Эксплуатация критической уязвимости в PAN-OS: государственные хакеры атакуют межсетевые экраны Palo Alto Networks

Шестого мая 2026 года компания Palo Alto Networks опубликовала предупреждение безопасности об уязвимости CVE-2026-0300. Эта брешь представляет собой переполнение буфера в сервисе User-ID Authentication Portal (также известном как Captive Portal). Проблема затрагивает программное обеспечение PAN-OS. Злоумышленник, не имеющий учётных данных, может отправить специально сформированные пакеты и выполнить произвольный код с максимальными привилегиями root. Под удар попадают межсетевые экраны серий PA и VM. Речь идёт об оборудовании, которое часто устанавливается на границе корпоративных сетей.

Описание

На данный момент известно об ограниченном количестве атак с использованием этой уязвимости. Однако специалисты подразделения Unit 42 обнаружили кластер активности, обозначенный как CL-STA-1132. Аналитики с высокой степенью уверенности связывают эту группировку с государственными спонсорами. Атакующие смогли удалённо внедрить шелл-код (вредоносный исполняемый код) в процесс nginx worker, работающий на уязвимом устройстве. После этого они приступили к постэксплуатационным действиям.

Первым делом злоумышленники развернули общедоступные инструменты для создания туннелей. Речь идёт об EarthWorm и ReverseSocks5. Первая программа представляет собой утилиту с открытым исходным кодом для организации сетевых туннелей. Она работает на Windows, Linux, macOS и даже архитектурах ARM и MIPS. EarthWorm позволяет превратить взломанное устройство в прокси-сервер SOCKS5, чтобы скрыто перенаправлять трафик через скомпрометированную инфраструктуру. ReverseSocks5 работает по обратному принципу: жертва сама инициирует исходящее соединение к серверу управления, что позволяет обойти межсетевые экраны и трансляцию адресов.

Затем хакеры провели перебор Active Directory. Для этого они использовали учётные данные служебной учётной записи межсетевого экрана. Аналитики предполагают, что эти данные были получены непосредственно с самого устройства в ходе атаки. Параллельно злоумышленники систематически уничтожали улики. Они чистили crash-логи ядра, удаляли записи об авариях nginx и файлы аварийных дампов. Четыре дня спустя после первоначального взлома хакеры стёрли из лога аудита следы внедрения через ptrace и удалили бинарный файл для повышения привилегий SetUserID.

Двадцать девятого апреля атакующие предприняли новый шаг. Они организовали флуд протоколом SAML (язык разметки для утверждений безопасности, используемый для единого входа) против уже скомпрометированного устройства. Это привело к тому, что резервный межсетевой экран перешёл в активный режим и взял на себя обработку трафика из внешней сети. После этого RCE (удалённое выполнение кода) был достигнут и на втором устройстве. На него также загрузили EarthWorm и ReverseSocks5.

Важно отметить, что продукты Prisma Access, Cloud NGFW и устройства Panorama не подвержены данной уязвимости. Основной риск возникает, когда портал аутентификации User-ID Authentication Portal открыт для доступа из интернета. Производитель настаивает на соблюдении базовых правил безопасности. Необходимо ограничить доступ к этому сервису только доверенными зонами и внутренними IP-адресами. Если портал не используется, его рекомендуется полностью отключить.

Данный инцидент вписывается в долгосрочную тенденцию. На протяжении последних пяти лет хакеры, действующие в интересах государств, всё чаще нацеливаются на периферийное сетевое оборудование. Межсетевые экраны, маршрутизаторы, VPN-концентраторы и гипервизоры дают атакующим привилегированный доступ. При этом такие системы зачастую лишены той глубины логирования и агентской защиты, которая есть на обычных рабочих станциях.

Выбор атакующих в пользу открытых инструментов вместо проприетарных вредоносных программ оказался тактически верным. Это свело к минимуму шансы обнаружения по сигнатурам и упростило интеграцию в атакуемую среду. Дисциплинированный операционный ритм группировки CL-STA-1132 также заслуживает внимания. Хакеры проводили непостоянные интерактивные сессии на протяжении нескольких недель. Такая тактика остаётся ниже поведенческих порогов большинства автоматизированных систем оповещения. Для перемещения внутри сети они предпочли злоупотребление доверием к учётным записям вместо традиционного латерального перемещения через сетевые протоколы. Всё это в совокупности означает, что основным фактором длительного закрепления в инфраструктуре становится не столько сложность вредоносного кода, сколько сдержанность и аккуратность самого злоумышленника.