La empresa Palo Alto Networks ha confirmado la existencia de una explotación activa limitada de la vulnerabilidad crítica CVE-2026-0300 en su software PAN-OS. Esta vulnerabilidad de tipo desbordamiento de búfer (buffer overflow) en el servicio User-ID Authentication Portal permite a un atacante no autenticado ejecutar código arbitrario con privilegios de root enviando paquetes de red especialmente diseñados. Según los investigadores, los primeros intentos de explotación se han registrado desde el 9 de abril de 2026, y la publicación de las correcciones no se espera antes del 13 de mayo de 2026. Todas las organizaciones que utilicen dispositivos afectados deben restringir de inmediato el acceso al portal de autenticación User-ID o desactivarlo por completo.

Detalles técnicos de la vulnerabilidad

La vulnerabilidad CVE-2026-0300 ha recibido una puntuación CVSS de 9.3/8.7 (la discrepancia en las puntuaciones probablemente se deba a diferencias entre las métricas base y de entorno de CVSS). Independientemente del valor concreto, ambas calificaciones sitúan la vulnerabilidad en la categoría de crítica.

Características clave:

• Tipo de vulnerabilidad: desbordamiento de búfer (buffer overflow)
• Componente afectado: servicio User-ID Authentication Portal en PAN-OS
• Vector de ataque: remoto vía red, sin necesidad de autenticación
• Resultado de la explotación: ejecución de código arbitrario con privilegios de root
• Estado de explotación: explotación activa confirmada en ataques reales
• Estado del parche: las correcciones se esperan a partir del 13 de mayo de 2026

Según se informa, tras una explotación satisfactoria el atacante puede inyectar shellcode en el proceso de trabajo de nginx en el dispositivo comprometido. Esto proporciona al atacante control total sobre el firewall, un dispositivo que por definición ocupa una posición privilegiada en el perímetro de la red.

Cronología del ataque y actividades posteriores a la explotación

Según los datos de la unidad Unit 42 de Palo Alto Networks, la cronología del incidente es la siguiente:

1. 9 de abril de 2026 — se registran los primeros intentos fallidos de explotación de la vulnerabilidad en un dispositivo con PAN-OS
2. Aproximadamente una semana después — los atacantes lograron la ejecución remota de código con éxito e inyectaron shellcode en el proceso nginx
3. 29 de abril de 2026 — en un segundo dispositivo comprometido se desplegaron las herramientas adicionales EarthWorm y ReverseSocks5

Inmediatamente después de obtener el acceso inicial, los atacantes llevaron a cabo acciones deliberadas para ocultar sus huellas: limpiaron los mensajes de los volcados de memoria del kernel, eliminaron los registros de fallos de nginx y los archivos de volcados de errores. Este comportamiento apunta a un alto nivel de disciplina operativa y a un conocimiento profundo de los mecanismos de registro de PAN-OS.

La actividad posterior a la explotación incluyó el enumerado de objetos de Active Directory, un paso clásico para el reconocimiento de la infraestructura interna y la preparación del movimiento lateral. El despliegue de las herramientas de tunelización EarthWorm y ReverseSocks5 en el segundo dispositivo indica la intención de afianzarse en la red y establecer un canal de comunicación encubierto con la infraestructura de mando y control.

Contexto de la amenaza

Palo Alto Networks rastrea esta actividad bajo el identificador CL-STA-1132, describiendo el clúster como presuntamente vinculado a un actor con patrocinio estatal de origen no determinado. Es importante subrayar que esta atribución se basa en una única fuente y no ha sido corroborada por investigaciones independientes, por lo que debe tratarse con cautela.

No obstante, el perfil táctico del ataque merece atención. Como señalan los investigadores de Unit 42, los atacantes apostaron por herramientas de código abierto en lugar de malware propietario. Este enfoque minimiza la detección basada en firmas y les permite «diluirse» en el tráfico de red legítimo. Además, los atacantes utilizaron la táctica de sesiones interactivas intermitentes durante varias semanas, manteniéndose deliberadamente por debajo de los umbrales de comportamiento de la mayoría de los sistemas automáticos de alerta.

Este incidente encaja en una tendencia sostenida de los últimos cinco años: según las estimaciones de Unit 42, los grupos estatales dedicados al ciberespionaje atacan cada vez más los dispositivos de red perimetrales —firewalls, routers, dispositivos IoT, hipervisores y soluciones VPN—. Estos dispositivos proporcionan acceso privilegiado y, sin embargo, a menudo carecen de capacidades completas de monitorización y de agentes de seguridad como los que se despliegan en los endpoints tradicionales.

Evaluación del impacto

La vulnerabilidad representa una amenaza crítica para cualquier organización en la que el servicio User-ID Authentication Portal sea accesible desde segmentos de red no confiables. La compromisión satisfactoria de un firewall con privilegios de root proporciona de facto al atacante el control de un punto clave de la infraestructura de red, lo que puede derivar en:

• Intercepción y modificación del tráfico de red
• Elusión de todas las políticas de seguridad implementadas en el dispositivo
• Movimiento lateral hacia segmentos internos de la red
• Compromiso de credenciales de Active Directory
• Establecimiento de una presencia encubierta a largo plazo en la infraestructura

Corren mayor riesgo las organizaciones con portales de autenticación User-ID expuestos públicamente, así como aquellas que no pueden restringir con rapidez el acceso de red a este servicio.

Recomendaciones prácticas

Hasta la publicación de las correcciones oficiales (prevista para el 13 de mayo de 2026) deben adoptarse las siguientes medidas:

• Restringir de inmediato el acceso al servicio User-ID Authentication Portal, permitiendo conexiones solo desde zonas de red de confianza
• Desactivar por completo el servicio si no se utiliza en la configuración actual
• Revisar los registros en busca de fallos anómalos de procesos nginx, borrados inexplicables de volcados de errores y conexiones sospechosas al portal de autenticación, empezando el análisis desde el 9 de abril de 2026
• Realizar una auditoría de Active Directory para detectar solicitudes de enumeración no autorizadas, especialmente si se originan en dispositivos de red
• Comprobar la presencia de las herramientas EarthWorm y ReverseSocks5 en la infraestructura de red; su detección puede ser indicativa de una posible compromisión
• Reforzar la monitorización de las conexiones salientes desde los dispositivos perimetrales, prestando atención a SOCKS proxies y túneles no habituales

Dada la explotación activa confirmada y la ausencia de un parche, la ventana de exposición seguirá abierta al menos hasta el 13 de mayo de 2026. Las organizaciones que utilicen versiones afectadas de PAN-OS deben considerar la restricción del acceso a User-ID Authentication Portal como una acción prioritaria de ejecución inmediata y, una vez publicadas las actualizaciones, aplicar la corrección lo antes posible y llevar a cabo un análisis retrospectivo para detectar una posible compromisión en el periodo comprendido entre el 9 de abril y la fecha de instalación del parche.