← Torna al blog
Briefing sicurezza5 min di lettura2026-05-07

Briefing sicurezza, 7 maggio 2026: zero-day PAN-OS, evasione sandbox vm2, falsa bandiera MuddyWater e phishing AiTM Microsoft

Il modello di stamattina è brutto ma coerente: gli attaccanti stanno vincendo abusando dello strato di fiducia attorno al sistema — il portale firewall, il wrapper della sandbox, il workflow collaborativo e la pagina di accesso che l’utente pensa di riconoscere.


In breve: restringi subito l’esposizione del Captive Portal PAN-OS, correggi vm2 ovunque giri codice non fidato, rivedi gli incidenti di accesso remoto ed estorsione via Teams con ottica di spionaggio e tratta il phishing di conformità nel cloud come furto di token, non solo di password.


1. Il Captive Portal di PAN-OS è oggi il problema più urgente sull’edge Internet

Palo Alto afferma che CVE-2026-0300 è un buffer overflow critico nel User-ID Authentication Portal che consente esecuzione di codice con privilegi root senza autenticazione su firewall PA-Series e VM-Series esposti. Lo sfruttamento è già in corso: se il portale è raggiungibile da IP non fidati, il rischio è attivo adesso.


2. vm2 dimostra ancora che JavaScript “sandboxed” non è un confine di sicurezza sufficiente

La falla vm2 CVE-2026-26956 consente di evadere la sandbox ed eseguire codice sull’host, con PoC pubblico già disponibile. L’impatto confermato colpisce specifici ambienti Node.js 25, ma la lezione è più ampia: se il prodotto esegue JavaScript fornito dagli utenti, il wrapper fa parte del blast radius.


3. MuddyWater usa teatro ransomware per nascondere spionaggio

La reportistica collegata a Rapid7 indica che MuddyWater ha usato Microsoft Teams, condivisione schermo, furto credenziali, AnyDesk, DWAgent e messaggi estorsivi senza mai distribuire vera cifratura dei file. Chaos era il costume; l’operazione reale puntava ad accesso, persistenza ed esfiltrazione.


4. L’ondata di phishing “code of conduct” di Microsoft è costruita per rubare token in tempo reale

Microsoft ha osservato oltre 35.000 tentativi contro circa 13.000 organizzazioni con falsi avvisi interni, PDF esca, CAPTCHA Cloudflare e pagine adversary-in-the-middle che proxano il login Microsoft. Conta perché il phishing AiTM supera l’MFA debole catturando token di sessione, non solo password.


Cosa dovrebbero fare i team sicurezza prima di pranzo

  1. Chiudere o restringere prima le superfici esposte del Captive Portal PAN-OS.
  2. Applicare patch a vm2 e rivedere ogni percorso in cui clienti o dipendenti eseguono JavaScript su host condivisi.
  3. Portare il social engineering via Teams nello stesso playbook di email phishing e vishing.
  4. Aggiornare la risposta al phishing dando priorità a revoca token e review di sessione, non solo reset password.

Fonti


In sintesi: il pattern di oggi è un’inversione della fiducia. Portali esposti, runtime di sandbox, strumenti di collaborazione e pagine di login familiari diventano superficie d’attacco quando il guscio esterno viene scambiato per il controllo reale.

Verifica i confini di fiducia che gli attaccanti stanno davvero usando

KENSAI aiuta i team a trovare portali esposti, sandbox fragili, percorsi di accesso remoto rischiosi e flussi di identità che cedono sotto phishing reale.

Avvia scansione gratuita →

Resta affilato.

🗡️ KENSAI Security Team