CSIRT Toscana Adobe: Rilevato sfruttamento in rete della CVE-2026-34621 (AL01/260412/CSIRT-ITA)
Data:
16 Aprile 2026
Impatto Sistemico
Critico (77.69)
Sintesi
Rilevato lo sfruttamento attivo in rete e disponibilità di relativo Proof of Concept (PoC) relativi alla vulnerabilità CVE-2026-34621 che interessa Adobe Acrobat / Adobe Reader, noto software per la gestione di documenti in formato PDF. Tale vulnerabilità, qualora sfruttata, consente l’esecuzione di codice arbitrario sui dispositivi target a seguito dell’apertura di documenti PDF opportunamente predisposti.
Tipologia
- Arbitrary Code Execution
Descrizione e potenziali impatti
È stato rilevato lo sfruttamento di una vulnerabilità zero‑day identificata tramite la CVE – 2026 – 34621, con CVSS v3.x pari a 8.6, di tipo “ Improperly Controlled Modification of Object Prototype Attributes (Prototype Pollution) ”. La vulnerabilità risulterebbe sfruttata mediante documenti PDF contenenti codice JavaScript offuscato, il quale tramite chiamate opportunamente predisposte ad API consentite, è in grado di aggirare l’ambiente sandbox applicativo e accedere ad API privilegiate. L’attacco può portare all’esecuzione di codice arbitrario nel contesto dell’utente corrente, con potenziali impatti su riservatezza, integrità e disponibilità dei sistemi coinvolti.
Prodotti e/o versioni affette
- Adobe Acrobat DC, versioni precedenti alla 26.001.21411
- Adobe Acrobat Reader DC, versioni precedenti alla 26.001.21411
- Adobe Acrobat 2024, versioni precedenti alla: 24.001.30362 (Windows), 24.001.30360 (Mac)
Azioni di Mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
Inoltre, si raccomanda di valutare la verifica e l’implementazione degli Indicatori di Compromissione (IoC) 1 forniti nell’apposita sezione.
In particolare, si condivide una regola Snort sviluppata da questo CSIRT per facilitare l’identificazione di possibili tentativi di sfruttamento, compatibile con Snort v3.1.24.0+. Si precisa che, in funzione delle specifiche configurazioni di rete e delle applicazioni in uso, potrebbe generare falsi positivi. Eventuali falsi positivi possono essere condivisi tramite i canali ufficiali reperibili sul portale CSIRT Italia del sito ACN.
Qualora si riscontrino evidenze di avvenuta compromissione sui propri sistemi, si raccomanda agli utenti e alle organizzazioni di attuare le seguenti azioni:
- collezionare eventuali evidenze, quali processi/servizi in esecuzione su dispositivi target, log di rete e log di autenticazione considerati non convenzionali;
- porre in isolamento e/o offline gli host potenzialmente interessati dalla compromissione;
- ripristinare gli host compromessi a un’immagine precedente consistente (dopo aver espletato le necessarie attività forensi);
- resettare gli account degli utenti interessati dalla compromissione;
- segnalare tempestivamente a questo CSIRT, tramite il portale https://segnalazioni.acn.gov.it/ l’evento occorso.
[1] Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.
Riferimenti
CVE
| CVE-ID |
|---|
| CVE-2026-34621 |
Indicatori di compromissione
| Tipologia | Indicatore |
|---|---|
| ip-dst | 169.40.2.68 |
| ip-dst|port | 169.40.2.68|45191 |
| ip-dst | 188.214.34.20 |
| ip-dst|port | 188.214.34.20|34123 |
| sha256 | 54077a5b15638e354fa02318623775b7a1cc0e8c21e59bcbab333035369e377f |
| sha256 | 65dca34b04416f9a113f09718cbe51e11fd58e7287b7863e37f393ed4d25dde7 |
| sha256 | 69bf0bc46f51b33377c4f3d92caf876714f6bbbe99e7544487327920873f9820 |
| domain | ado-read-parser.com |
| domain|ip | ado-read-parser.com|188.214.34.20 |
| snort | alert http $HOME_NET 20000: -> $EXTERNAL_NET any ( msg:”CSIRT ITALIA – Adobe Reader CVE-2026-34621 exploitation C2 traffic detected”; reference:url,https://www.acn.gov.it/portale/w/adobe-rilevato-sfruttamento-in-rete-della-cve-2026-34621; classtype:malware-cnc; priority:1; service:http; flow:from_client,established; http_method; content:”GET”,fast_pattern,nocase; http_num_headers:4; http_header:field accept; content:”*/*”,fast_pattern,nocase; http_header:field user-agent; content:”Adobe Synchronizer”,fast_pattern,nocase; pcre:”/Mozilla\/3.0 \(compatible\; Adobe Synchronizer (?:(?:0?[0-9]|1[0-9]?|2[0-5]).\d{1,3}.\d{1,5})|(?:26.0{1,3}.\d{1,5})|(?:26.0{0,2}1.(?:\d{1,4}|[01]\d{4}|20\d{3}|21[0-2]\d{2}|213[0-5]\d|2136[0-7]))\)$/”; http_header:field connection; content:”Keep-Alive”,fast_pattern,nocase; http_header:field Host; pcre:!”/(?:adobe(?:.com|.io|cc.com|cces.com|ccstatic.com|dtm.com|exchange.com|genuine.com|gov.com|-identity.com|janus.com|login.com|dc.net|oobe.com|projectm.com|sc.com|services.com|ss.com|sunbreak.com|tag.com)|(?:behance.net|ftcdn.net|typekit.(com|net)|astockcdn.net))(?::\d+)?$/”; http_version; content:”HTTP/1.1″,nocase; # In caso di errore cambiare SID con uno non presente sul proprio dispositivo. sid:3330010; rev:1; ) |
| ja3-fingerprint-md5 | cd08e31494f9531f560d64c695473da9 |
| sha256 | eacad3e01b8b0a44ac030c8c169664dbbdde90c153b550c7b4e0609573df796d |
| regkey | HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Adobe Reader Synchronizer |
| url | http://169.40.2.68:45191/rs1?rnd=&od=319988 |
| url | http://169.40.2.68:45191/s11?language=ENU&…&od=319988 |
| url | http://188.214.34.20:34123/rs1?rnd=&od=422974 |
| url | http://188.214.34.20:34123/rs2 |
| url | http://188.214.34.20:34123/s11?language=ENU&viewerType=Reader&viewerVersion=…&platform=WIN&activeDocs=…&errs=…&av=…&osVersion=…&pdfFile=…&rnd=…&od=422974 |
| url | http://188.214.34.20:34123/s12?language=ENU&viewerType=Reader&viewerVersion=25.00120435&platform=WIN |
| url | http://zx.ado-read-parser.com/ |
| filename|sha256 | ks_folder_watcher.txt|69bf0bc46f51b33377c4f3d92caf876714f6bbbe99e7544487327920873f9820 |
| user-agent | Mozilla/3.0 (compatible; Adobe Synchronizer 23.8.20533) |
| filename|sha256 | Tmp97B7.tmp|eacad3e01b8b0a44ac030c8c169664dbbdde90c153b550c7b4e0609573df796d |
| domain | zx.ado-read-parser.com |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 12-04-2026 | 12/04/2026 |
| 1.1 | Aggiornata sezione “Descrizione e potenziali impatti” con score aggiornato e maggiori dettagli sulla vulnerabilità”. Aggiornata sezione “Azioni di mitigazione” per condivisione IoC e misure raccomandate in caso di compromissione. | 16/04/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
16 Aprile 2026, 10:30