Критическая уязвимость CVE-2026-0300 в Palo Alto PAN-OS

Обнаружение критической уязвимости нулевого дня CVE-2026-0300 в среде PAN-OS от компании Palo Alto Networks меняет восприятие безопасности периметра. Сетевой экран, традиционно считающийся первой линией обороны, может стать точкой входа для киберпреступников из-за ошибки в сервисе аутентификации.

Агентство CISA уже включило эту угрозу с оценкой 9.3 по шкале CVSS в каталог известных эксплуатируемых уязвимостей (KEV), так как исследователи фиксируют активные атаки ещё с апреля 2026 года.

Критическая уязвимость CVE-2026-0300 в Palo Alto PAN-OS - изображение 1

ОПИСАНИЕ ПРОБЛЕМЫ

Техническая природа CVE-2026-0300 заключается в неавторизованном переполнении буфера (buffer overflow) в компоненте User-ID Authentication Portal (Captive Portal). Эксплуатация этой уязвимости позволяет злоумышленникам инициировать выполнение кода с привилегиями root на устройствах PA-Series и VM-Series.

Важно отметить, что платформы Prisma Access, Cloud NGFW и Panorama не подвержены этой угрозе, что свидетельствует о безопасности облачной архитектуры в этом конкретном случае. Аналитики подразделения Unit 42 отмечают, что риск значительно снижается, если доступ к порталу ограничен только доверенными внутренними IP-адресами. Однако системы, выставленные в публичную сеть, остаются основной мишенью для киберпреступников.

ФУНКЦИОНАЛЬНЫЙ ФОКУС

Понимание действий злоумышленников после пробития периметра критично для своевременного выявления индикаторов компрометации. После успешной эксплуатации злоумышленники выполняют shell-код injection непосредственно в рабочий процесс веб-сервера nginx на самом устройстве. Это создает скрытый канал, который сложно зафиксировать стандартными средствами мониторинга. Для закрепления в инфраструктуре киберпреступники проводят антифорензическую очистку системных логов, чтобы скрыть следы своего вмешательства.

Затем для обеспечения постоянного удаленного контроля (C2) и передачи команд разворачиваются специализированные инструменты сетевого туннелирования, такие как EarthWorm и ReverseSocks5.

ПРАКТИЧЕСКИЕ КЕЙСЫ

Зафиксированные сценарии атак демонстрируют, как захват сетевого экрана приводит к глубокой компрометации внутренней сети. Получив доступ к устройству, злоумышленники извлекают из его памяти легитимные учетные данные. Используя эти корпоративные записи, они имитируют запросы от доверенного оборудования к серверам Active Directory. Это позволяет провести детальный аудит (enumeration) объектов каталога и выявить учетные записи с высокими привилегиями. Таким образом, единственная брешь на периметре быстро конвертируется в комплексную угрозу для всей инфраструктуры управления доступом.

ЭВОЛЮЦИЯ ЗАЩИТЫ

Оперативный мониторинг цифрового следа является базовым требованием для защиты от подобных массовых эксплуатаций. Данные платформы Censys свидетельствуют о том, что в глобальной сети обнаружено более 263 тысяч открытых экземпляров инфраструктуры PAN-OS. Хотя не все они публикуют User-ID Authentication Portal наружу, общая площадь возможной атаки остаётся значительной. Командам по кибербезопасности рекомендуется провести сканирование собственной инфраструктуры с помощью таких поисковых запросов, как «vendor: «PaloAltoNetworks» и product: «PAN-OS»». Регулярный аудит экспонированных сервисов позволяет своевременно выявить забытые конфигурации и убрать их из публичного доступа.

ИНТЕГРИРОВАННЫЙ ПОДХОД

Реагирование на CVE-2026-0300 требует сочетания неотложных конфигурационных изменений и планового обновления систем. До момента развёртывания исправленных версий PAN-OS, компания настоятельно советует ограничить маршрутизацию до портала аутентификации исключительно доверенными внутренними сетями. Если эта функция не является критичной для бизнес-процессов, её следует полностью отключить. Параллельно разработчик выпустил официальные обновления для версий PAN-OS 12.1, 11.2, 11.1 и 10.2, которые необходимо оперативно интегрировать в производственные среды.

Эксплуатация критической уязвимости на фаерволах доказывает, что безопасность периметра больше не гарантирует абсолютного защиты корпоративных ресурсов. Ситуация, когда скомпрометированный маршрутизатор или фаервол становится плацдармом для атак на инфраструктуру Active Directory, подчёркивает необходимость микросегментации и перехода к архитектуре Zero Trust. Только системный подход, охватывающий постоянный аудит, контроль доступа и быстрое реагирование, обеспечивает надежную непрерывность бизнеса.

Компания iIT Distribution как дистрибьютор решений информационной безопасности помогает партнёрам и клиентам строить надёжные и отказоустойчивые архитектуры защиты. Экспертная команда iITD обеспечивает полный сопровождение проектов — от расширенной технической консультации до подбора оптимального оборудования и экспертизы внедрения концепций Zero Trust в современные корпоративные сети.

НОВОСТИ