Компанія Palo Alto Networks підтвердила факт обмеженої активної експлуатації критичної вразливості CVE-2026-0300 у своєму програмному забезпеченні PAN-OS. Вразливість типу «переповнення буфера» в сервісі User-ID Authentication Portal дає змогу неавтентифікованому зловмиснику виконати довільний код із привілеями root, надіславши спеціально сформовані мережеві пакети. За даними дослідників, перші спроби експлуатації зафіксовані з 9 квітня 2026 року, а випуск виправлень очікується не раніше 13 травня 2026 року. Усім організаціям, які використовують уражені пристрої, необхідно негайно обмежити доступ до порталу автентифікації User-ID або повністю його вимкнути.

Технічні деталі вразливості

Вразливість CVE-2026-0300 отримала оцінку CVSS 9.3/8.7 (розбіжність в оцінках, імовірно, пов’язана з відмінностями між базовими та середовищними показниками CVSS). Незалежно від точного значення, обидві оцінки відносять вразливість до категорії критичних.

Ключові характеристики:

• Тип вразливості: переповнення буфера (buffer overflow)
• Уражений компонент: сервіс User-ID Authentication Portal у PAN-OS
• Вектор атаки: мережевий, без необхідності автентифікації
• Результат експлуатації: виконання довільного коду з привілеями root
• Статус експлуатації: підтверджена активна експлуатація в реальних атаках
• Статус патча: виправлення очікуються з 13 травня 2026 року

Як повідомляється, у разі успішної експлуатації зловмисник отримує можливість впровадити shell-код у робочий процес nginx на скомпрометованому пристрої. Це дає атакувальному повний контроль над міжмережевим екраном — пристроєм, який за визначенням посідає привілейовану позицію на мережевому периметрі.

Хронологія атаки та постексплуатаційні дії

За даними підрозділу Unit 42 компанії Palo Alto Networks, хронологія інциденту виглядає так:

1. 9 квітня 2026 року — зафіксовано перші невдалі спроби експлуатації вразливості на пристрої PAN-OS
2. Приблизно за тиждень — зловмисники домоглися успішного віддаленого виконання коду та впровадили shell-код у процес nginx
3. 29 квітня 2026 року — на другому скомпрометованому пристрої розгорнуто додаткові інструменти EarthWorm і ReverseSocks5

Одразу після отримання початкового доступу атакувальні діячі здійснили цілеспрямовані кроки для приховування слідів: очистили повідомлення про аварійні дампи ядра, видалили записи про збої nginx і файли аварійних дампів. Така поведінка вказує на високий рівень операційної дисципліни та обізнаність щодо механізмів логування PAN-OS.

Постексплуатаційна активність включала перерахування об’єктів Active Directory — класичний крок для розвідки внутрішньої інфраструктури та підготовки до латерального переміщення. Розгортання інструментів тунелювання EarthWorm і ReverseSocks5 на другому пристрої свідчить про намір закріпитися в мережі та організувати прихований канал зв’язку з командною інфраструктурою.

Контекст загрози

Palo Alto Networks відстежує цю активність під ідентифікатором CL-STA-1132, характеризуючи кластер як імовірно пов’язаний з державним спонсором невстановленого походження. Варто наголосити, що ця атрибуція ґрунтується на єдиному джерелі й не підтверджена незалежними дослідженнями, тому до неї слід ставитися обережно.

Водночас тактичний почерк атаки заслуговує на увагу. Як зазначають дослідники Unit 42, зловмисники зробили ставку на інструменти з відкритим вихідним кодом замість пропрієтарного зловмисного ПЗ. Такий підхід мінімізує виявлення на основі сигнатур і дозволяє «розчинитися» в легітимному мережевому трафіку. Крім того, атакувальні діячі використовували тактику переривчастих інтерактивних сесій упродовж кількох тижнів, свідомо залишаючись нижче поведінкових порогів більшості автоматизованих систем сповіщення.

Цей інцидент вписується в стійку тенденцію останніх п’яти років: за оцінкою Unit 42, державні угруповання, що займаються кібершпигунством, дедалі активніше атакують прикордонні мережеві пристрої — міжмережеві екрани, маршрутизатори, пристрої IoT, гіпервізори й VPN-рішення. Такі пристрої забезпечують привілейований доступ, водночас часто позбавлені повноцінного моніторингу та агентів безпеки, притаманних стандартним кінцевим точкам.

Оцінка впливу

Вразливість становить критичну загрозу для будь-якої організації, де сервіс User-ID Authentication Portal доступний із недовірених сегментів мережі. Успішна компрометація міжмережевого екрана з правами root фактично надає атакувальному контроль над ключовою точкою мережевої інфраструктури, що може призвести до:

• Перехоплення та модифікації мережевого трафіку
• Оминання всіх політик безпеки, реалізованих на пристрої
• Латерального переміщення до внутрішніх сегментів мережі
• Компрометації облікових даних Active Directory
• Організації довгострокової прихованої присутності в інфраструктурі

Найбільшому ризику піддаються організації з публічно доступними порталами автентифікації User-ID, а також ті, хто не має можливості оперативно обмежити мережевий доступ до цього сервісу.

Практичні рекомендації

До виходу офіційних виправлень (очікуються з 13 травня 2026 року) необхідно вжити таких заходів:

• Негайно обмежити доступ до сервісу User-ID Authentication Portal, дозволивши підключення лише з довірених мережевих зон
• Повністю вимкнути сервіс, якщо він не використовується в поточній конфігурації
• Перевірити журнали на наявність аномальних збоїв процесів nginx, незрозумілих очищень аварійних дампів і підозрілих підключень до порталу автентифікації, починаючи з 9 квітня 2026 року
• Провести аудит Active Directory на предмет несанкціонованих запитів перерахування, особливо якщо вони надходять від мережевих пристроїв
• Перевірити наявність інструментів EarthWorm і ReverseSocks5 у мережевій інфраструктурі — їх присутність може вказувати на компрометацію
• Посилити моніторинг вихідних з’єднань із прикордонних пристроїв, звертаючи увагу на нетипові SOCKS-проксі та тунелі

З огляду на підтверджену активну експлуатацію та відсутність патча, вікно вразливості залишається відкритим щонайменше до 13 травня 2026 року. Організаціям, які використовують уражені версії PAN-OS, слід розглядати обмеження доступу до User-ID Authentication Portal як пріоритетний захід до негайного виконання, а після виходу оновлень — у найкоротші строки застосувати патч і провести ретроспективний аналіз щодо можливої компрометації в період між 9 квітня та датою встановлення виправлення.