Directoratul Național de Securitate Cibernetică a identificat o vulnerabilitate critică, CVE-2026-0300, în sistemul de operare PAN-OS, utilizat de firewall-urile dezvoltate de Palo Alto Networks. Această vulnerabilitate are un grad de severitate CVSS v4.0 de 9.3 pentru rețelele accesate din Internet și 8.7 pentru rețelele adiacente, indicând un risc major de compromitere a sistemelor afectate.
Detalii tehnice ale vulnerabilității
CVE-2026-0300 este o vulnerabilitate de tip write out-of-bounds (CWE-787), identificată în componenta User-ID Authentication Portal a PAN-OS. Această componentă gestionează autentificarea utilizatorilor printr-un Captive Portal, care poate fi expus către zone cu încredere redusă sau direct în mediul online.
Vulnerabilitatea poate fi exploatată la distanță, fără necesitatea autentificării, prin trimiterea unor cereri special construite către portal. Datorită validării insuficiente a dimensiunii datelor, acestea pot depăși buffer-ul alocat, provocând coruperea memoriei.
Exploatarea cu succes permite rularea de cod arbitrar cu privilegii înalte (root), ceea ce poate duce la compromiterea completă a dispozitivului. Astfel, atacatorul poate modifica configurația firewall-ului, poate extrage chei criptografice și certificate, precum și citirea sau modificarea traficului de rețea interceptat. În plus, poate instala backdoor-uri permanente și dezactiva complet măsurile de securitate ale dispozitivului.
Vectorul de atac este de tip rețea, nu necesită autentificare și are o complexitate redusă, fiind ușor de automatizat. Informațiile disponibile indică faptul că această vulnerabilitate este exploatată activ în mediul real.
Versiuni afectate
Echipamente de tip firewall care rulează sistemul de operare PAN-OS, produse de Palo Alto Networks (serie afectate: PA-Series și VM-Series)
Versiuni vulnerabile:
- PAN-OS 10.2 — versiunile anterioare 10.2.7-h34, 10.2.10-h36, 10.2.13-h21, 10.2.16-h7 și 10.2.18-h6;
- PAN-OS 11.1 — versiuni mai vechi de 11.1.4-h33, 11.1.6-h32, 11.1.7-h6, 11.1.10-h25, 11.1.13-h5 și 11.1.15;
- PAN-OS 11.2 — versiuni mai vechi de 11.2.4-h17, 11.2.7-h13, 11.2.10-h6 și 11.2.12;
- PAN-OS 12.1 — versiuni anterioare 12.1.4-h5 și 12.1.7.
Produsele Prisma Access, Cloud NGFW și Panorama NU sunt vulnerabile.
Recomandări importante
Se recomandă implementarea urgentă a următoarelor măsuri, în ordine de prioritate:
- Restricționați accesul la Portalul de autentificare doar la adrese IP interne de încredere și evitați expunerea sa direct în mediul online;
- Dezactivați serviciul de autentificare dacă nu este necesar din punct de vedere operațional;
- Tratati cu prioritate orice instanță de Portal de autentificare expusă în mediul online sau în zone cu încredere redusă;
- Actualizați imediat sistemul de operare PAN-OS la versiunile corectate disponibile pentru versiunile afectate (10.2, 11.1, 11.2, 12.1);
- Aplicați semnăturile de securitate (Threat Prevention Signature) disponibile pentru versiunile compatibile de PAN-OS (11.1 și ulterior);
- Monitorizați traficul de rețea pentru identificarea conexiunilor suspecte către endpoint-urile de autentificare;
- Evaluați firewall-urile expuse pentru a detecta eventuale indicii de compromise anterior aplicației patch-urilor.
Rezumat
CVE-2026-0300 reprezintă una dintre cele mai semnificative vulnerabilități din 2026, cu un nivel critic și activități de exploatare confirmate.
Firewall-urile Palo Alto PA-Series și VM-Series cu Portal de autentificare activat și accesibil din rețele cu încredere redusă trebuie considerate sisteme potențial compromise până la implementarea actualizărilor și efectuarea unui audit de securitate. Este esențial ca organizațiile să ia măsuri imediate.
Compromiterea unui firewall de perimeter poate duce la o breșă de securitate a infrastructurii organizației. Izolarea sau dezactivarea portalului de autentificare reprezintă cea mai sigură opțiune pentru reducerea riscului.
Pentru informații suplimentare și resurse, consultați site-ul oficial al DNSC.
