Krytyczna luka RCE w Palo Alto PAN-OS jest aktywnie wykorzystywana. Zagrożony User-ID Authentication Portal - Security Bez Tabu

Krytyczna luka RCE w Palo Alto PAN-OS jest aktywnie wykorzystywana. Zagrożony User-ID Authentication Portal

Cybersecurity news

Wprowadzenie do problemu / definicja

Palo Alto Networks ostrzegło przed krytyczną podatnością w systemie PAN-OS, która umożliwia nieuwierzytelnione zdalne wykonanie kodu na zaporach sieciowych. Problem dotyczy komponentu User-ID Authentication Portal, określanego również jako Captive Portal, i stanowi szczególne zagrożenie w środowiskach, gdzie usługa pozostaje dostępna z internetu lub z innych niezaufanych segmentów sieci.

Luka została oznaczona jako CVE-2026-0300 i wynika z błędu typu buffer overflow. W praktyce oznacza to możliwość doprowadzenia do wykonania dowolnego kodu na urządzeniu bez konieczności wcześniejszego logowania, co znacząco podnosi poziom ryzyka dla organizacji wykorzystujących podatne wersje PAN-OS.

W skrócie

  • CVE-2026-0300 umożliwia nieuwierzytelnione zdalne wykonanie kodu.
  • Podatność dotyczy User-ID Authentication Portal w PAN-OS.
  • Producent potwierdził aktywną eksploatację w ograniczonych atakach.
  • Skuteczne wykorzystanie może dać napastnikowi uprawnienia root.
  • Największe ryzyko dotyczy instancji wystawionych do internetu lub niezaufanych sieci.
  • Publikacja poprawek rozpoczęła się 13 maja 2026 r., a część aktualizacji przewidziano na 28 maja 2026 r.

Kontekst / historia

PAN-OS to system operacyjny stosowany w zaporach nowej generacji Palo Alto Networks. Odpowiada za kontrolę ruchu, egzekwowanie polityk bezpieczeństwa oraz obsługę mechanizmów identyfikacji użytkowników, dlatego każda podatność umożliwiająca przejęcie kontroli nad takim urządzeniem ma znaczenie strategiczne.

W analizowanym przypadku problem koncentruje się wokół funkcji User-ID Authentication Portal. Mechanizm ten może być wykorzystywany do identyfikacji użytkowników i realizacji procesów dostępu sieciowego. Jeśli organizacja udostępnia ten komponent na zewnątrz, powierzchnia ataku wyraźnie rośnie, a firewall może stać się bezpośrednim celem działań napastnika.

Znaczenie incydentu zwiększa fakt, że producent potwierdził już ograniczoną aktywność eksploatacyjną. To sugeruje, że podatność szybko przeszła z etapu ujawnienia do fazy realnych ataków operacyjnych, co wymaga natychmiastowej reakcji zespołów bezpieczeństwa.

Analiza techniczna

CVE-2026-0300 jest nieuwierzytelnioną podatnością typu remote code execution wynikającą z przepełnienia bufora w usłudze User-ID Authentication Portal. Odpowiednio spreparowane pakiety sieciowe mogą doprowadzić do naruszenia pamięci procesu obsługującego portal, a w konsekwencji do przejęcia kontroli nad przepływem wykonania i uruchomienia kodu na urządzeniu.

Z perspektywy obrońcy najistotniejsze cechy tej luki są szczególnie niebezpieczne. Atak nie wymaga uwierzytelnienia, może zakończyć się wykonaniem kodu z uprawnieniami root i dotyczy urządzeń sieciowych pełniących kluczową rolę na brzegu infrastruktury lub w ważnych segmentach środowiska produkcyjnego.

Ocena ryzyka zależy od ekspozycji usługi. W scenariuszu, w którym User-ID Authentication Portal jest dostępny z internetu lub z niezaufanej sieci, podatność została oceniona bardzo wysoko. Nawet w środowiskach o ograniczonym dostępie zagrożenie pozostaje krytyczne z operacyjnego punktu widzenia.

Według udostępnionych informacji podatne są wybrane wersje z gałęzi PAN-OS 10.2, 11.1, 11.2 oraz 12.1. Wersje naprawcze obejmują między innymi wydania 12.1.4-h5 i 12.1.7, 11.2.4-h17, 11.2.7-h13, 11.2.10-h6 i 11.2.12, 11.1.4-h33, 11.1.6-h32, 11.1.7-h6, 11.1.10-h25, 11.1.13-h5 i 11.1.15, a także 10.2.7-h34, 10.2.10-h36, 10.2.13-h21, 10.2.16-h7 oraz 10.2.18-h6.

Operacyjnie istotny jest także harmonogram publikacji poprawek. Część aktualizacji miała zostać udostępniona od 13 maja 2026 r., a kolejne 28 maja 2026 r., co oznacza okres podwyższonego ryzyka, w którym organizacje muszą opierać się przede wszystkim na działaniach ograniczających ekspozycję.

Konsekwencje / ryzyko

Ryzyko techniczne i biznesowe związane z tą luką jest bardzo wysokie. Kompromitacja firewalla może umożliwić trwałe przejęcie kontroli nad urządzeniem, manipulację politykami bezpieczeństwa, przekierowanie lub modyfikację ruchu, a także ukrycie kolejnych etapów ataku prowadzonych wewnątrz organizacji.

Szczególnie groźny jest brak wymogu uwierzytelnienia. Taka cecha obniża próg wejścia dla atakujących i zwiększa szansę na automatyzację skanowania oraz masowe próby wykorzystania. Jeżeli portal jest publicznie osiągalny, organizacja może stać się celem nie tylko ataków ukierunkowanych, ale również szerokich kampanii oportunistycznych.

Dodatkowym czynnikiem ryzyka jest poziom uprawnień uzyskiwanych po skutecznym ataku. Root na firewallu oznacza pełną kontrolę nad funkcjami systemowymi i bezpieczeństwem ruchu sieciowego, co może prowadzić do poważnych incydentów operacyjnych, naruszeń zgodności oraz kosztownej analizy śledczej.

Rekomendacje

Organizacje korzystające z PAN-OS powinny potraktować CVE-2026-0300 priorytetowo i wdrożyć działania tymczasowe jeszcze przed pełnym procesem aktualizacji. Kluczowe jest szybkie ustalenie, czy User-ID Authentication Portal jest włączony oraz czy pozostaje dostępny z internetu, stref niezaufanych lub segmentów o podwyższonym ryzyku.

  • Natychmiast zweryfikować, czy User-ID Authentication Portal działa na urządzeniach PA-Series lub VM-Series.
  • Sprawdzić, czy portal jest osiągalny z internetu albo z niezaufanych stref sieciowych.
  • Ograniczyć dostęp do usługi wyłącznie do zaufanych stref i wewnętrznych adresów IP.
  • Wyłączyć portal, jeśli nie jest niezbędny dla bieżących procesów biznesowych.
  • Przygotować plan aktualizacji do wersji naprawczych zaraz po ich publikacji.

Równolegle należy uruchomić działania w obszarze monitoringu i detekcji. Warto przeanalizować logi urządzeń pod kątem nietypowych żądań kierowanych do portalu uwierzytelniania, anomalii w procesach odpowiedzialnych za konfigurację i obsługę ruchu oraz nieoczekiwanych zmian polityk, reguł NAT, wyjątków bezpieczeństwa i kont administracyjnych.

W środowiskach, gdzie komponent był publicznie dostępny, zasadne jest podejście ostrożnościowe i traktowanie takich instancji jako potencjalnie naruszonych do czasu przeprowadzenia pełnej weryfikacji. W razie podejrzenia kompromitacji należy zabezpieczyć artefakty, wykonać kopię konfiguracji, porównać stan bieżący z wersjami referencyjnymi oraz rozważyć rotację poświadczeń administracyjnych i kluczy używanych w integracjach.

Podsumowanie

CVE-2026-0300 to krytyczna luka RCE w PAN-OS, która uderza w User-ID Authentication Portal i jest już aktywnie wykorzystywana. Największe zagrożenie dotyczy urządzeń, na których portal uwierzytelniania został wystawiony do internetu lub innych niezaufanych sieci.

Ze względu na możliwość nieuwierzytelnionego wykonania kodu z uprawnieniami root oraz strategiczną rolę firewalli w architekturze bezpieczeństwa organizacji, podatność powinna być traktowana jako incydent najwyższego priorytetu. Do czasu pełnego wdrożenia poprawek kluczowe pozostają ograniczenie ekspozycji, intensywny monitoring oraz weryfikacja, czy podatny komponent nie został już wykorzystany przez atakujących.

Źródła

  1. Palo Alto PAN-OS Flaw Under Active Exploitation Enables Remote Code Execution — https://thehackernews.com/2026/05/palo-alto-pan-os-flaw-under-active.html
  2. Palo Alto Networks Security Advisories — CVE-2026-0300 PAN-OS: Unauthenticated user initiated Buffer Overflow Vulnerability in User-ID Authentication Portal — https://security.paloaltonetworks.com/
  3. LIVEcommunity | Palo Alto Networks — guidance for restricting User-ID Authentication Portal access — https://live.paloaltonetworks.com/