Компания Palo Alto Networks предупреждает клиентов о критической уязвимости переполнения буфера, затрагивающей портал аутентификации User-ID в PAN-OS, которая уже эксплуатируется в реальных условиях.
По сообщению компании в консультативном уведомлении по безопасности, эта уязвимость позволяет злоумышленникам выполнять произвольный код с привилегиями root на скомпрометированных межсетевых экранах. PAN-OS — это программное обеспечение, на котором работают все межсетевые экраны нового поколения Palo Alto Networks.
«Эта проблема применима только к межсетевым экранам серий PA-Series и VM-Series, настроенным на использование портала аутентификации User-ID», — добавила компания. «Prisma Access, облачные NGFW и устройства Panorama не затронуты этой уязвимостью».
В уведомлении отмечалось, что наблюдалась «ограниченная эксплуатация» порталов аутентификации, доступных из недоверенных IP-адресов и публичного интернета. Клиенты, ограничившие доступ к этим порталам доверенными внутренними сетями, находятся в безопасности.
Ожидается исправление этой проблемы в предстоящих выпусках PAN-OS, а пока пользователям рекомендовано применять обходные пути и меры по смягчению последствий.
Доступ с правами root через портал входа на межсетевой экран
Уязвимость, отслеживаемая как CVE-2026-0300, имеет оценку CVSS 9.3 при развертывании с доступом из интернета и классифицируется как уязвимость записи за пределами границ (out-of-bounds write), сопоставленная с CWE-787. По данным Palo Alto Networks, эта проблема позволяет неаутентифицированным злоумышленникам выполнять произвольный код с привилегиями root на затронутых устройствах.
Уязвимость затрагивает только развертывания PAN-OS, в которых включен портал аутентификации User-ID. Затронутые версии охватывают несколько веток релизов PAN-OS, включая 10.2, 11.1 и 12.1 до выпуска исправленных сборок, запланированного на май.
Исследователь из Wiz Мерав Бар сообщила, что исследовательская фирма, принадлежащая Google, обнаружила, что в публичном доступе находятся PAN-OS инсталляции в 7% сред. Однако неизвестно, сколько из них имеют включенный затронутый портал. «Поскольку этот портал использует порты 6081 и 6082, доступность этих конкретных портов является основным показателем возможности эксплуатации», — добавила она в посте в блоге. «В настоящее время Shodan обнаруживает 67 серверов PAN-OS, доступных по порту 6081, и ни одного по порту 6082».
Уязвимость привлекла внимание и правительственных структур. Агентство по кибербезопасности и защите инфраструктуры США (CISA) вскоре после раскрытия информации добавило CVE-2026-0300 в свой каталог известных эксплуатируемых уязвимостей (KEV), в то время как несколько национальных агентств по кибербезопасности предупредили организации о вероятности дальнейшей эксплуатации.
Сначала смягчение последствий, затем исправления
Хотя Palo Alto Networks анонсировала исправления для затронутых веток PAN-OS, компания настоятельно призывает клиентов немедленно снизить уровень воздействия, не дожидаясь выпуска патчей. Поставщик заявил, что наиболее важной мерой смягчения является ограничение доступа к порталу аутентификации User-Id таким образом, чтобы он был доступен только из доверенных внутренних IP-адресов.
Организациям, которые не используют функцию Captive Portal, рекомендуется полностью отключить ее. Palo Alto также рекомендовала отключать страницы ответа (Response Pages) на интерфейсах, доступных для недоверенного трафика, оставляя их включенными только на доверенных внутренних интерфейсах, к которым подключаются легитимные пользователи.
Для клиентов с подписками Threat Prevention Palo Alto сообщила, что атаки также можно заблокировать с помощью Threat ID 510019, включенного в контентную версию 9097-10022 для Applications and Threats, хотя поддержка декодера требует PAN-OS 11.1 или новее.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
