Palo Alto Networks PAN-OS містить критичну вразливість CVE-2026-0300 у сервісі User-ID Authentication Portal, яку вже експлуатують у реальних атаках: неавтентифікований віддалений зловмисник може виконувати довільний код з правами root на мережевих екранах PA-Series і VM-Series, що особливо небезпечно, якщо портал доступний з інтернету; патча поки що немає, тому адміністраторам таких пристроїв необхідно негайно або вимкнути портал, якщо він не потрібен, або жорстко обмежити доступ до нього лише довіреними внутрішніми мережами.
Технічні деталі CVE-2026-0300
Згідно з advisory Palo Alto Networks, CVE-2026-0300 являє собою buffer overflow у сервісі User-ID Authentication Portal (Captive Portal) операційної системи PAN-OS. Вразливість дає змогу зловмиснику надіслати спеціально сформовані мережеві пакети і, без будь-якої автентифікації, досягти виконання довільного коду з правами root на:
- пристроях серії PA-Series;
- віртуальних мережевих екранах VM-Series;
- за умови, що на них активовано User-ID Authentication Portal.
Критичність вразливості формально оцінено за CVSS як:
- 9.3 — якщо User-ID Authentication Portal доступний з інтернету або будь-якої недовіреної мережі;
- 8.7 — якщо доступ до порталу обмежено лише довіреними внутрішніми IP-адресами.
Отже, сам по собі програмний дефект є один і той самий, але оцінка ризику сильно залежить від мережевого оточення та ступеня експонування сервісу. Технічно це класична для MITRE ATT&CK техніка T1190 Exploit Public-Facing Application: експлуатація мережевого сервісу, доступного зовні.
Вендор наголошує, що вразливість:
- уже перебуває під обмеженою експлуатацією у дикій природі;
- націлена на конфігурації, де User-ID Authentication Portal залишено публічно доступним;
- не зачіпає пристрої, де цей сервіс не налаштований або вимкнений.
На момент публікації advisory вразливість не виправлено. Palo Alto Networks планує розпочати випуск оновлень безпеки з 13 травня 2026 року. Повний перелік уражених версій PAN-OS наведено в advisory на офіційній сторінці вендора Palo Alto Networks Security Advisories. Запис у базі NVD доступний за адресою NVD: CVE-2026-0300.
Оцінка впливу та профіль ризику
Ключова особливість цієї вразливості — комбінація трьох чинників:
- віддалена експлуатація по мережі;
- повна відсутність необхідності в автентифікації;
- отримання прав root на мережевому периметрі.
У реальних архітектурах мережевий екран з PAN-OS часто є першою лінією захисту між зовнішніми та внутрішніми мережами. Компрометація такого пристрою з правами root практично означає втрату довіри до всього мережевого периметра. Потенційні наслідки:
- Повний контроль трафіку: перехоплення, підміна, вибіркове блокування або дозволення з’єднань, упровадження шкідливого вмісту в потік даних.
- Обхід чинних політик безпеки: створення прихованих правил, тунелів або політик, які дадуть змогу непомітно виводити дані чи забезпечувати постійний доступ.
- Плацдарм для подальшого просування: використання скомпрометованого firewall як проміжної точки для атак на внутрішні сервери, сегменти та облікові записи.
- Порушення цілісності журналів: зловмисник з правами root може підчищати сліди, спотворювати логи або перенаправляти їх на зовнішні системи.
Формулювання Palo Alto Networks про «limited exploitation» означає, що атаки вже зафіксовано, але поки, за оцінкою вендора, вони не є масовими та фокусуються на найбільш уразливих конфігураціях — там, де User-ID Authentication Portal відкритий в інтернет. Історично такі ситуації часто розвиваються за схемою «від поодиноких цільових атак до широкомасштабного сканування» після появи детального аналізу або готових експлойтів.
Сегменти, для яких ризик особливо висок:
- організації, де User-ID Authentication Portal використовується для примусової автентифікації користувачів під час доступу до мережі й відкритий назовні;
- інфраструктури з великою кількістю філій та віддалених користувачів, де портал могли винести в зону, доступну з інтернету, «для зручності»;
- будь-які середовища, де firewall з PAN-OS є єдиною точкою контролю периметра й єдиним рубежем сегментації.
Навіть якщо портал доступний лише з внутрішніх мереж, ризик не зникає повністю: вразливість може бути використана зловмисником, який уже отримав доступ до локальної мережі (через фішинг, зараження робочої станції тощо), для швидкого підвищення прав до контролю над мережевим екраном. Це перетворює CVE-2026-0300 на зручний «підсилювач» для інших векторів атак.
Практичні рекомендації до виходу патчів
1. Негайна перевірка конфігурації
Першочергове завдання — зрозуміти, на яких пристроях існує реальний вектор атаки:
- Складіть перелік усіх мережевих екранів PA-Series і VM-Series з PAN-OS у вашій інфраструктурі.
- Для кожного пристрою перевірте, чи активовано User-ID Authentication Portal.
- Визначте, з яких мережевих зон до нього є доступ:
- чи є прямий доступ з інтернету;
- чи відкритий він у будь-яких «гостьових» або інших недовірених мережах;
- чи обмежений суворо внутрішніми адресами / VPN.
Пристрої з активним порталом, доступним з інтернету або інших недовірених сегментів, мають бути класифіковані як критично вразливі.
2. Тимчасове вимкнення або жорстке обмеження доступу
До виходу патчів можливі два базові підходи до зниження ризику, обидва рекомендовані самим вендором:
- Повне вимкнення User-ID Authentication Portal, якщо функціональність не є критичною для бізнес-процесів.
- Це найнадійніший і найоднозначніший спосіб усунути вектор атаки.
- Потребує оцінки, які сервіси або сценарії автентифікації залежать від цього порталу.
- Суворе обмеження доступу, якщо вимкнення неможливе:
- дозволити доступ до порталу лише з довірених мережевих зон і за суворо обмеженими адресами;
- заборонити будь-які звернення до цього сервісу з адрес інтернету та гостьових/підрядних мереж;
- за потреби — винести доступ до порталу за VPN, щоб виключити його пряму експозицію.
Навіть саме лише обмеження доступу з інтернету переводить ризик з рівня «повністю віддалена експлуатація» на рівень «можливість використання лише після проникнення до внутрішньої мережі».
3. Підготовка до оновлення PAN-OS
З огляду на анонс випуску виправлень з 13 травня 2026 року рекомендується вже зараз:
- відстежувати публікації на сторінці security advisory Palo Alto Networks щодо CVE-2026-0300;
- спланувати позачергове вікно обслуговування для оновлення всіх уражених версій PAN-OS;
- підготувати процедуру відкату на випадок, якщо оновлення спричинить побічні ефекти, але водночас розставити пріоритети:
- перший пріоритет — пристрої з порталом, раніше доступним з інтернету;
- далі — всі інші пристрої, де портал увімкнено, навіть якщо він внутрішній;
- останніми — пристрої, де User-ID Authentication Portal не використовується (для них ризик від CVE-2026-0300 мінімальний).
4. Моніторинг і пошук можливої компрометації
Хоча в початковому advisory не наведено конкретних IOC, має сенс посилити спостереження за пристроями PAN-OS:
- проаналізувати журнали звернень до User-ID Authentication Portal на предмет незвичних джерел або активності в нестандартний час;
- перевірити наявність аномальних змін у конфігурації firewall (нові правила, об’єкти, політики, не ініційовані адміністраторами);
- посилити контроль цілісності та резервне копіювання конфігурації пристроїв, щоб можна було виявити й відкотити несанкціоновані зміни;
- узгодити із SOC або зовнішнім провайдером моніторингу пріоритетну кореляцію подій, пов’язаних з PAN-OS, за технікою Exploit Public-Facing Application.
Якщо є підозра на можливу компрометацію, доцільно розглядати такий firewall як скомпрометований вузол із відповідними заходами: ізоляція, форензіка, ротація ключів і паролів, перевірка внутрішніх систем на предмет подальшого просування зловмисника.
Поки виправлення для CVE-2026-0300 ще не вийшли, ключовий крок для зниження ризику — усунути доступ до User-ID Authentication Portal з інтернету та будь-яких недовірених мереж, а за можливості — тимчасово вимкнути цей сервіс; після релізу оновлень PAN-OS потрібно в найкоротші строки встановити патчі на всі пристрої PA-Series і VM-Series, де портал використовується, і лише потім розглядати повернення порталу до попередніх сценаріїв роботи.
