Il modello di stamattina è brutto ma coerente: gli attaccanti stanno vincendo abusando dello strato di fiducia attorno al sistema — il portale firewall, il wrapper della sandbox, il workflow collaborativo e la pagina di accesso che l’utente pensa di riconoscere.
In breve: restringi subito l’esposizione del Captive Portal PAN-OS, correggi vm2 ovunque giri codice non fidato, rivedi gli incidenti di accesso remoto ed estorsione via Teams con ottica di spionaggio e tratta il phishing di conformità nel cloud come furto di token, non solo di password.
Palo Alto afferma che CVE-2026-0300 è un buffer overflow critico nel User-ID Authentication Portal che consente esecuzione di codice con privilegi root senza autenticazione su firewall PA-Series e VM-Series esposti. Lo sfruttamento è già in corso: se il portale è raggiungibile da IP non fidati, il rischio è attivo adesso.
La falla vm2 CVE-2026-26956 consente di evadere la sandbox ed eseguire codice sull’host, con PoC pubblico già disponibile. L’impatto confermato colpisce specifici ambienti Node.js 25, ma la lezione è più ampia: se il prodotto esegue JavaScript fornito dagli utenti, il wrapper fa parte del blast radius.
La reportistica collegata a Rapid7 indica che MuddyWater ha usato Microsoft Teams, condivisione schermo, furto credenziali, AnyDesk, DWAgent e messaggi estorsivi senza mai distribuire vera cifratura dei file. Chaos era il costume; l’operazione reale puntava ad accesso, persistenza ed esfiltrazione.
Microsoft ha osservato oltre 35.000 tentativi contro circa 13.000 organizzazioni con falsi avvisi interni, PDF esca, CAPTCHA Cloudflare e pagine adversary-in-the-middle che proxano il login Microsoft. Conta perché il phishing AiTM supera l’MFA debole catturando token di sessione, non solo password.
In sintesi: il pattern di oggi è un’inversione della fiducia. Portali esposti, runtime di sandbox, strumenti di collaborazione e pagine di login familiari diventano superficie d’attacco quando il guscio esterno viene scambiato per il controllo reale.
KENSAI aiuta i team a trovare portali esposti, sandbox fragili, percorsi di accesso remoto rischiosi e flussi di identità che cedono sotto phishing reale.
Avvia scansione gratuita →Resta affilato.
🗡️ KENSAI Security Team