Palo Alto Networks pracuje nad poprawkami dla krytycznej luki zero-day w systemie PAN-OS, wykorzystanej do włamań na niektóre modele firewalli tej firmy. W piątek 8 maja Palo udostępniło dodatkowe informacje dotyczące eksploatacji podatności. Firma nie przypisała ataku konkretnemu aktorowi zagrożeń ani państwu, jednak dostępne dowody wydają się wskazywać na Chiny.

Autor: 3 min czytania

Luka, oznaczona jako CVE-2026-0300, została opisana jako przepełnienie bufora wpływające na usługę User-ID Authentication Portal (Captive Portal) w oprogramowaniu PAN-OS.

Problem dotyczy firewalli serii PA i VM, umożliwiając nieuwierzytelnionemu atakującemu wykonanie złośliwego kodu z uprawnieniami roota za pomocą specjalnie spreparowanych pakietów.

„Zaobserwowano ograniczone przypadki wykorzystania luki wymierzone w portale User-ID Authentication Portal firmy Palo Alto Networks wystawione na niezaufane adresy IP i/lub publiczny Internet” – poinformował producent w komunikacie początkowym. Następnie SecurityWeek udostępniło oświadczenie: „Palo Alto Networks opublikowało informację o CVE-2026-0300, identyfikującą lukę bezpieczeństwa wpływającą na określoną usługę w niektórych wersjach oprogramowania PAN-OS. Problem dotyczy ograniczonej liczby klientów, którzy wystawili User-ID Authentication Portal (Captive Portal) do publicznego Internetu lub niezaufanych adresów IP. Zaobserwowaliśmy ograniczone wykorzystanie tej podatności i pracujemy nad wydaniem poprawek, z których pierwsze mają być dostępne 13 maja 2026 roku.
Przekazaliśmy klientom jasne wytyczne dotyczące ograniczenia ryzyka, aby mogli natychmiast zabezpieczyć swoje środowiska. Problem nie wpływa na Cloud NGFW ani urządzenia Panorama. Pozostajemy zaangażowani w transparentne i stawiające bezpieczeństwo na pierwszym miejscu podejście do ochrony naszej globalnej bazy klientów”.

Do tej pory szczegóły dotyczące ataków wykorzystujących CVE-2026-0300 były oszczędnie dozowane, jednak „ograniczone wykorzystanie” zwykle oznacza, że luka była używana w bardzo ukierunkowanych atakach, prowadzonych przez zaawansowanych aktorów zagrożeń, często grupy sponsorowane przez państwa.

Producent planuje wydać pierwszą turę poprawek 13 maja, drugą – około 28 maja.

Ponieważ Palo zaznaczyło, że luka dotyczy wyłącznie firewalli serii PA i VM skonfigurowanych do korzystania z User-ID Authentication Portal, zalecamy ograniczenie dostępu do portalu wyłącznie do zaufanych wewnętrznych adresów IP. Znacząco zmniejszy to ryzyko wykorzystania podatności.

Według Palo Alto Networks rozwiązania Prisma Access, Cloud NGFW oraz urządzenia Panorama nie są podatne na CVE-2026-0300.

Ze względu na szerokie zastosowanie w dużych przedsiębiorstwach i organizacjach rządowych firewalle Palo Alto są atrakcyjnym celem dla zaawansowanych grup hakerskich.

Choć w 2025 roku wykorzystano aktywnie jedynie dwie luki w urządzeniach firmy, rok 2024 przyniósł znacznie większą liczbę incydentów – siedem wykorzystanych podatności, w tym przez hakerów sponsorowanych przez państwa.

Katalog Known Exploited Vulnerabilities (KEV) prowadzony przez Cybersecurity and Infrastructure Security Agency obecnie zawiera 13 podatności dotyczących produktów Palo Alto, jednak CVE-2026-0300 nie została jeszcze do niego dodana.