Vulnerabilidad crítica en PAN-OS User-ID Portal permite RCE root

Foto del autor

CyberSecureFox Editorial Team

Palo Alto Networks PAN-OS contiene una vulnerabilidad crítica CVE-2026-0300 en el servicio User-ID Authentication Portal, que ya está siendo explotada en ataques reales: un atacante remoto no autenticado puede ejecutar código arbitrario con privilegios de root en los firewalls PA-Series y VM-Series, algo especialmente peligroso si el portal es accesible desde Internet; todavía no hay parche, por lo que los administradores de estos dispositivos deben, de forma inmediata, o bien desactivar el portal si no es necesario, o bien restringir estrictamente su acceso solo a redes internas de confianza.

Detalles técnicos de CVE-2026-0300

Según el advisory de Palo Alto Networks, CVE-2026-0300 es un buffer overflow en el servicio User-ID Authentication Portal (Captive Portal) del sistema operativo PAN-OS. La vulnerabilidad permite a un atacante enviar paquetes de red especialmente construidos y, sin ningún tipo de autenticación, lograr la ejecución de código arbitrario con privilegios de root en:

  • dispositivos de la serie PA-Series;
  • firewalls virtuales VM-Series;
  • siempre que en ellos esté activado User-ID Authentication Portal.

La criticidad de la vulnerabilidad se ha evaluado formalmente mediante CVSS como:

  • 9.3, si User-ID Authentication Portal es accesible desde Internet o cualquier red no confiable;
  • 8.7, si el acceso al portal está restringido solo a direcciones IP internas de confianza.

Así, el defecto de software en sí es el mismo, pero la valoración del riesgo depende en gran medida del entorno de red y del nivel de exposición del servicio. Técnicamente, se trata de la técnica clásica de MITRE ATT&CK T1190 Exploit Public-Facing Application: explotación de un servicio de red expuesto hacia el exterior.

El proveedor subraya que la vulnerabilidad:

  • ya se encuentra bajo “limited exploitation” en la naturaleza;
  • está dirigida a configuraciones en las que User-ID Authentication Portal se ha dejado accesible públicamente;
  • no afecta a los dispositivos en los que este servicio no está configurado o está desactivado.

En el momento de la publicación del advisory la vulnerabilidad no está corregida. Palo Alto Networks planea empezar a publicar actualizaciones de seguridad a partir del 13 de mayo de 2026. El listado completo de versiones de PAN-OS afectadas se indica en el advisory de la página oficial del proveedor Palo Alto Networks Security Advisories. La entrada en la base NVD está disponible en NVD: CVE-2026-0300.

Evaluación del impacto y perfil de riesgo

La característica clave de esta vulnerabilidad es la combinación de tres factores:

  • explotación remota a través de la red;
  • ausencia total de necesidad de autenticación;
  • obtención de privilegios de root en el perímetro de red.

En arquitecturas reales, un firewall con PAN-OS suele ser la primera línea de defensa entre redes externas e internas. La compromisión de un dispositivo de este tipo con privilegios de root prácticamente implica la pérdida de confianza en todo el perímetro de red. Entre las posibles consecuencias:

  • Control total del tráfico: interceptar, modificar, bloquear selectivamente o permitir conexiones, inyectar contenido malicioso en el flujo de datos.
  • Elusión de las políticas de seguridad existentes: creación de reglas ocultas, túneles o políticas que permitan extraer datos de forma discreta o garantizar un acceso persistente.
  • Punto de apoyo para un movimiento lateral posterior: uso del firewall comprometido como punto intermedio para atacar servidores internos, segmentos y cuentas.
  • Alteración de la integridad de los registros: un atacante con privilegios de root puede borrar huellas, manipular logs o redirigirlos a sistemas externos.

La formulación de Palo Alto Networks sobre «limited exploitation» significa que los ataques ya se han detectado, pero por ahora, según la evaluación del proveedor, no tienen carácter masivo y se centran en las configuraciones más vulnerables: allí donde User-ID Authentication Portal está expuesto a Internet. Históricamente, este tipo de situaciones suelen evolucionar siguiendo el patrón «de unos pocos ataques dirigidos a un escaneo a gran escala» tras la aparición de análisis detallados o exploits listos para usar.

Los segmentos para los que el riesgo es especialmente elevado son:

  • organizaciones donde User-ID Authentication Portal se utiliza para la autenticación forzada de usuarios al acceder a la red y está expuesto hacia el exterior;
  • infraestructuras con un gran número de sucursales y usuarios remotos, donde el portal pudo haberse colocado en una zona accesible desde Internet «por comodidad»;
  • cualquier entorno donde el firewall con PAN-OS sea el único punto de control perimetral y la única barrera de segmentación.

Aunque el portal solo sea accesible desde redes internas, el riesgo no desaparece por completo: un atacante que ya haya obtenido acceso a la red local (mediante phishing, infección de una estación de trabajo, etc.) puede aprovechar la vulnerabilidad para escalar rápidamente privilegios hasta el control del firewall. Esto convierte a CVE-2026-0300 en un cómodo «amplificador» para otros vectores de ataque.

Recomendaciones prácticas hasta la publicación de parches

1. Comprobación inmediata de la configuración

La tarea prioritaria es identificar en qué dispositivos existe un vector de ataque real:

  1. Elabore un inventario de todos los firewalls PA-Series y VM-Series con PAN-OS en su infraestructura.
  2. Para cada dispositivo, compruebe si User-ID Authentication Portal está activado.
  3. Determine desde qué zonas de red se puede acceder a él:
    • si existe acceso directo desde Internet;
    • si está expuesto en redes «de invitados» u otras redes no confiables;
    • o si está restringido estrictamente a direcciones internas / VPN.

Los dispositivos con el portal activo y accesible desde Internet u otros segmentos no confiables deben clasificarse como críticamente vulnerables.

2. Desactivación temporal o restricción estricta del acceso

Hasta que se publiquen los parches, hay dos enfoques básicos para reducir el riesgo, ambos recomendados por el propio proveedor:

  • Desactivación completa de User-ID Authentication Portal, si la funcionalidad no es crítica para los procesos de negocio.
    • Es la forma más fiable y directa de eliminar el vector de ataque.
    • Requiere evaluar qué servicios o escenarios de autenticación dependen de este portal.
  • Restricción estricta del acceso, si no es posible desactivarlo:
    • permitir el acceso al portal solo desde zonas de red de confianza y desde direcciones estrictamente limitadas;
    • prohibir cualquier acceso a este servicio desde direcciones de Internet y redes de invitados/terceros;
    • si es necesario, colocar el acceso al portal detrás de una VPN para excluir su exposición directa.

Incluso una simple restricción del acceso desde Internet rebaja el riesgo desde el nivel de «explotación completamente remota» al nivel de «posibilidad de uso solo tras una intrusión en la red interna».

3. Preparación para la actualización de PAN-OS

Teniendo en cuenta el anuncio de publicación de correcciones a partir del 13 de mayo de 2026, ya es recomendable:

  • seguir las publicaciones en la página de security advisory de Palo Alto Networks sobre CVE-2026-0300;
  • planificar una ventana de mantenimiento extraordinaria para actualizar todas las versiones de PAN-OS afectadas;
  • preparar un procedimiento de reversión por si la actualización genera efectos secundarios, pero al mismo tiempo establecer prioridades:
    • primer nivel de prioridad: dispositivos con el portal previamente accesible desde Internet;
    • a continuación, todos los demás dispositivos donde el portal esté activado, aunque sea solo interno;
    • en último lugar, los dispositivos donde no se utilice User-ID Authentication Portal (para ellos el riesgo derivado de CVE-2026-0300 es mínimo).

4. Monitorización y búsqueda de posible compromiso

Aunque en el advisory original no se indiquen IOC concretos, tiene sentido reforzar la monitorización de los dispositivos con PAN-OS:

  • analizar los registros de acceso a User-ID Authentication Portal en busca de orígenes inusuales o actividad en horarios atípicos;
  • comprobar la existencia de cambios anómalos en la configuración del firewall (reglas, objetos, políticas nuevas no iniciadas por administradores);
  • reforzar el control de integridad y las copias de seguridad de la configuración de los dispositivos, para poder identificar y revertir cambios no autorizados;
  • acordar con el SOC o con el proveedor externo de monitorización una correlación prioritaria de eventos relacionados con PAN-OS, según la técnica Exploit Public-Facing Application.

Si existe sospecha de posible compromiso, es razonable tratar dicho firewall como un nodo comprometido y aplicar las medidas correspondientes: aislamiento, análisis forense, rotación de claves y contraseñas, y revisión de los sistemas internos en busca de un posible movimiento posterior del atacante.

Mientras aún no se hayan publicado correcciones para CVE-2026-0300, el paso clave para reducir el riesgo es eliminar el acceso a User-ID Authentication Portal desde Internet y cualquier red no confiable y, si es posible, desactivar temporalmente este servicio; tras el lanzamiento de las actualizaciones de PAN-OS, es necesario instalar los parches lo antes posible en todos los dispositivos PA-Series y VM-Series donde se utilice el portal, y solo después plantearse volver a los escenarios de uso anteriores del portal.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio