Критическая уязвимость CVE-2026-0300 в Palo Alto Networks PAN-OS активно эксплуатируется — анализ и рекомендации

Фото автора

CyberSecureFox Editorial Team

Компания Palo Alto Networks подтвердила факт ограниченной активной эксплуатации критической уязвимости CVE-2026-0300 в своём программном обеспечении PAN-OS. Уязвимость типа «переполнение буфера» в сервисе User-ID Authentication Portal позволяет неаутентифицированному злоумышленнику выполнить произвольный код с привилегиями root, отправив специально сформированные сетевые пакеты. По данным исследователей, первые попытки эксплуатации зафиксированы с 9 апреля 2026 года, а выпуск исправлений ожидается не ранее 13 мая 2026 года. Всем организациям, использующим затронутые устройства, необходимо немедленно ограничить доступ к порталу аутентификации User-ID или полностью отключить его.

Технические детали уязвимости

Уязвимость CVE-2026-0300 получила оценку CVSS 9.3/8.7 (расхождение в оценках, вероятно, связано с различиями между базовым и средовым показателями CVSS). Вне зависимости от конкретного значения, обе оценки относят уязвимость к категории критических.

Ключевые характеристики:

  • Тип уязвимости: переполнение буфера (buffer overflow)
  • Затронутый компонент: сервис User-ID Authentication Portal в PAN-OS
  • Вектор атаки: сетевой, без необходимости аутентификации
  • Результат эксплуатации: выполнение произвольного кода с привилегиями root
  • Статус эксплуатации: подтверждённая активная эксплуатация в реальных атаках
  • Статус патча: исправления ожидаются с 13 мая 2026 года

Как сообщается, при успешной эксплуатации злоумышленник получает возможность внедрить шелл-код в рабочий процесс nginx на скомпрометированном устройстве. Это даёт атакующему полный контроль над межсетевым экраном — устройством, которое по определению занимает привилегированную позицию на границе сети.

Хронология атаки и постэксплуатационные действия

По данным подразделения Unit 42 компании Palo Alto Networks, хронология инцидента выглядит следующим образом:

  1. 9 апреля 2026 года — зафиксированы первые неуспешные попытки эксплуатации уязвимости на устройстве PAN-OS
  2. Приблизительно через неделю — злоумышленники добились успешного удалённого выполнения кода и внедрили шелл-код в процесс nginx
  3. 29 апреля 2026 года — на втором скомпрометированном устройстве развёрнуты дополнительные инструменты EarthWorm и ReverseSocks5

Сразу после получения первоначального доступа атакующие предприняли целенаправленные действия по сокрытию следов: очистили сообщения аварийного дампа ядра, удалили записи о сбоях nginx и файлы аварийных дампов. Такое поведение указывает на высокий уровень операционной дисциплины и осведомлённость о механизмах логирования PAN-OS.

Постэксплуатационная активность включала перечисление объектов Active Directory — классический шаг для разведки внутренней инфраструктуры и подготовки к латеральному перемещению. Развёртывание инструментов туннелирования EarthWorm и ReverseSocks5 на втором устройстве свидетельствует о намерении закрепиться в сети и организовать скрытый канал связи с командной инфраструктурой.

Контекст угрозы

Palo Alto Networks отслеживает данную активность под идентификатором CL-STA-1132, характеризуя кластер как предположительно связанный с государственным спонсором неустановленного происхождения. Следует подчеркнуть, что эта атрибуция основана на единственном источнике и не подтверждена независимыми исследованиями, поэтому к ней стоит относиться с осторожностью.

Тем не менее тактический почерк атаки заслуживает внимания. Как отмечают исследователи Unit 42, злоумышленники сделали ставку на инструменты с открытым исходным кодом вместо проприетарного вредоносного ПО. Такой подход минимизирует обнаружение на основе сигнатур и позволяет «раствориться» в легитимном сетевом трафике. Кроме того, атакующие использовали тактику прерывистых интерактивных сессий на протяжении нескольких недель, намеренно оставаясь ниже поведенческих порогов большинства автоматизированных систем оповещения.

Этот инцидент вписывается в устойчивую тенденцию последних пяти лет: по оценке Unit 42, государственные группировки, занимающиеся кибершпионажем, всё активнее атакуют пограничные сетевые устройства — межсетевые экраны, маршрутизаторы, устройства IoT, гипервизоры и VPN-решения. Такие устройства предоставляют привилегированный доступ, при этом зачастую лишены полноценного мониторинга и агентов безопасности, характерных для стандартных конечных точек.

Оценка воздействия

Уязвимость представляет критическую угрозу для любой организации, где сервис User-ID Authentication Portal доступен из недоверенных сетевых сегментов. Успешная компрометация межсетевого экрана с правами root фактически предоставляет атакующему контроль над ключевой точкой сетевой инфраструктуры, что может привести к:

  • Перехвату и модификации сетевого трафика
  • Обходу всех политик безопасности, реализованных на устройстве
  • Латеральному перемещению во внутренние сегменты сети
  • Компрометации учётных данных Active Directory
  • Организации долгосрочного скрытого присутствия в инфраструктуре

Наибольшему риску подвержены организации с публично доступными порталами аутентификации User-ID, а также те, кто не имеет возможности оперативно ограничить сетевой доступ к этому сервису.

Практические рекомендации

До выхода официальных исправлений (ожидаются с 13 мая 2026 года) необходимо предпринять следующие меры:

  • Немедленно ограничить доступ к сервису User-ID Authentication Portal, разрешив подключения только из доверенных сетевых зон
  • Отключить сервис полностью, если он не используется в текущей конфигурации
  • Проверить журналы на наличие аномальных сбоев процессов nginx, необъяснимых очисток аварийных дампов и подозрительных подключений к порталу аутентификации, начиная с 9 апреля 2026 года
  • Провести аудит Active Directory на предмет несанкционированных запросов перечисления, особенно если они исходят от сетевых устройств
  • Проверить наличие инструментов EarthWorm и ReverseSocks5 в сетевой инфраструктуре — их присутствие может указывать на компрометацию
  • Усилить мониторинг исходящих соединений с пограничных устройств, обращая внимание на нехарактерные SOCKS-прокси и туннели

Учитывая подтверждённую активную эксплуатацию и отсутствие патча, окно уязвимости остаётся открытым как минимум до 13 мая 2026 года. Организациям, использующим затронутые версии PAN-OS, следует рассматривать ограничение доступа к User-ID Authentication Portal как приоритетное действие с немедленным исполнением, а после выхода обновлений — применить патч в кратчайшие сроки и провести ретроспективный анализ на предмет возможной компрометации в период между 9 апреля и датой установки исправления.

Фото автора

CyberSecureFox Editorial Team

Редакция CyberSecureFox освещает новости кибербезопасности, уязвимости, malware-кампании, ransomware-активность, AI security, cloud security и security advisories вендоров. Материалы готовятся на основе official advisories, данных CVE/NVD, уведомлений CISA, публикаций вендоров и открытых отчётов исследователей. Статьи проверяются перед публикацией и обновляются при появлении новых данных.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

CyberSecureFox

© 2026 INFO

О сайте

О нас

Авторы

Контакты

Редакция

Редакционные стандарты

Исправления

Правовая информация

Политика конфиденциальности

Условия использования