CVE-2026-0300

Nome do Software Vulnerável e Versões Afetadas Palo Alto Networks PAN-OS versões anteriores a 13 de maio de 2026

Description Um estouro de buffer (escrita fora dos limites) existe no serviço User-ID™ Authentication Portal (também conhecido como Captive Portal), um recurso não padrão usado para mapear endereços IP para nomes de usuário. Isso permite que um invasor remoto não autenticado execute código arbitrário com privilégios de root em firewalls PA-Series e VM-Series enviando pacotes especialmente criados. A falha pode ser explorada para obter controle total sobre o tráfego de rede, interceptar ou modificar conexões e instalar backdoors.

A exploração no mundo real foi observada desde 9 de abril de 2026, por um grupo de ameaças possivelmente patrocinado por um estado, rastreado como CL-STA-1132. Os invasores conseguiram a execução remota de código injetando shellcode no processo worker nginx. As atividades pós-exploração incluíram o uso de ferramentas de tunelamento como EarthWorm e ReverseSocks5 para manter a persistência, a realização de SAML floods para escalonamento de privilégios e a enumeração de credenciais do Active Directory. Para evitar a detecção, os invasores excluíram sistematicamente entradas de falha do nginx, arquivos de core dump e mensagens de kernel de falha.

Aproximadamente 5.800 firewalls VM-Series (principalmente na Ásia e América do Norte) e até 135.755 instâncias de PAN-OS expostas à internet foram identificadas como potencialmente vulneráveis. A vulnerabilidade está associada à função SetUserID.

Recommendations Atualize para as versões de segurança lançadas em 13 de maio de 2026. Como medida paliativa temporária, restrinja o acesso ao User-ID™ Authentication Portal apenas a endereços IP internos confiáveis ou zonas internas. Desative completamente o User-ID™ Authentication Portal se ele não for necessário.