Che cos'è il bypass dell'autenticazione?
Il bypass dell'autenticazione è una vulnerabilità che consente a un attaccante di ottenere l'accesso a un sistema, applicazione o risorsa senza presentare credenziali valide. Invece di violare la crittografia o decifrare le password, l'attaccante inganna il sistema facendogli credere di essere già autenticato, oppure salta completamente il meccanismo di autenticazione.
La debolezza principale, CWE-287, definisce la condizione di base: un prodotto non implementa correttamente l'autenticazione, consentendo a un attore di assumere l'identità di un altro utente. Ogni specifico sotto-tipo di bypass rientra in questa classificazione all'interno della gerarchia MITRE CWE.
Il bypass dell'autenticazione è stato responsabile di alcune delle violazioni più dannose degli ultimi anni. La campagna ransomware Cl0p che ha sfruttato MOVEit Transfer nel 2023 ha colpito molte organizzazioni e individui, secondo SecurityWeek. Gli affiliati LockBit 3.0 hanno utilizzato la vulnerabilità "Citrix Bleed" per stabilire sessioni senza nome utente, password o token MFA, come riportato da CISA.
L' OWASP WSTG descrive la meccanica di base: spesso è possibile bypassare l'autenticazione manipolando le richieste e ingannando l'applicazione facendole credere che l'utente sia già autenticato. Gli attaccanti ottengono questo risultato modificando i parametri URL, manipolando i form o falsificando le sessioni.
Comprendere come funzionano questi bypass consente di fermarli in modo più efficace.
Come funziona il bypass dell'autenticazione?
Il bypass dell'autenticazione sfrutta le debolezze nel modo in cui un sistema verifica l'identità. Invece di affrontare direttamente il gate di autenticazione, gli attaccanti trovano modi per aggirarlo, attraversarlo o eluderlo.
La meccanica di base
Ogni sistema di autenticazione segue un flusso di base: un utente presenta le credenziali, il sistema le valida e il sistema rilascia un token di sessione o concede l'accesso. Il bypass dell'autenticazione prende di mira uno o più passaggi di questo flusso:
- Saltare completamente l'autenticazione. L'attaccante accede a una funzione, endpoint API o interfaccia alternativa che non ha un gate di autenticazione. Un'API REST o una porta di debug senza controlli di credenziali consente a chiunque di raggiungere direttamente risorse critiche.
- Manipolazione degli input di autenticazione. L'attaccante modifica dati lato client che il sistema considera prova di identità. Impostare il valore di un cookie su "LOGGEDIN" o cambiare un campo nascosto del form in "admin=true" può ingannare sistemi progettati male e concedere l'accesso.
- Sfruttamento di errori logici. Il codice di autenticazione utilizza logica booleana errata, valuta le condizioni nell'ordine sbagliato o non gestisce i casi limite. Un operatore errato in una condizione di autenticazione può far sì che il controllo abbia esito positivo quando dovrebbe fallire (CWE-303).
- Hijacking di sessioni valide. L'attaccante intercetta o riproduce un token di sessione legittimo. Se il sistema non valida nonce, timestamp o non previene i replay, un token catturato concede lo stesso accesso dell'utente originale.
- Abuso dei meccanismi di recupero. I flussi di reset password senza throttling, con domande di sicurezza facilmente indovinabili o che non verificano l'identità tramite un secondo canale consentono agli attaccanti di prendere il controllo degli account senza conoscere la password originale.
Ognuna di queste meccaniche è stata documentata in compromissioni reali. L'esempio seguente traccia uno dei pattern più comuni attraverso uno scenario concreto.
Un flusso di attacco passo-passo
Si consideri un'applicazione web con un'interfaccia amministrativa protetta da una forte autenticazione. Un endpoint API interno su /api/v2/admin/config, creato per uno strumento di sviluppo, non è mai stato protetto dallo stesso gate di autenticazione.
L'attaccante trova questo endpoint tramite enumerazione delle directory, invia una richiesta HTTP appositamente creata e il server restituisce dati di configurazione e concede accesso amministrativo. La pagina di login non è mai stata toccata.
Questo pattern, mappato a CWE-306, si ripete spesso negli exploit reali. Sapere quale tipo di bypass è presente determina sia il percorso di attacco sia il controllo giusto per fermarlo.
Tipi di bypass dell'autenticazione
Il bypass dell'autenticazione non è una singola vulnerabilità ma una famiglia di debolezze raggruppate sotto CWE-287. Ogni tipo sfrutta un punto diverso del flusso di autenticazione e richiede un controllo difensivo specifico per essere mitigato.
| Tipo | CWE | Come funziona |
| Autenticazione mancante | CWE-306 | Una funzione o endpoint critico viene fornito senza gate di autenticazione. Chiunque abbia accesso di rete alla risorsa vi accede direttamente. |
| Bypass tramite percorso alternativo | CWE-288 | Un canale secondario, come una porta di debug, API interna o interfaccia amministrativa, bypassa i controlli di autenticazione applicati al percorso principale. |
| Bypass della logica di autenticazione | CWE-303 | Operatori booleani errati o valutazione condizionale fuori ordine fanno sì che il controllo di autenticazione abbia esito positivo quando dovrebbe fallire. |
| Bypass della fiducia lato client | CWE-302 | Il sistema accetta cookie manipolati, campi nascosti del form o parametri URL come prova di identità autenticata invece di validare lato server. |
| Session fixation | CWE-384 | L'attaccante preimposta un ID di sessione noto prima che la vittima si autentichi. Dopo il login, quell'ID trasporta la sessione privilegiata della vittima. |
| Capture-replay | CWE-294 | Un token di sessione valido viene intercettato e riutilizzato. Senza validazione nonce o controlli sui timestamp, il server tratta il token riprodotto come una richiesta legittima. |
| Credenziali di default o hard-coded | CWE-798 | Credenziali incorporate in firmware, codice sorgente o configurazione di fabbrica creano un bypass permanente che sopravvive agli aggiornamenti software e ai cicli di patching. |
| Bypass tramite recupero difettoso | CWE-640 | I flussi di reset password senza throttling, con domande di sicurezza facilmente indovinabili o senza verifica tramite secondo canale consentono agli attaccanti di reimpostare le credenziali senza autorizzazione. |
Questi tipi non sono mutuamente esclusivi. Un singolo sistema può presentare più varianti contemporaneamente e exploit concatenati spesso ne combinano due o più. Comprendere quale tipo è presente è il primo passo per costruire un modello di minaccia accurato.
Cause comuni del bypass dell'autenticazione
Il bypass dell'autenticazione non deriva da un singolo difetto. Emerge da una serie di errori di progettazione, implementazione e gestione operativa che creano lacune nel modo in cui i sistemi verificano l'identità.
Gate di autenticazione mancanti o incompleti
Funzioni critiche vengono fornite senza requisito di autenticazione: API REST, console amministrative, porte di debug e interfacce UART IoT. CWE-306 documenta esempi reali: una API di workflow non autenticata (CVE-2020-13927, elencata nel catalogo CISA delle Vulnerabilità Note Sfruttate) e l'esecuzione di codice remoto VMware tramite upload di file non autenticato (CVE-2021-21972, anch'essa in CISA KEV).
Esposizione tramite percorso alternativo
Un sistema richiede autenticazione sulla sua interfaccia principale ma ha un percorso secondario che non applica gli stessi controlli. CWE-288 descrive questo pattern, che continua a essere una delle cause radice più sfruttabili nel software enterprise in produzione.
Fiducia nei dati lato client
Sistemi che si affidano a cookie, campi nascosti del form o parametri URL come prova di autenticazione sono facilmente bypassabili. CWE-302 definisce questa debolezza.
Credenziali hard-coded e di default
Credenziali incorporate in firmware, codice sorgente o impostazioni di fabbrica creano backdoor permanenti. CWE-798 compare nella CWE Top 25 Most Dangerous Software Weaknesses (2024). La campagna Stuxnet ha sfruttato credenziali hard-coded nei sistemi SCADA (CVE-2010-2772) e le password di default nei firmware dei router restano un punto di ingresso persistente.
Errori nella gestione delle sessioni
Quando gli ID di sessione non vengono rigenerati dopo il login, gli attaccanti possono sfruttare la session fixation (CWE-384). L'attaccante imposta un ID di sessione noto prima che la vittima si autentichi. Dopo il login, l'ID preimpostato trasporta la sessione autenticata della vittima.
Controlli crittografici deboli
Sistemi che non implementano validazione nonce, controlli sui timestamp o meccanismi challenge-response sono vulnerabili ad attacchi di capture-replay (CWE-294). Un token di autenticazione intercettato può essere riprodotto indefinitamente.
Meccanismi di recupero difettosi
I flussi di reset password senza throttling, vulnerabilità di redirezione email o domande di sicurezza risolvibili tramite profili social consentono agli attaccanti di reimpostare le credenziali senza autorizzazione (CWE-640).
Queste cause radice producono conseguenze che vanno ben oltre l'accesso non autorizzato.
Impatto e rischio del bypass dell'autenticazione
Il bypass dell'autenticazione non è una vulnerabilità isolata. È il punto di ingresso per una catena di attacco documentata che porta al furto di credenziali, movimento laterale, esfiltrazione dati e distribuzione di ransomware.
I dati sul suo impatto reale sono coerenti nei principali report di settore:
- Le credenziali rubate restano un metodo di accesso iniziale altamente prevalente rispetto ad altri vettori, secondo il 2025 DBIR.
- L' IBM breach report colloca il costo medio globale di una violazione a milioni di dollari.
- VPN ed edge device hanno continuato a ricevere significativa attenzione da parte degli attaccanti nello stesso periodo di riferimento, secondo il 2025 DBIR.
- Sistemi compromessi in cui sono state trovate credenziali aziendali includevano anche endpoint BYOD (Bring Your Own Device) non gestiti che si trovano al di fuori dei normali flussi di patching e monitoraggio aziendali, secondo il 2025 DBIR.
Comprendere le tecniche degli attaccanti consente di costruire difese più solide contro di esse.
Come gli attaccanti sfruttano il bypass dell'autenticazione
Gli attaccanti utilizzano il bypass dell'autenticazione tramite molteplici tecniche documentate, mappate al framework ATT&CK. Lo sfruttamento moderno raramente coinvolge una singola CVE. Il chaining di più CVE è comune.
Modifica dei processi di autenticazione (T1556)
T1556 copre tecniche che sovvertono direttamente un meccanismo di autenticazione invece di sfruttare le credenziali. In ambienti enterprise, tre sotto-tecniche compaiono più frequentemente:
- Attacchi Skeleton Key (T1556.001): Patch di LSASS (Local Security Authority Subsystem Service) su un domain controller con credenziali controllate dall'attaccante, consentendo l'autenticazione come qualsiasi utente di dominio fino al riavvio successivo.
- Bypass MFA (T1556.006): Reindirizzamento delle chiamate MFA a localhost tramite modifica del file hosts in modo che MFA fallisca silenziosamente mentre l'autenticazione procede.
- Abuso di identità ibride (T1556.007): Registrazione di un nuovo agente di Pass-Through Authentication tramite un account Entra ID Global Administrator compromesso per raccogliere credenziali.
Queste sotto-tecniche sono particolarmente efficaci contro ambienti di identità ibrida in cui le decisioni di autenticazione sono distribuite tra sistemi on-premises e cloud.
Sfruttamento di account validi (T1078)
Gli attaccanti ottengono e abusano delle credenziali di account esistenti. Questo si mappa direttamente a CWE-798 (credenziali hard-coded) e CWE-1392 (credenziali di default). Quando i sistemi vengono forniti con credenziali di fabbrica non modificate, gli attaccanti ottengono l'accesso senza sfruttare vulnerabilità a livello di codice.
Brute force e spraying delle credenziali (T1110)
Tre tipi di attacco distinti richiedono approcci difensivi diversi:
- Brute force: Più password testate su un singolo account. Il blocco per account intercetta questo pattern.
- Credential stuffing: Coppie username e password da dati di violazioni testate su più account.
- Password spraying: Una singola password debole testata su molti account. Questo pattern elude completamente le soglie di blocco per account, come osservato dalla guida OWASP all'autenticazione.
Per difendersi da tutti e tre sono necessari controlli indipendenti. Una policy di blocco che ferma il brute force non segnalerà uno spraying a basso volume distribuito su migliaia di account, e nessun approccio intercetta il credential stuffing quando le credenziali stesse sono valide.
Falsificazione di credenziali web (T1606)
Gli avversari generano credenziali falsificate, come token API cloud o chiavi di pre-autenticazione, che bypassano MFA e altre protezioni di autenticazione.
Chaining di più CVE nella pratica
Diverse delle campagne più impattanti recenti hanno utilizzato catene di CVE esplicite:
- Cisco IOS XE (2023): CVE-2023-20198 ha fornito accesso iniziale ed esecuzione di comandi con privilegio 15, poi CVE-2023-20273 ha elevato a root e installato una backdoor basata su Lua.
- Ivanti Connect Secure (2024): Una catena di quattro CVE (CVE-2023-46805, CVE-2024-21887, CVE-2024-21893, CVE-2024-22024) ha ottenuto esecuzione di comandi non autenticata, con gli attaccanti che manipolavano il checker di integrità di Ivanti per eludere la rilevazione.
- APT russa (2020): CVE-2018-13379 ha estratto credenziali in chiaro da Fortinet SSL VPN, concatenata con CVE-2020-1472 (Netlogon) per escalation di privilegi di dominio, secondo CISA advisory.
Per i team SOC, ciò significa che il triage degli alert per CVE di bypass dell'autenticazione dovrebbe immediatamente attivare query di correlazione per lo sfruttamento di vulnerabilità companion, non una risposta isolata alla singola CVE. Sapere chi affronta questi attacchi aiuta a dare priorità alle difese.
Chi è colpito dal bypass dell'autenticazione?
Alcuni settori e tipi di applicazioni affrontano rischi sproporzionati.
Settori a maggior rischio
I dati sulle violazioni a livello di settore mostrano pattern coerenti su più cicli di reporting. Alcuni settori affrontano esposizione elevata anno dopo anno a causa della dipendenza da servizi esposti su Internet, workflow ricchi di credenziali e archivi di dati di alto valore.
| Settore | Risultato chiave | Fonte |
| Alto volume di incidenti e violazioni, con credenziali compromesse in una quota significativa delle violazioni nel settore manifatturiero. | ||
| Healthcare | Le violazioni confermate restano elevate, con una quota significativa legata ad attori interni. | |
| Government | Il ransomware compare nelle violazioni governative a livelli significativi. | |
| Finance & Insurance | Costi di violazione superiori alla media secondo il report IBM 2024. | |
| Critical Infrastructure | CISA ha confermato attori statali che intermediano l'accesso per affiliati ransomware. |
Tipi di applicazioni più bersagliati
Oltre ai settori specifici, alcune categorie di applicazioni e infrastrutture presentano esposizione sproporzionata indipendentemente dal settore. Le seguenti compaiono più frequentemente nei principali dataset di violazioni e nelle advisory CISA:
- VPN ed edge device: Lo sfruttamento mirato è aumentato in modo significativo anno su anno.
- Applicazioni web: Brute force e attacchi basati su credenziali hanno mostrato attività costante anno su anno, secondo il 2025 DBIR.
- Active Directory e infrastruttura di identità: L'abuso degli identity provider è una superficie di attacco in crescita nei compromessi della supply chain, secondo ENISA 2024.
- Servizi cloud e API: CISA documenta bypass di autenticazione IoT e OT in PLC TCP senza autenticazione e porte di debug UART Bluetooth (interfaccia seriale).
- Endpoint BYOD non gestiti: I dispositivi personali compromessi possono essere completamente fuori dalla visibilità aziendale.
Queste categorie di applicazioni compaiono nella lista CISA delle Vulnerabilità Note Sfruttate anno dopo anno. Gli incidenti di seguito mostrano cosa accade quando gli attaccanti riescono a raggiungerle.
Esempi reali di bypass dell'autenticazione
Gli incidenti seguenti coprono più settori, gruppi di attacco e tipi di bypass. Ognuno illustra come i meccanismi descritti in precedenza si traducano in impatti organizzativi confermati.
Citrix Bleed (CVE-2023-4966)
Una richiesta HTTP GET appositamente creata con un header Host malevolo ha causato il ritorno da parte di Citrix NetScaler ADC e Gateway di memoria di sistema contenente cookie di sessione validi. Gli affiliati LockBit 3.0 e altri gruppi di minaccia hanno utilizzato questo vettore per stabilire sessioni autenticate senza nome utente, password o token MFA. Lo sfruttamento è iniziato prima che Citrix rilasciasse una patch. Secondo CISA advisory, GreyNoise ha osservato attività di sfruttamento massivo in corso.
MOVEit Transfer (CVE-2023-34362)
Il gruppo Cl0p ransomware, tracciato come TA505 da CISA, ha sfruttato una vulnerabilità di SQL injection non autenticata in Progress MOVEit Transfer settimane prima della divulgazione pubblica. La campagna ha infine colpito molte organizzazioni e individui, secondo SecurityWeek.
Barracuda ESG (CVE-2023-2868)
UNC4841, un gruppo sospettato di essere sponsorizzato dallo stato cinese secondo Mandiant, ha sfruttato una zero-day nei dispositivi Barracuda Email Security Gateway per mesi prima della scoperta. Barracuda ha richiesto la sostituzione fisica dei dispositivi colpiti, secondo BleepingComputer.
Fortinet FortiOS (CVE-2022-40684)
Un attaccante non autenticato poteva eseguire operazioni sull'interfaccia amministrativa tramite richieste HTTP/HTTPS appositamente create. Fortinet ha confermato lo sfruttamento attivo in concomitanza con la divulgazione pubblica della vulnerabilità, secondo Hacker News. Le configurazioni di molti firewall sono state successivamente trapelate tramite questa CVE.
Questi incidenti coprono una timeline che mostra come il bypass dell'autenticazione si sia evoluto.
Bypass dell'autenticazione: una timeline
Il bypass dell'autenticazione è stato attivamente sfruttato in ogni anno mostrato di seguito, con strumenti degli attaccanti e selezione dei target che si adattano più rapidamente di quanto molte organizzazioni riescano a patchare. La timeline traccia i principali eventi che definiscono come questa classe di minaccia si sia sviluppata dal 2010.
| Anno | Evento |
| 2010 | Stuxnet sfrutta credenziali hard-coded (CVE-2010-2772) nei sistemi SCADA, dimostrando il bypass dell'autenticazione come arma nelle operazioni cyber sponsorizzate da stati. |
| 2018 | Viene divulgata CVE-2018-13379 (Fortinet FortiOS SSL VPN). Diventa una delle vulnerabilità più sfruttate dei cinque anni successivi, comparendo annualmente nelle liste CISA delle più sfruttate e utilizzata in campagne APT e ransomware a livello globale. |
| 2019 | Vengono divulgate CVE-2019-11510 (Ivanti Pulse Connect Secure) e CVE-2019-19781 (Citrix ADC/Gateway). Entrambe diventano presenze fisse nelle liste CISA delle più sfruttate per anni e sono attivamente utilizzate in campagne ransomware contro governo e infrastrutture critiche. |
| 2021 | CVE-2021-22893 ottiene CVSS 10.0 per esecuzione di codice remoto non autenticata su gateway Pulse Connect Secure. CISA e Ivanti assistono più entità dopo lo sfruttamento confermato. |
| 2022 | CISA emette la Emergency Directive ED 22-03 per bypass dell'autenticazione in VMware Workspace ONE Access (CVE-2022-22972). CVE-2022-40684 di Fortinet viene sfruttata il giorno stesso della divulgazione. |
| 2023 | Citrix Bleed, MOVEit, Barracuda ESG e zero-day Cisco IOS XE colpiscono collettivamente molte organizzazioni in diversi settori. |
| 2024 | La catena di quattro CVE di Ivanti Connect Secure porta CISA a dichiarare "rischio inaccettabile" per le agenzie federali tramite la Emergency Directive ED 24-01. CVE-2024-3400 (PAN-OS GlobalProtect) ottiene CVSS 10.0 come zero-day. |
| 2025 | NIST SP 800-63-4 sostituisce SP 800-63-3 (1 agosto 2025), aggiornando i livelli di assurance dell'autenticazione e i controlli di federazione NIST 63B-4. OWASP Top 10 designa A07:2025 Authentication Failures. CISA BOD 25-01 definisce baseline di configurazione cloud security. |
| 2026 | CWE-288 (bypass tramite percorso alternativo) continua a comparire in nuove aggiunte CISA KEV, incluse vulnerabilità confermate in prodotti di messaggistica enterprise, SD-WAN e gestione endpoint. |
Il pattern lungo questa timeline è coerente: il bypass dell'autenticazione continua a crescere in portata e gravità mentre gli attaccanti applicano tecniche note a nuovi prodotti e piattaforme. Una difesa efficace richiede approcci stratificati.
Come rilevare il bypass dell'autenticazione
Individuare questi bypass richiede metodi multipli perché nessun approccio singolo rileva ogni variante. È necessario eseguire questi metodi contemporaneamente.
Riconoscimento dei pattern di attacco
È necessario logiche di identificazione separate per ogni tipo di attacco. Una singola policy di blocco per account rileva il brute force ma non trova il password spraying:
- Brute force: Alto volume di fallimenti su un singolo account.
- Credential stuffing: Fallimenti distribuiti su molti account che corrispondono a dati di violazioni noti.
- Password spraying: Fallimenti a basso volume distribuiti su molti account usando una singola password debole. Questo elude completamente le soglie di blocco per account.
Mantenere logiche di rilevamento separate per ogni pattern è il minimo indispensabile. Affidarsi a una sola soglia significa che qualsiasi tipo di attacco che non rientra in quella soglia passerà inosservato.
Analisi comportamentale e dei segnali di rischio
L'autenticazione adattiva regola dinamicamente i requisiti in base al contesto di login. La guida OWASP MFA raccomanda di monitorare segnali di rischio come geolocalizzazione, reputazione IP, fingerprinting del dispositivo, orario di accesso e credenziali compromesse note nel flusso di autenticazione. Questi segnali dovrebbero alimentare decisioni di controllo accessi in tempo reale, attivando autenticazione step-up invece di generare solo alert post-evento.
Monitoraggio dei token di sessione
Monitorare gli indicatori documentati nella guida OWASP session:
- Riutilizzo del token di sessione da un IP diverso rispetto all'autenticazione originaria
- Sessioni attive concorrenti da endpoint distinti per lo stesso account
- Attività di sessione che continua dopo il logout o la scadenza prevista
- Cambio password o email senza un evento di riautenticazione precedente
Questi segnali sono più utili se correlati tra sessioni piuttosto che valutati isolatamente. Un cambio IP di sessione è normale in ambiente mobile; un cambio IP di sessione combinato con un tentativo di escalation privilegi nella stessa sessione non lo è.
Monitoraggio dei gap di riautenticazione
Monitorare i log applicativi per eventi ad alto rischio completati senza una voce di riautenticazione precedente nella stessa sessione. Questo include modifiche ai fattori MFA senza riautenticazione, nuovi login da dispositivi senza challenge aggiuntivi e flussi di recupero account completati senza verifica step-up.
Vulnerability scanning mappato ai CWE di bypass dell'autenticazione
Iscriversi ai bollettini CISA e mappare ogni CVE di bypass dell'autenticazione pubblicato, CWE-287, CWE-288, CWE-302, CWE-303 e CWE-306, rispetto all'inventario degli asset per il patching prioritario.
Penetration test strutturati
L' OWASP WSTG 4.4 definisce casi di test strutturati per l'autenticazione. È necessario includere WSTG 4.4.4 (bypass dello schema di autenticazione), WSTG 4.4.11 (bypass MFA) e WSTG 4.4.10 (autenticazione debole su canali alternativi) come elementi obbligatori in ogni assessment di sicurezza.
Individuare queste vulnerabilità da sole non basta. È necessario impedire che questi bypass esistano fin dall'inizio.
Come prevenire il bypass dell'autenticazione
La prevenzione richiede controlli a ogni livello: conformità agli standard, architettura di autenticazione, secure coding, gestione delle sessioni e validazione continua.
Adottare MFA resistente al phishing
Distribuire token hardware FIDO2/WebAuthn o passkey come meccanismo MFA primario. La guida OWASP MFA raccomanda di bloccare i protocolli di autenticazione legacy, imporre OAuth2 o SAML moderni e richiedere riautenticazione con un fattore già registrato prima di consentire qualsiasi modifica ai fattori MFA. Non affidarsi mai solo alla sessione attiva per le modifiche ai fattori, perché la sessione stessa potrebbe essere compromessa.
Allinearsi a NIST SP 800-63-4
La suite SP 800-63 è stata sostituita da SP 800-63-4 dal 1 agosto 2025 NIST 63B-4. NIST 63B-4 definisce i nuovi Authentication Assurance Levels:
- AAL1: Autenticazione a fattore singolo.
- AAL2: Due fattori con tecniche crittografiche approvate.
- AAL3: Autenticatori sincronizzabili vietati NIST 63B-4.
Le organizzazioni soggette a standard federali dovrebbero allineare le implementazioni di autenticazione al livello di assurance appropriato prima di valutare i controlli tecnici seguenti.
Applicare pratiche di secure coding
L' OWASP coding guide specifica controlli che prevengono direttamente il bypass dell'autenticazione:
- Centralizzare la logica di autenticazione. Segregarla dalla risorsa richiesta per prevenire il bypass tramite percorso alternativo (CWE-288).
- Progettare per il fail sicuro. Tutti i controlli di autenticazione devono negare l'accesso in caso di errore, non concederlo.
- Imporre parità sulle funzioni amministrative. Le interfacce admin devono essere almeno sicure quanto l'autenticazione principale.
- Normalizzare le risposte di errore. I messaggi di fallimento dell'autenticazione non devono indicare quale campo era errato, prevenendo l'enumerazione degli account.
Questi controlli riguardano il gate di autenticazione stesso. La sezione seguente copre ciò che accade subito dopo il superamento del gate: la gestione della sessione.
Rafforzare la gestione delle sessioni
Implementare i controlli della guida OWASP session:
- Utilizzare cookie non persistenti per la gestione delle sessioni.
- Emettere ID di sessione diversi pre- e post-autenticazione per prevenire la session fixation (CWE-384).
- Implementare timeout di login iniziale che forzino il rinnovo dell'ID di sessione.
- Richiedere riautenticazione per cambi password, cambi email, nuovi login da dispositivi e flussi di recupero account.
Rafforzare il layer di sessione blocca varianti di bypass post-autenticazione come session fixation e replay di token. Il livello successivo di difesa va oltre: trattare ogni sessione autenticata come non attendibile per impostazione predefinita.
Implementare autenticazione Zero Trust
Derivato da NIST 800-207 e dalla GSA ZTA Guide:
- Validazione continua: Rifiutare l'assunzione che un utente autenticato possa essere considerato affidabile per tutta la durata della sessione.
- Postura assume-breach: Progettare i sistemi assumendo che un attore di minaccia sia già presente nella rete.
Entrambi i principi si applicano direttamente agli ambienti di identità federata, dove la fiducia nell'autenticazione si estende oltre i confini organizzativi e richiede ulteriori salvaguardie tecniche per restare solida.
Proteggere le asserzioni di federazione
NIST 63C-4 impone presentazione delle asserzioni tramite back-channel, valori di binding di sessione non indovinabili, autenticazione RP-to-IdP e enforcement della soglia minima di assurance level. Questi sono requisiti normativi "shall", non controlli opzionali.
Prevenzione e rilevamento funzionano meglio se supportati da strumenti dedicati.
Strumenti per rilevamento e prevenzione
Fermare il bypass dell'autenticazione richiede strumenti che coprano l'intera superficie di attacco: endpoint, infrastruttura di identità, edge di rete e servizi cloud.
Vulnerability scanning e assessment
Scansionare regolarmente l'ambiente rispetto alle voci CISA KEV e mappare le CVE di bypass dell'autenticazione all'inventario degli asset.
Identity Threat Detection and Response (ITDR)
Soluzioni ITDR dedicate monitorano Active Directory, Entra ID e i log degli identity provider per uso improprio delle credenziali, viaggi impossibili, escalation di privilegi e anomalie di sessione. Correlare eventi di autenticazione con attività endpoint e di rete offre visibilità cross-layer per individuare bypass sotto il livello MFA.
Extended Detection and Response (XDR)
Gli attacchi di bypass dell'autenticazione attraversano più livelli: furto di credenziali sull'endpoint, movimento laterale sulla rete e accesso a risorse cloud. Le piattaforme XDR che unificano queste fonti di telemetria in una singola console di investigazione eliminano il gap tra dove nasce un bypass e dove causa danni.
Investigation e response guidate dall'AI
L'AI comportamentale che analizza pattern di autenticazione, comportamento delle identità e anomalie di accesso in tempo reale individua compromissioni di credenziali più rapidamente della revisione manuale dei log. Le capacità di risposta autonoma, come l'isolamento delle identità compromesse, la revoca delle sessioni attive e il blocco del movimento laterale senza intervento umano, riducono il dwell time degli attaccanti.
Vulnerabilità correlate
Il bypass dell'autenticazione condivide cause radice, catene di attacco e pattern di sfruttamento con diverse classi di vulnerabilità correlate:
- Broken Access Control (OWASP A01:2025): Le varianti di forced browsing e parameter tampering del bypass dell'autenticazione si sovrappongono ai fallimenti di controllo accessi. La differenza è che il bypass dell'autenticazione salta la verifica dell'identità, mentre il broken access control salta i controlli di autorizzazione dopo che l'identità è stata stabilita.
- SQL Injection: La SQL injection non autenticata, come dimostrato dalla campagna MOVEit Transfer (CVE-2023-34362), può bypassare completamente l'autenticazione manipolando le query che controllano la logica di login.
- Server-Side Request Forgery (SSRF): CVE-2024-21893 nella catena Ivanti Connect Secure era una SSRF nel componente SAML, usata insieme al bypass dell'autenticazione per ottenere compromissione completa.
- Path Traversal: CVE-2018-13379 (Fortinet FortiOS) ha utilizzato il path traversal per scaricare credenziali in chiaro, abilitando il bypass dell'autenticazione come effetto secondario.
- Session Hijacking: La session fixation (CWE-384) e il replay di token (CWE-294) sono sotto-tipi di bypass dell'autenticazione che sfruttano il layer di sessione post-autenticazione invece del processo di login stesso.
- Privilege Escalation: Il bypass dell'autenticazione si concatena frequentemente con l'escalation di privilegi. L'attacco Cisco IOS XE (CVE-2023-20198 + CVE-2023-20273) è passato dal bypass dell'autenticazione all'accesso root e all'installazione di una backdoor in una singola catena.
Comprendere queste relazioni è utile sia durante il threat modeling sia nella risposta agli incidenti attivi. Quando il bypass dell'autenticazione è confermato in un ambiente, le classi di vulnerabilità sopra dovrebbero essere valutate come possibili co-exploit e non trattate come problemi separati e non correlati.
CVE correlate
| ID CVE | Descrizione | Gravità | Prodotto interessato | Anno |
| Bypass dell'autenticazione tramite percorso alternativo in Ivanti Endpoint Manager consente ad attaccanti remoti non autenticati di esfiltrare dati di credenziali memorizzate. (CISA KEV 2026-03-09) | Critico (CWE-288) | Ivanti Endpoint Manager | 2026 | |
| Bypass dell'autenticazione tramite processo improprio all'avvio nell'interfaccia web di Cisco Secure Firewall Management Center consente ad attaccanti remoti non autenticati di eseguire script e ottenere accesso root sui dispositivi interessati. | Critico (CWE-288) | Cisco Secure Firewall Management Center | 2026 | |
| Autenticazione mancante per funzione critica nell'interfaccia di gestione Palo Alto Networks PAN-OS consente ad attaccanti non autenticati di invocare script PHP e compromettere integrità e riservatezza del sistema. (CISA KEV) | Critico (CWE-306) | Palo Alto Networks PAN-OS | 2025 | |
| Bypass dell'autenticazione tramite richieste proxy CSF in Fortinet FortiOS/FortiProxy può consentire ad attaccanti remoti non autenticati con conoscenza dei numeri di serie dei dispositivi di ottenere privilegi super-admin. (CISA KEV, collegato a ransomware) | Critico (CWE-288) | Fortinet FortiOS / FortiProxy | 2025 | |
| Bypass dell'autenticazione tramite percorso alternativo in Juniper Networks Session Smart Router consente ad attaccanti sulla rete di bypassare l'autenticazione e ottenere controllo amministrativo del dispositivo. | 9.8 Critico (CWE-288) | Juniper Networks Session Smart Router | 2025 | |
| Bypass dell'autenticazione nel componente API di Ivanti EPMM 12.5.0.0 e precedenti; sfruttato in-the-wild concatenato con CVE-2025-4428 per ottenere RCE pre-autenticazione. (CISA KEV) | 5.3 Medio (CWE-288) | Ivanti Endpoint Manager Mobile | 2025 | |
| Autenticazione mancante per funzione critica nell'interfaccia di gestione Palo Alto Networks PAN-OS consente ad attaccanti non autenticati con accesso di rete di ottenere privilegi amministrativi (Operation Lunar Peek). (CISA KEV, collegato a ransomware) | Critico (CWE-306) | Palo Alto Networks PAN-OS | 2024 | |
| Autenticazione mancante per funzione critica in Fortinet FortiManager consente ad attaccanti non autenticati di eseguire codice o comandi arbitrari tramite richieste appositamente create. (CISA KEV, collegato a ransomware) | 9.8 Critico (CWE-306) | Fortinet FortiManager | 2024 | |
| Bypass dell'autenticazione tramite modulo WebSocket Node.js in Fortinet FortiOS/FortiProxy consente ad attaccanti remoti di ottenere privilegi super-admin tramite richieste appositamente create. (CISA KEV, collegato a ransomware) | 9.8 Critico (CWE-288) | Fortinet FortiOS / FortiProxy | 2024 | |
| Autenticazione impropria nel meccanismo di autenticazione SonicWall SonicOS SSLVPN consente ad attaccanti remoti di bypassare l'autenticazione. (CISA KEV, collegato a ransomware) | 9.8 Critico (CWE-287) | SonicWall SonicOS SSLVPN | 2024 | |
| Bypass dell'autenticazione tramite percorso alternativo in JetBrains TeamCity prima della versione 2023.11.4 consente ad attaccanti non autenticati di eseguire azioni amministrative. (CISA KEV) | 9.8 Critico (CWE-288) | JetBrains TeamCity | 2024 | |
| Canale alternativo non protetto nella Web UI di Cisco IOS XE Software consente ad attaccanti remoti non autenticati di creare account privilegiati e prendere il pieno controllo dei dispositivi interessati; sfruttato attivamente come zero-day alla divulgazione. (CISA KEV) | 10.0 Critico (CWE-420) | Cisco IOS XE Software | 2023 | |
| Autenticazione mancante nella Configuration Utility di F5 BIG-IP consente ad attaccanti con accesso di rete alla porta di gestione di eseguire comandi di sistema arbitrari. (CISA KEV) | 9.8 Critico (CWE-306) | F5 Networks BIG-IP | 2023 | |
| Bypass dell'autenticazione tramite percorso alternativo nel server CI/CD JetBrains TeamCity consente accesso non autorizzato; elencato tra le vulnerabilità più sfruttate del 2023 da CISA. (CISA KEV) | Critico (CWE-288) | JetBrains TeamCity | 2023 | |
| Implementazione errata dell'algoritmo di autenticazione in Microsoft SharePoint Server consente bypass dell'autenticazione; confermato collegamento a ransomware in CISA KEV. (CISA KEV, collegato a ransomware) | Critico (CWE-303) | Microsoft SharePoint Server | 2023 | |
| Bypass dell'autenticazione tramite percorso alternativo in Fortinet FortiOS, FortiProxy e FortiSwitchManager consente ad attaccanti remoti non autenticati di eseguire operazioni amministrative tramite richieste HTTP/HTTPS appositamente create. (CISA KEV) | 9.8 Critico (CWE-288) | Fortinet FortiOS / FortiProxy / FortiSwitchManager | 2022 | |
| Autenticazione mancante in F5 BIG-IP iControl REST consente ad attaccanti non autenticati con accesso di rete di eseguire comandi arbitrari con privilegi elevati. (CISA KEV) | 9.8 Critico (CWE-306) | F5 Networks BIG-IP | 2022 | |
| Autenticazione impropria in VMware Workspace ONE Access, Identity Manager e vRealize Automation consente a un attaccante con accesso di rete di ottenere accesso amministrativo senza credenziali. (CISA KEV) | 9.8 Critico (CWE-287) | VMware Workspace ONE Access / Identity Manager | 2022 | |
| Autenticazione mancante per funzione critica in Oracle E-Business Suite Web Applications Desktop Integrator consente ad attaccanti di rete non autenticati di compromettere completamente il sistema interessato. (CISA KEV) | 9.8 Critico (CWE-306) | Oracle E-Business Suite | 2022 | |
CVE-2021-20021 | Autenticazione mancante in SonicWall Email Security 10.0.9.x consente ad attaccanti di creare un account amministrativo tramite richiesta HTTP appositamente creata. (CISA KEV, collegato a ransomware) | 9.8 Critico (CWE-306) | SonicWall Email Security | 2021 |
| Bypass dell'autenticazione REST API in Zoho ManageEngine ADSelfService Plus versione 6113 e precedenti consente esecuzione di codice remoto; CISA KEV titolata "Authentication Bypass Vulnerability." (CISA KEV, collegato a ransomware) | 9.8 Critico | Zoho ManageEngine ADSelfService Plus | 2021 | |
| Vulnerabilità facilmente sfruttabile in Oracle Access Manager consente ad attaccanti non autenticati con accesso HTTP di rete di compromettere completamente Oracle Access Manager. (CISA KEV) | 9.8 Critico (CWE-306) | Oracle Access Manager | 2021 | |
| Use-after-free in Ivanti Pulse Connect Secure consente ad attaccanti remoti non autenticati di eseguire codice tramite servizi di licenza; sfruttato contro reti US Defense Industrial Base. (CISA KEV, collegato a ransomware) | 10.0 Critico (CWE-416/287) | Ivanti Pulse Connect Secure | 2021 | |
CVE-2021-37415 | Autenticazione mancante per funzione critica in Zoho ManageEngine ServiceDesk Plus prima della versione 11302 consente l'accesso agli endpoint REST API senza autenticazione. (CISA KEV) | 9.8 Critico (CWE-306) | Zoho ManageEngine ServiceDesk Plus | 2021 |
| SAP NetWeaver AS Java LM Configuration Wizard non esegue un controllo di autenticazione, consentendo ad attaccanti non autenticati di creare utenti amministrativi ("RECON" vulnerability). (CISA KEV) | 10.0 Critico (CWE-306) | SAP NetWeaver Application Server Java | 2020 | |
| Bypass dell'autenticazione nell'API SolarWinds Orion consente ad attaccanti remoti non autenticati di eseguire comandi API, potenzialmente compromettendo completamente l'istanza Orion. (CISA KEV) | 9.8 Critico (CWE-306/288) | SolarWinds Orion Platform | 2020 | |
| Autenticazione impropria in Fortinet FortiOS SSL VPN consente agli utenti di bypassare la MFA (FortiToken) cambiando il case del nome utente. (CISA KEV) | 9.8 Critico (CWE-287) | Fortinet FortiOS SSL VPN | 2020 | |
| Autenticazione mancante in SAP Solution Manager User Experience Monitoring comporta la compromissione completa di tutti gli SMDAgent collegati al Solution Manager. (CISA KEV) | 9.8 Critico (CWE-306) | SAP Solution Manager | 2020 | |
| La configurazione di default dell'API Experimental di Apache Airflow consente tutte le richieste API senza autenticazione, abilitando l'accesso remoto non autenticato a funzioni di workflow critiche. (CISA KEV) | 9.8 Critico (CWE-306) | Apache Airflow | 2020 | |
CVE-2019-11510 | Lettura arbitraria di file pre-autenticazione in Ivanti Pulse Connect Secure VPN consente ad attaccanti remoti non autenticati di leggere file di credenziali di sessione. (CISA KEV) | 10.0 Critico (CWE-22) | Ivanti Pulse Connect Secure | 2019 |
CVE-2018-13379 | Path traversal nel portale web Fortinet FortiOS SSL VPN consente ad attaccanti non autenticati di scaricare file di sistema inclusi archivi di credenziali VPN. (CISA KEV, collegato a ransomware) | 9.8 Critico (CWE-22) | Fortinet FortiOS SSL VPN | 2018 |
Conclusione
Il bypass dell'autenticazione elimina il controllo dell'identità tra esterni e utenti fidati. Una volta superato quel confine, gli attaccanti possono prendere il controllo degli account, ottenere accesso amministrativo, muoversi lateralmente, rubare dati e distribuire ransomware. Si riduce questo rischio rafforzando i flussi di autenticazione, proteggendo le sessioni, validando ogni percorso di accesso e utilizzando strumenti che collegano identità, endpoint e attività di rete.
Domande frequenti
L'authentication bypass è una vulnerabilità che consente a un attaccante di accedere a un sistema senza credenziali valide. In pratica, l'applicazione può saltare un controllo di accesso, fidarsi di dati lato client manipolati, accettare una sessione rubata o esporre un percorso alternativo mai protetto.
È comunemente classificata sotto CWE-287 e debolezze correlate come autenticazione mancante, bypass tramite percorso alternativo e session fixation.
Sì. L'authentication bypass corrisponde principalmente a A07:2025. Alcune varianti, come forced browsing o parameter tampering, possono anche sovrapporsi a broken access control. Se un utente può accedere a funzionalità protette senza i controlli di identità previsti, il problema rientra nella categoria delle authentication failure di OWASP.
Sì. Molti casi ad alta gravità sono sfruttabili da remoto su sistemi esposti a Internet come VPN, applicazioni web e interfacce di gestione.
Se la vulnerabilità si trova in un flusso di autenticazione accessibile dalla rete, in un'API o in un canale alternativo, a un attaccante potrebbe bastare la semplice raggiungibilità del servizio. Per questo motivo, i dispositivi edge e le piattaforme di accesso remoto compaiono così spesso nelle principali campagne di sfruttamento.
La maggiore esposizione si riscontra solitamente nei servizi esposti su internet: VPN, dispositivi edge, applicazioni web, servizi cloud, API e infrastrutture di identità. Le interfacce amministrative e i canali secondari sono particolarmente rischiosi perché spesso vengono aggiunti successivamente e potrebbero non ereditare gli stessi controlli del percorso di accesso principale.
Dispositivi non gestiti creano inoltre punti ciechi quando sono coinvolte credenziali compromesse.
Gli attaccanti cercano solitamente delle incongruenze. Enumerano directory e API, sondano percorsi alternativi, testano il comportamento delle sessioni e confrontano come le diverse interfacce applicano l'autenticazione. Anche le disclosure pubbliche di CVE li aiutano a concentrarsi su prodotti e pattern specifici.
In altri casi, vengono utilizzate credenziali o token precedentemente rubati per verificare se sia possibile abusare di meccanismi deboli di recupero o gestione delle sessioni.
Segnali comuni includono cambi di password o email senza nuova autenticazione, riutilizzo di sessioni da un IP diverso, sessioni concorrenti per lo stesso account, accessi da nuovi dispositivi senza verifica aggiuntiva e modifiche ai fattori MFA senza un nuovo controllo di identità.
Fallimenti a basso volume distribuiti su molti account possono anche indicare password spraying piuttosto che semplici errori di accesso.
È una delle classi di vulnerabilità più impattanti perché può eliminare il controllo che separa gli utenti esterni da quelli fidati. Una volta che questa barriera viene meno, gli attaccanti possono passare direttamente al takeover degli account, accesso amministrativo, movimento laterale e attività ransomware.
Gli esempi in questo articolo mostrano che l'authentication bypass compare regolarmente in CVE critici e catene di exploit ad alto impatto.
Sì. L'authentication bypass è spesso il primo anello di una catena di attacco più ampia. Dopo l'accesso iniziale, gli attaccanti possono raccogliere credenziali, aumentare i privilegi, muoversi lateralmente, esfiltrare dati o distribuire ransomware.
Nelle campagne concatenate, il bypass stesso non è l'obiettivo finale; è la scorciatoia che offre all'attaccante un punto di partenza fidato all'interno dell'ambiente.
Non sempre. Le vulnerabilità note di autenticazione mancante e gli endpoint esposti sono spesso identificabili con scanner, ma i difetti logici, i percorsi alternativi e l'abuso di sessione possono essere più difficili da rilevare automaticamente.
Ecco perché è importante un'analisi stratificata: vulnerability scanning, analisi comportamentale, monitoraggio delle sessioni e test strutturati individuano ciascuno parti diverse del problema.
Manifatturiero, sanità, pubblica amministrazione, finanza e infrastrutture critiche presentano tutti un rischio elevato secondo i report citati. Il filo conduttore è la dipendenza da servizi esposti su internet, sistemi di identità e continuità operativa.
Dove gli attaccanti possono trasformare un bypass in furto di dati, interruzione o accesso ransomware, l'impatto sul business diventa particolarmente grave.
