Компания Palo Alto Networks выпустила экстренное предупреждение об опасной уязвимости в своём фирменном программном обеспечении PAN-OS. Проблема, получившая идентификатор CVE-2026-0300, оценивается в 9,3 балла по шкале CVSS 4.0 и уже используется злоумышленниками в ограниченных целевых атаках.
Уязвимость CVE-2026-0300
Уязвимость позволяет неавторизованному удалённому атакующему выполнить произвольный код с максимальными привилегиями root на межсетевых экранах серий PA и VM. Это создаёт серьёзный операционный риск для предприятий по всему миру, ведь затронутые устройства являются ключевым элементом защиты корпоративных сетей.
Причина проблемы кроется в переполнении буфера в сервисе аутентификационного портала User-ID, который также называют Captive Portal (портал пленения, используемый для регистрации пользователей в гостевых сетях). С технической точки зрения это ошибка записи за границами выделенной памяти (CWE-787). Злоумышленник отправляет специально сформированные пакеты на уязвимый сервис, после чего получает полный контроль над межсетевым экраном.
Важно подчеркнуть, что вектор атаки сетевой и не требует ни взаимодействия с пользователем, ни наличия административных привилегий. Сложность эксплуатации остаётся пугающе низкой. Это делает уязвимость легко автоматизируемой: злоумышленники могут быстро просканировать интернет на предмет доступных целей и скомпрометировать их.
Специалисты по информационной безопасности уже подтвердили ограниченные кампании эксплуатации, нацеленные на межсетевые экраны Palo Alto Networks, у которых портал аутентификации User-ID открыт для недоверенных IP-адресов или общедоступного интернета. Организации, не соблюдающие базовые принципы сегментации сети, сейчас находятся в зоне наибольшего риска немедленной компрометации. Уязвимость была обнаружена в промышленной эксплуатации, что подчёркивает постоянную угрозу со стороны сложных методов сетевого сканирования и эксплуатации.
Какие версии PAN-OS затронуты?
Проблема затрагивает несколько поколений ПО на устройствах PA-Series и VM-Series, настроенных на использование аутентификационного портала. В зону риска попадают определённые версии веток PAN-OS 12.1, 11.2, 11.1 и 10.2. Администраторам следует внимательно проверить свои конфигурации, чтобы определить уровень воздействия. При этом Palo Alto Networks официально подтвердила, что облачные и управляющие решения, включая Prisma Access, Cloud NGFW и Panorama, не подвержены данной уязвимости и не требуют срочных мер.
Вендор уже активно разрабатывает официальные обновления прошивки для полного устранения проблемы. Исправленные версии будут выпускаться поэтапно в период с 13 по 28 мая 2026 года в зависимости от конкретной ветки PAN-OS. Пока же системным администраторам настоятельно рекомендуется применить временные меры защиты.
Самый эффективный способ снизить риск - ограничить доступ к порталу аутентификации User-ID только доверенными внутренними сетевыми зонами. Если этот сервис не является строго необходимым для повседневной работы, его можно полностью отключить. Кроме того, для сред, работающих под управлением PAN-OS 11.1 и новее, доступна подпись системы предотвращения угроз (Threat Prevention Signature), которая позволяет активно отслеживать и блокировать вредоносный трафик, нацеленный на данную уязвимость.
Что это означает для бизнеса?
Компрометация межсетевого экрана даёт злоумышленнику полный контроль над пограничным устройством безопасности. Злоумышленник может перенаправлять трафик, перехватывать данные, отключать защиту или использовать скомпрометированный экран как плацдарм для атак на внутреннюю инфраструктуру. Последствия могут включать утечку конфиденциальной информации, остановку бизнес-процессов и финансовые потери. Особенно уязвимы организации, которые не изолируют свои административные интерфейсы от внешних сетей.
Специалистам по безопасности следует действовать незамедлительно: проверить, какие версии PAN-OS используются, и применить временные ограничения доступа к порталу User-ID. Также стоит настроить мониторинг на наличие необычной сетевой активности, связанной с отправкой пакетов на данный сервис. И хотя патчи ещё не вышли, грамотная сегментация сети и своевременное применение подписей для систем предотвращения вторжений могут существенно снизить вероятность успешной атаки.
Этот инцидент в очередной раз напоминает: даже продукты ведущих вендоров содержат ошибки, а наиболее опасные уязвимости - те, что не требуют аутентификации и позволяют удалённо выполнить код. Защита от них строится на многоуровневом подходе: своевременном обновлении, правильной конфигурации и строгом контроле доступа к критическим сервисам.
