Krytyczna luka CVE-2026-0300 w PAN-OS aktywnie wykorzystywana do przejmowania zapór z uprawnieniami root - Security Bez Tabu

Krytyczna luka CVE-2026-0300 w PAN-OS aktywnie wykorzystywana do przejmowania zapór z uprawnieniami root

Cybersecurity news

Wprowadzenie do problemu / definicja

Palo Alto Networks poinformowało o krytycznej podatności CVE-2026-0300 w systemie PAN-OS. Błąd dotyczy usługi User-ID Authentication Portal, znanej również jako Captive Portal, i może umożliwić nieautoryzowanemu atakującemu zdalne wykonanie kodu z uprawnieniami root.

To szczególnie poważny scenariusz, ponieważ luka nie wymaga wcześniejszego uwierzytelnienia, a podatna funkcjonalność bywa wystawiona na sieci niezaufane lub bezpośrednio do Internetu. Dodatkowo producent potwierdził, że podatność jest już wykorzystywana w rzeczywistych atakach.

W skrócie

  • CVE-2026-0300 to krytyczna luka typu unauthenticated RCE w PAN-OS.
  • Podatność dotyczy komponentu User-ID Authentication Portal.
  • Skuteczna eksploatacja może prowadzić do przejęcia zapory z uprawnieniami root.
  • Producent potwierdził aktywne wykorzystanie błędu przez klaster śledzony jako CL-STA-1132.
  • Atakujący wykorzystywali shellcode w procesie nginx, usuwali ślady awarii i prowadzili działania poeksploatacyjne.
  • Organizacje powinny natychmiast ograniczyć ekspozycję usługi i przygotować się do pilnego wdrożenia poprawek.

Kontekst / historia

Ataki na urządzenia brzegowe od lat pozostają jednym z najgroźniejszych trendów w cyberbezpieczeństwie. Firewalle, koncentratory VPN i inne elementy infrastruktury sieciowej zapewniają wysoki poziom uprzywilejowanego dostępu, a jednocześnie często są monitorowane słabiej niż serwery i stacje robocze.

W analizowanym przypadku pierwsze nieudane próby eksploatacji miały być obserwowane już 9 kwietnia 2026 roku. Około tydzień później przeciwnikom udało się osiągnąć skuteczne zdalne wykonanie kodu, a kolejne działania utrzymujące dostęp i rozwijające operację były prowadzone jeszcze pod koniec kwietnia.

Taki przebieg wskazuje na kampanię realizowaną etapami, z naciskiem na ograniczenie wykrywalności. Z punktu widzenia obrońców oznacza to, że zagrożenie nie ma wyłącznie charakteru teoretycznego, lecz dotyczy aktywnie prowadzonej działalności ofensywnej przeciw urządzeniom sieciowym.

Analiza techniczna

CVE-2026-0300 została opisana jako przepełnienie bufora w usłudze User-ID Authentication Portal w PAN-OS. W praktyce oznacza to możliwość dostarczenia specjalnie przygotowanych danych do komponentu dostępnego sieciowo i doprowadzenia do wykonania kodu w uprzywilejowanym kontekście systemowym.

Najgroźniejszym elementem tej luki jest brak wymogu uwierzytelnienia. Atakujący nie musi posiadać konta ani ważnych poświadczeń, aby podjąć próbę przejęcia urządzenia. Jeśli exploit powiedzie się, możliwe jest uzyskanie uprawnień root bez dodatkowych etapów eskalacji.

Z opublikowanych informacji wynika, że po skutecznej eksploatacji napastnicy wstrzykiwali shellcode do procesu nginx. Taka technika utrudnia analizę incydentu, ponieważ złośliwa aktywność zostaje osadzona w legalnym procesie systemowym odpowiedzialnym za obsługę ruchu webowego.

Zaobserwowano również działania anti-forensics. Obejmowały one czyszczenie komunikatów crash kernel, usuwanie wpisów związanych z awariami nginx oraz kasowanie plików core dump. Tego rodzaju operacje mają ograniczyć ilość artefaktów dostępnych dla zespołów reagowania i utrudnić odtworzenie przebiegu włamania.

Po uzyskaniu dostępu przeciwnik nie kończył operacji na samym firewallu. Odnotowano rozpoznanie środowiska Active Directory oraz wdrożenie dodatkowych narzędzi tunelujących, takich jak EarthWorm i ReverseSocks5. To sugeruje, że urządzenie brzegowe było traktowane jako punkt wejścia do dalszej penetracji infrastruktury.

Konsekwencje / ryzyko

Ryzyko związane z tą podatnością należy ocenić jako bardzo wysokie. Kompromitacja firewalla może prowadzić nie tylko do przejęcia pojedynczego urządzenia, ale również do uzyskania kontroli nad newralgicznym punktem całej architektury sieciowej.

Napastnik, który przejmie zaporę, może obserwować i modyfikować ruch, prowadzić rekonesans segmentów sieciowych, pozyskiwać poświadczenia, budować tunele do dalszych etapów ataku i maskować aktywność poprzez wykorzystanie uprzywilejowanej pozycji urządzenia w topologii.

Szczególnie groźny jest scenariusz, w którym firewall staje się pośrednikiem w operacji szpiegowskiej lub długotrwałej kampanii intruzyjnej. Z takiego punktu możliwe jest zdobycie wiedzy o architekturze organizacji, politykach bezpieczeństwa, komunikacji międzysegmentowej oraz systemach uwierzytelniania.

Dodatkowym problemem jest ograniczona widoczność telemetryczna. W wielu środowiskach urządzenia sieciowe nie są objęte równie szczegółowym monitoringiem jak serwery czy endpointy, co zwiększa ryzyko długotrwałej, cichej obecności przeciwnika.

Rekomendacje

Organizacje korzystające z PAN-OS powinny w pierwszej kolejności ustalić, czy User-ID Authentication Portal jest aktywny oraz czy pozostaje osiągalny z niezaufanych stref lub z Internetu. Jeśli komponent nie jest niezbędny, należy go wyłączyć.

Jeżeli usługa musi pozostać w użyciu, dostęp do niej powinien zostać ograniczony do zaufanych segmentów i ściśle określonych adresów administracyjnych. Warto także przeanalizować konfigurację interfejsów i wyłączyć funkcje portalowe tam, gdzie nie są wymagane operacyjnie.

W środowiskach wyposażonych w mechanizmy Advanced Threat Prevention należy wdrożyć dostępne zabezpieczenia detekcyjne i blokujące wskazane przez producenta. Nie powinno to jednak zastępować zmian konfiguracyjnych i późniejszego zastosowania oficjalnych poprawek.

Z perspektywy operacyjnej konieczny jest pilny przegląd logów i artefaktów dotyczących procesów nginx, nietypowych restartów usług, brakujących plików crash dump oraz anomalii w ruchu wychodzącym z urządzenia. Szczególną uwagę należy zwrócić na oznaki tunelowania, połączeń SOCKS oraz prób rozpoznania domeny.

Jeżeli istnieje choćby częściowe podejrzenie kompromitacji, analiza powinna objąć również systemy wewnętrzne, w tym kontrolery domeny, serwery uwierzytelniania, hosty administracyjne i inne urządzenia sieciowe. W praktyce może być konieczna rotacja poświadczeń, weryfikacja integralności konfiguracji oraz pełna analiza ruchu lateralnego.

Najważniejsze pozostaje jednak jak najszybsze wdrożenie poprawek bezpieczeństwa po ich opublikowaniu. Przy potwierdzonym aktywnym wykorzystaniu podatności odkładanie aktualizacji do standardowego okna serwisowego może być ryzykowne.

Podsumowanie

CVE-2026-0300 jest przykładem krytycznej podatności w urządzeniu brzegowym, która łączy brak uwierzytelnienia, możliwość wykonania kodu z uprawnieniami root oraz potwierdzone wykorzystanie w realnych atakach. To połączenie sprawia, że luka powinna być traktowana priorytetowo przez wszystkie organizacje korzystające z PAN-OS.

Incydent pokazuje również, że firewalle i inne urządzenia sieciowe muszą być traktowane nie tylko jako element obrony, ale także jako zasoby wysokiego ryzyka. Minimalizacja ekspozycji, szybkie reagowanie na komunikaty producenta, regularny monitoring oraz natychmiastowe wdrażanie poprawek pozostają kluczowe dla ograniczenia skutków tego typu zagrożeń.

Źródła