Kritiška pažeidžiamumas CVE-2026-0300 Palo Alto PAN-OS

CVE-2026-0300 techninė prigimtis žymi neautorizuotą buferio perpildymą (buffer overflow) komponente User-ID Authentication Portal (Captive Portal). Šio pažeidžiamumo eksploatacija leidžia piktavaliams inicijuoti nuotolinį kodo vykdymą su root privilegijomis PA-Series ir VM-Series įrenginiuose.

Svarbu pažymėti, kad Prisma Access, Cloud NGFW ir Panorama platformos nėra pažeidžiamos šiai grėsmei, kas rodo debesų architektūros saugumą šiuo konkrečiu atveju. Unit 42 analitikai pabrėžia, jog rizika žymiai mažėja, jei prieiga prie portalo apsiriboja tik patikimais vidiniais IP adresais. Tačiau sistemos, kurios yra išvestos į viešą tinklą, išlieka pagrindiniu kibernetinių nusikaltėlių taikiniu.

Supratimas, kaip piktavaliai veikia po perimetro pralaužimo, yra kritiškas savalaikiam komprometacijos indikatorių aptikimui. Po sėkmingos eksploatacijos piktavaliai vykdo shell-kodo injection tiesiogiai į tinklalapio serverio nginx darbo procesą. Tai sukuria užmaskuotą kanalą, kurį sunku užfiksuoti standartinėmis stebėjimo priemonėmis. Norėdami įsitvirtinti infrastruktūroje, kibernetiniai nusikaltėliai atlieka antifašistinį sisteminių logų išvalymą, kad paslėptų savo pėdsakus.

Vėliau, siekiant užtikrinti nuolatinį nuotolinį valdymą (C2) ir komandų perdavimą, dislokuojami specializuoti tinklo tuneliavimo įrankiai, tokie kaip EarthWorm ir ReverseSocks5.

Užfiksuoti atakų scenarijai rodo, kaip tinklo ugniasienės užgrobimas veda prie gilios vidinės tinklo kompromitacijos. Patekę į įrenginį, piktavaliai ištraukia jo atmintyje esančius teisėtus įgaliojimus. Naudodami šiuos korporatyvinius įrašus, jie imituoja užklausas iš patikimos įrangos į Active Directory serverius. Tai leidžia atlikti detalų katalogo objektų auditą (enumeration) ir aptikti aukštus privilegijas turinčias paskyras. Taip viso perimetro pažeidimas greitai virsta kompleksine grėsme visai prieigos valdymo infrastruktūrai.

Operatyvinis skaitmeninių pėdsakų monitoringas yra bazinė reikalavimas apsisaugoti nuo panašių masiškų eksploatacijų. Censys platformos duomenys rodo, kad globaliam tinkle aptikta daugiau nei 263 tūkst. viešų PAN-OS infrastruktūros egzempliorių. Nors ne visi jie publikuoja User-ID Authentication Portal iš išorės, bendra galimo atakos ploto apimtis išlieka didelė. Kibernetinio saugumo komandoms rekomenduojama atlikti savos infrastruktūros skenavimą tokiomis užklausomis, kaip „vendor: „PaloAltoNetworks” ir product: „PAN-OS””. Reguliari viešai skirtų paslaugų auditas leidžia laiku aptikti užmirštas konfigūracijas ir jas pašalinti iš viešo prieinamumo.

Atsakas į CVE-2026-0300 reikalauja skubių konfigūracijų pakeitimų ir planuojamo sistemų atnaujinimo derinio. Iki pataisytų PAN-OS versijų diegimo bendrovė primygtinai pataria riboti maršrutizaciją prie autentifikacijos portalo tik patikimais vidiniais tinklais. Jei ši funkcija nėra kritinė verslo procesams, ją reikėtų visiškai išjungti. Tuo pačiu metu kūrėjas išleido oficialius PAN-OS 12.1, 11.2, 11.1 ir 10.2 versijų atnaujinimus, kuriuos reikia operatyviai integruoti į gamybines aplinkas.

Kritiško ugniasienių pažeidžiamumo eksploatacija rodo, kad perimetro saugumas daugiau negarantuoja visiško korporacinių išteklių apsaugos. Situacija, kai kompromituotas maršrutizatorius arba ugniasienė tampa atakų ant Active Directory infrastruktūros vieta, pabrėžia mikrosementacijos ir perėjimo prie Zero Trust architektūros būtinybę. Tik sisteminis požiūris, kuris apima nuolatinį auditą, prieigos kontrolę ir greitą reagavimą, užtikrina patikimą verslo tęstinumą.

iIT Distribution kompanija, kaip informacinio saugumo sprendimų platintojas, padeda partneriams ir klientams kurti patikimas ir atsparias apsaugos architektūras. iITD ekspertų komanda užtikrina pilną projektų priežiūrą — nuo išsamios techninės konsultacijos iki optimalaus įrangos pasirinkimo ir Zero Trust koncepcijų diegimo šiuolaikiniuose korporaciniuose tinkluose aprašymo.