Score valuta la gravità delle vulnerabilità di sicurezza da 0 a 10, con numeri più alti che indicano maggiore rischio e urgenza di risposta.
Palo Alto Networks cybersecurity vulnerability GlobalProtect
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news