Palo Alto Networks avertizează asupra unei vulnerabilități zero-day de tip RCE pentru firewall-uri, exploatată în atacuri
Sursă: https://www.bleepingcomputer.com
Palo Alto Networks a avertizat clienții cu privire la o vulnerabilitate critică de tip zero-day care afectează PAN-OS User-ID Authentication Portal și care este deja exploatată în atacuri active.
Vulnerabilitatea, identificată sub codul CVE-2026-0300, este cauzată de o eroare de tip buffer overflow care permite atacatorilor neautentificați să execute cod arbitrar cu privilegii root pe firewall-urile PA-Series și VM-Series expuse la internet, prin trimiterea unor pachete special create.
Portalul User-ID Authentication Portal, cunoscut și sub denumirea de Captive Portal, este o funcționalitate PAN-OS utilizată pentru autentificarea utilizatorilor ale căror identități nu pot fi asociate automat de firewall.
Compania a confirmat că au fost observate tentative limitate de exploatare care vizează portalurile User-ID expuse către adrese IP neîncrezute sau către internetul public.
Specialiștii au precizat că organizațiile care respectă bunele practici de securitate, precum restricționarea accesului la portaluri doar din rețele interne de încredere, prezintă un risc considerabil mai redus de compromitere.
În prezent, cercetătorii de la organizația Shadowserver Foundation monitorizează peste 5.800 de firewall-uri PAN-OS VM-Series expuse online, majoritatea fiind localizate în Asia și America de Nord.
Palo Alto Networks a clasificat vulnerabilitatea cu severitatea maximă și recomandă administratorilor să verifice rapid dacă firewall-urile utilizează serviciul vulnerabil prin secțiunea Device > User Identification > Authentication Portal Settings > Enable Authentication Portal.
Compania lucrează în prezent la dezvoltarea unui patch de securitate, primele actualizări fiind estimate pentru data de 13 mai 2026. Până la publicarea remedierii, administratorilor li se recomandă să restricționeze accesul la User-ID Authentication Portal doar către zone de încredere sau să dezactiveze complet portalul dacă acest lucru nu este posibil.
Firewall-urile PAN-OS au fost vizate frecvent în atacuri informatice care exploatau vulnerabilități zero-day. În noiembrie 2024, mii de firewall-uri au fost compromise prin exploatarea în lanț a două vulnerabilități PAN-OS, iar ulterior au fost identificate și alte atacuri care au vizat interfețele de administrare expuse la internet.
