Dirty Frag su AWS espone Amazon Linux a root mentre Ivanti e PAN-OS affrontano zero-day attivi

Dirty Frag AWS sta mettendo sotto pressione infrastrutture cloud e ambienti enterprise dopo la pubblicazione di nuovi advisory che coinvolgono kernel Linux, servizi containerizzati e firewall esposti su internet. AWS, Ivanti EPMM, PAN-OS, CISA KEV, Amazon Linux, PA-Series e VM-Series compaiono contemporaneamente in una delle settimane più critiche del 2026 per la sicurezza enterprise. Gli attacchi sfruttano escalation di privilegi kernel, remote code execution e vulnerabilità già utilizzate in campagne reali contro reti governative e ambienti cloud produttivi. Gli amministratori devono intervenire immediatamente con mitigazioni temporanee, aggiornamenti kernel e segmentazione dei servizi esposti. La situazione risulta particolarmente critica perché le vulnerabilità colpiscono livelli differenti dell’infrastruttura IT. Dirty Frag interessa direttamente il kernel Linux e i moduli IPSec presenti da anni negli ambienti AWS, mentre i problemi su Ivanti Endpoint Manager Mobile e PAN-OS riguardano sistemi centrali nella gestione dei dispositivi aziendali e nella protezione del perimetro di rete. La combinazione di exploit in-the-wild, accesso root e diffusione globale aumenta drasticamente il rischio operativo per aziende, provider cloud e data center.

Dirty Frag concede root immediato sui kernel Amazon Linux

AWS ha confermato che la famiglia di vulnerabilità denominata Dirty Frag permette privilege escalation locale fino ai privilegi root sfruttando specifici moduli kernel associati a IPSec e operazioni zero-copy. Il problema interessa i moduli esp4, esp6, ipcomp4, ipcomp6 e rxrpc, componenti presenti da anni nel kernel Linux e utilizzati in molte configurazioni cloud e networking enterprise. Secondo il bulletin AWS 2026-027, l’attacco non richiede condizioni particolarmente sofisticate né race condition complesse. Un utente autenticato locale può compilare un programma relativamente semplice e ottenere accesso alla memoria kernel nel giro di pochi secondi. Il problema deriva da codice introdotto nel 2017 e rimasto attivo per quasi un decennio all’interno dell’ecosistema Linux. AWS collega il problema alle precedenti ricerche sulla classe di vulnerabilità “Copy Fail”, ma evidenzia come Dirty Frag rappresenti una variante molto più semplice da sfruttare. Il rischio aumenta negli ambienti che consentono user namespaces o assegnano capability come CAP_NET_ADMIN. In queste configurazioni un attaccante può utilizzare socket non privilegiati e moduli IPSec per compromettere completamente l’host. La vulnerabilità non riguarda soltanto macchine virtuali tradizionali ma anche servizi containerizzati e workload orchestrati tramite Kubernetes. AWS ha confermato l’esposizione di numerosi servizi gestiti, inclusi Amazon ECS, Amazon EKS, Fargate, Bottlerocket, EMR, Deep Learning AMIs e alcune configurazioni di SageMaker. Questo amplia enormemente la superficie di attacco perché molte organizzazioni utilizzano immagini standard Amazon Linux in ambienti multi-tenant e cluster containerizzati.

CVE-2026-31431 amplia il rischio di privilege escalation su AWS

La vulnerabilità identificata come CVE-2026-31431 rappresenta il riferimento principale collegato a Dirty Frag e interessa numerose versioni del kernel Linux distribuite da AWS. Amazon conferma che risultano vulnerabili le release kernel 4.14, 5.4, 5.10, 5.15, 6.1, 6.12 e 6.18, coprendo quindi una porzione estremamente ampia dell’infrastruttura cloud attualmente in produzione. Il problema consente a un utente autenticato locale di ottenere accesso privilegiato alla memoria kernel e trasformare rapidamente un accesso limitato in pieno controllo root del sistema. Questa dinamica preoccupa particolarmente nei contesti containerizzati dove una singola compromissione locale può tradursi in lateral movement verso cluster Kubernetes, nodi ECS o ambienti multi-tenant condivisi. AWS ha pubblicato un calendario dettagliato per il rilascio delle patch nei vari servizi gestiti. Gli aggiornamenti per ECS su EC2 risultano disponibili dal 7 maggio, mentre quelli per EKS-optimized AMIs arrivano l’8 maggio. Anche Fargate 1.3 e 1.4, EMR e Bottlerocket ricevono progressivamente aggiornamenti dedicati. L’azienda invita gli amministratori ad aggiornare immediatamente tutte le istanze interessate e a monitorare anomalie relative a esecuzioni setuid e caricamento moduli kernel. La pericolosità di CVE-2026-31431 deriva anche dalla semplicità dell’exploit. Non si tratta di un attacco teorico complesso ma di una vulnerabilità sfruttabile con strumenti relativamente accessibili. Per questo AWS considera la remediation prioritaria sia nei cloud pubblici sia nelle installazioni on-prem che utilizzano Amazon Linux o componenti correlati.

AWS pubblica mitigazioni temporanee contro Dirty Frag

In attesa della distribuzione completa delle patch kernel, AWS ha diffuso una serie di mitigazioni temporanee destinate a ridurre immediatamente la superficie di attacco. Gli amministratori devono innanzitutto verificare la presenza dei moduli vulnerabili utilizzando il comando:

lsmod | grep -E "esp4|esp6|ipcomp4|ipcomp6|rxrpc"

Se i moduli risultano caricati, AWS raccomanda di impedirne il caricamento automatico tramite configurazioni persistenti all’interno di modprobe.d. L’azienda suggerisce inoltre di bloccare il caricamento dinamico di moduli aggiuntivi utilizzando:

sysctl -w kernel.modules_disabled=1

Una seconda mitigazione critica riguarda la disabilitazione degli user namespaces mediante:

sysctl -w user.max_user_namespaces=0

Questa misura limita uno dei vettori principali utilizzati per l’exploitation locale. AWS sottolinea che tali mitigazioni risultano particolarmente importanti negli ambienti containerizzati dove namespace e capability Linux vengono ampiamente utilizzati.

Le organizzazioni devono però considerare l’impatto operativo di queste modifiche. Alcuni workload Kubernetes, pipeline CI/CD o applicazioni container-native potrebbero dipendere proprio dalle funzionalità temporaneamente disabilitate. Per questo motivo molte aziende stanno procedendo con patching prioritario sui nodi più esposti invece di affidarsi esclusivamente alle mitigazioni.

CISA inserisce Ivanti EPMM nel catalogo KEV

La situazione si complica ulteriormente con l’inserimento di CVE-2026-6973 nel catalogo Known Exploited Vulnerabilities di CISA. La vulnerabilità interessa Ivanti Endpoint Manager Mobile e consente esecuzione di codice remoto tramite improper input validation. Gli attaccanti necessitano di credenziali amministrative valide, ma una volta ottenuto accesso possono compromettere completamente il sistema EPMM. Ivanti conferma che gli attacchi sono già attivi e che alcune campagne hanno sfruttato la falla come zero-day prima della disponibilità pubblica delle patch. Le versioni vulnerabili includono EPMM 12.8.0.0 e release precedenti, mentre risultano esclusi servizi cloud come Neurons for MDM.

CVE-2026-6973 Ivanti Endpoint Manager Mobile (EPMM) Improper Input Validation Vulnerability 

La criticità di EPMM deriva dal suo ruolo centrale nella gestione dei dispositivi mobili aziendali. Una compromissione della piattaforma può consentire accesso a configurazioni MDM, credenziali, policy di sicurezza e gestione remota di smartphone e tablet enterprise. Questo rende il prodotto particolarmente appetibile per attori sponsorizzati da stati e gruppi ransomware. CISA ha imposto remediation rapida alle agenzie federali nell’ambito della direttiva BOD 22-01, mentre Ivanti ha pubblicato le versioni corrette 12.6.1.1, 12.7.0.1 e 12.8.0.1. L’azienda raccomanda inoltre la rotazione immediata delle credenziali amministrative per ridurre il rischio di persistenza post-compromissione.

PAN-OS affronta una RCE attiva sui firewall esposti

Parallelamente CISA ha aggiunto al catalogo KEV anche CVE-2026-0300, una vulnerabilità out-of-bounds write che interessa il componente User-ID Authentication Portal di PAN-OS. La falla consente remote code execution non autenticata con privilegi root sui firewall PA-Series e VM-Series. Secondo Palo Alto Networks, gli attacchi risultano attivi almeno dal 9 aprile e coinvolgono firewall esposti direttamente su internet. Gli attori malevoli utilizzano strumenti come Earthworm e ReverseSocks5 per creare tunnel covert e mantenere accesso persistente alle reti compromesse. Alcune campagne includono anche la cancellazione dei log per ostacolare le attività di incident response.

CVE-2026-0300 Palo Alto Networks PAN-OS Out-of-bounds Write Vulnerability

La vulnerabilità interessa oltre 5.400 VM-Series esposte pubblicamente secondo i dati raccolti da Shadowserver. Questo numero rende CVE-2026-0300 una delle emergenze firewall più significative dell’anno. Palo Alto Networks ha iniziato il rilascio delle patch dal 13 maggio, ma nel frattempo raccomanda di limitare l’Authentication Portal esclusivamente a zone fidate oppure disabilitarlo completamente. Il problema non riguarda Cloud NGFW né Panorama, ma l’elevato numero di appliance esposte rende comunque la situazione estremamente critica. Molte organizzazioni utilizzano infatti PA-Series come elemento centrale della sicurezza perimetrale, VPN enterprise e segmentazione interna.

Gli attacchi mostrano un’evoluzione del panorama zero-day enterprise

L’aspetto più rilevante di queste vulnerabilità è la simultaneità con cui colpiscono livelli diversi dell’infrastruttura enterprise. Dirty Frag interessa il kernel Linux e i servizi cloud, Ivanti EPMM colpisce il mobile device management, mentre PAN-OS espone il perimetro di rete. Gli attaccanti possono combinare vulnerabilità differenti per costruire chain avanzate di compromissione. Le campagne osservate nel 2026 mostrano una crescente attenzione verso infrastrutture cloud-native e strumenti enterprise centrali. I gruppi offensivi non puntano più soltanto a workstation o endpoint tradizionali ma cercano accesso diretto a orchestratori container, firewall edge e piattaforme di gestione centralizzata. Questo scenario aumenta la pressione sui team security, che devono accelerare patch management, segmentazione di rete e monitoraggio comportamentale. Le organizzazioni che mantengono processi lenti di aggiornamento rischiano finestre di esposizione sempre più difficili da sostenere. Anche il ruolo di CISA assume maggiore importanza. L’inserimento nel catalogo KEV viene ormai considerato un indicatore immediato di rischio operativo elevato, soprattutto quando le vulnerabilità risultano già sfruttate in-the-wild da attori avanzati.

Le azioni immediate richieste ai team security

Le organizzazioni devono trattare queste vulnerabilità come priorità assoluta di remediation. Gli amministratori AWS devono aggiornare immediatamente kernel e AMI vulnerabili, applicare le mitigazioni Dirty Frag e monitorare eventuali anomalie nei processi privilegiati. I team che utilizzano Ivanti EPMM devono verificare rapidamente la versione installata, applicare gli aggiornamenti disponibili e ruotare tutte le credenziali amministrative. È inoltre consigliabile verificare log di accesso e modifiche sospette alle policy MDM. Per PAN-OS la priorità consiste nella riduzione della superficie esposta. Le aziende devono limitare l’Authentication Portal, isolare firewall internet-facing e applicare le patch non appena disponibili. Monitoraggio dei tunnel anomali, verifica dei log e controllo delle connessioni reverse proxy diventano attività essenziali. L’intero cluster di vulnerabilità dimostra come il 2026 stia registrando un’intensificazione significativa degli exploit contro infrastrutture critiche. Kernel Linux, firewall enterprise e piattaforme MDM sono ormai bersagli prioritari nelle operazioni offensive moderne, con impatti potenzialmente devastanti per ambienti cloud e reti aziendali.