Palo Alto Networks — krytyczna podatność PAN-OS

Palo Alto Networks wydało ostrzeżenie o krytycznej podatności przepełnienia bufora w oprogramowaniu PAN-OS, oznaczonej jako CVE-2026-0300, która jest aktywnie wykorzystywana w środowisku produkcyjnym. Warto sprawdzić, czy w organizacji nie ma urządzeń wymagających pilnej aktualizacji.

CVE-2026-0300 — krytyczna podatność PAN-OS

Czym jest i dlaczego jest groźna

Podatność CVE-2026-0300 to krytyczne przepełnienie bufora w oprogramowaniu PAN-OS z oceną CVSS 4.0 wynoszącą 9.3. Umożliwia nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu z pełnymi uprawnieniami roota na zaporach PA-Series i VM-Series — bez żadnych poświadczeń, interakcji użytkownika ani szczególnych warunków wstępnych.

Luka sklasyfikowana jest jako CWE-787 (Out-of-bounds Write) — ta sama rodzina uszkodzeń pamięci, która stała za wieloma najbardziej niszczycielskimi błędami zapór sieciowych w ostatniej dekadzie. Podatność dotyczy funkcji User-ID Authentication Portal (zwanej też Captive Portal) — komponentu PAN-OS służącego do mapowania adresów IP na tożsamości użytkowników.

Trzy cechy czynią tę podatność wyjątkowo niebezpieczną:

• Brak uwierzytelnienia — atakujący bez żadnych poświadczeń może wykonać dowolny kod z uprawnieniami roota przez wysłanie specjalnie spreparowanych pakietów.
• Podatność jest zautomatyzowana i osiągnęła etap „ATTACKED" w dojrzałości eksploitowania, co oznacza, że ataki w środowiskach produkcyjnych zostały już potwierdzone.
• Shadowserver Foundation zidentyfikował ponad 5 800 zapór VM-Series wystawionych na publiczny internet.

Kogo dotyczy

Podatność dotyczy zapór PA-Series i VM-Series z włączonym User-ID Authentication Portal, działających na wersjach PAN-OS wcześniejszych niż: 12.1.4-h5, 11.2.7-h13, 11.2.10-h6, 11.1.4-h33, 11.1.6-h32, 11.1.10-h25, 11.1.13-h5, 10.2.10-h36 oraz 10.2.18-h6.

Prisma Access, Cloud NGFW i urządzenia Panorama nie są podatne na tę lukę.

Kto stoi za atakami

Palo Alto Networks Unit 42 opublikował raport o zagrożeniu, przypisując zaobserwowane ataki grupie CL-STA-1132 — prawdopodobnie sponsorowanemu przez państwo (Chiny?) klastrowi zagrożeń, który po pierwszym włamaniu wdrażał narzędzia do tunelowania o otwartym kodzie źródłowym i przeprowadzał enumerację Active Directory.

Reakcja instytucji

CISA dodała CVE-2026-0300 do katalogu Known Exploited Vulnerabilities (KEV) 6 maja 2026 roku, wymagając od agencji federalnych FCEB zastosowania poprawek lub środków łagodzących do 9 maja 2026. Termin już minął — co oznacza, że instytucje rządowe musiały działać natychmiast.

Harmonogram łatek

Łatek jeszcze nie ma — Palo Alto Networks oczekuje wydania poprawek w dwóch transzach: pierwsza 13 maja 2026, druga 28 maja 2026. Jutro powinna zatem pojawić się pierwsza fala aktualizacji.

Co robić teraz — priorytetowe działania

Do czasu wydania aktualizacji Palo Alto Networks zaleca dwa działania: ograniczenie dostępu do narażonego portalu wyłącznie do zaufanych stref sieciowych, albo całkowite wyłączenie portalu jeśli nie jest wymagany — przez: Device > User Identification > Authentication Portal Settings → Disable Authentication Portal.

Portal korzysta z portów 6081 i 6082 — ekspozycja tych konkretnych portów na zewnątrz jest głównym wskaźnikiem podatności na atak. Wiz szacuje, że 7% środowisk ma publicznie wystawione instancje PAN-OS.

Kroki weryfikacji:

1. Zaloguj się do interfejsu administracyjnego PAN-OS
2. Przejdź do Device > User Identification > Authentication Portal Settings
3. Sprawdź czy portal jest włączony i z jakich interfejsów jest osiągalny
4. Jeśli portal wystawiony jest na zewnątrz — potraktuj to jako incydent wymagający natychmiastowego działania

Sytuacja jest jednoznaczna: krytyczna, nieuwierzytelniona zdalna podatność na wykonanie kodu w zaporze perymetrycznej, z potwierdzonymi aktywnymi atakami, bez dostępnej łatki i z federalnym terminem mitygacji, który już minął. Jeśli eksploatujesz zaporę PA-Series lub VM-Series — to nie jest sytuacja typu „poczekamy na następne okno serwisowe".