6 мая 2026 года CISA добавила CVE-2026-0300 в каталог Known Exploited Vulnerabilities. Дедлайн на устранение - три дня, до 9 мая. Решение SSVC - Act: эксплуатация активна, атака автоматизируема, technical impact - total. На Shodan и Censys в интернете видны десятки тысяч PAN-OS инстансов, по данным Foresiet - тысячи VM-Series с открытым Captive Portal. Buffer overflow в User-ID Authentication Portal даёт неаутентифицированному атакующему root-шелл на файрволах PA-Series и VM-Series одним сетевым пакетом. Один пакет - и файрвол ваш. Ниже - полный разбор уязвимости Palo Alto PAN-OS с точки зрения пентестера: от CVSS-вектора до проверки экспозиции и детектирования эксплуатации.
Анатомия CVE-2026-0300: out-of-bounds write в Captive Portal
CVE-2026-0300 - buffer overflow типа CWE-787 (Out-of-bounds Write) в сервисе User-ID Authentication Portal (Captive Portal) PAN-OS. По данным NVD, уязвимость позволяет неаутентифицированному атакующему выполнить произвольный код с root-привилегиями на файрволах PA-Series и VM-Series, отправив специально сформированные сетевые пакеты.Разбор CVSS-вектора
CVSS 4.0 вектор от CNA (Palo Alto Networks):CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:N/E:A/AU:Y/R:U/V:C/RE:M/U:RedИтоговый скор - 9.3 CRITICAL.
| Компонент | Значение | Что это значит для атакующего |
|---|---|---|
| AV:N | Network | Эксплуатация по сети, без физического доступа |
| AC:L | Low complexity | Один пакет, никаких race conditions |
| PR:N | No privileges | Аутентификация не требуется |
| UI:N | No user interaction | Жертве не нужно ничего кликать |
| VC:H / VI:H / VA:H | High impact | Полная компрометация конфиденциальности, целостности, доступности |
| E:A | Attacked | Эксплуатация подтверждена in the wild |
| U:Red | Urgency Red | Максимальный приоритет устранения |
EPSS на 22 мая 2026 - 0.0435, percentile 0.8905. На AlienVault OTX по этой CVE зарегистрировано 27 threat-intel пульсов с тегом
actively_exploited_kev.Затронуты ветки PAN-OS 10.2, 11.1, 11.2 и 12.1 на PA-Series и VM-Series. Prisma Access, Cloud NGFW и Panorama не затронуты. Если ваш файрвол в OT-сегменте построен на этой платформе - сверяйтесь с advisory Siemens.
Поверхность атаки: почему Captive Portal доступен до аутентификации
User-ID Authentication Portal (Captive Portal) - сервис PAN-OS, который перехватывает HTTP/HTTPS-сессии от неаутентифицированных клиентов в настроенной зоне и перенаправляет их на страницу логина. Типичные сценарии: onboarding гостевого Wi-Fi, аутентификация BYOD-устройств, network access enforcement для unmanaged endpoints.Архитектурный нюанс, который тут решает всё: портал по дизайну принимает трафик от клиентов без prior auth state. Это не ошибка конфигурации - это функциональное требование. Guest-сценарии подталкивают портал к untrusted-стороне файрвола, потому что он обязан обрабатывать запросы до момента аутентификации.
Именно этот дизайн делает эксплуатацию уязвимости межсетевого экрана достижимой pre-auth. Memory-safety баг на уязвимой ветке PAN-OS - одна проблема. Memory-safety баг с Response Pages, доступными из интернета - fleet-wide, internet-reachable, unauthenticated path to root. Почувствуйте разницу.
Три условия для эксплуатации:
- Версия PAN-OS на уязвимой ветке (10.2, 11.1, 11.2, 12.1) ниже фиксированной версии
- User-ID Authentication Portal включён в конфигурации устройства
- Response Pages доступны из недоверенной зоны - интернет, партнёрские сети, гостевые сегменты
На LIVEcommunity Palo Alto Networks уже возникла путаница между User-ID Authentication Portal (Captive Portal) и User-ID в настройках зон (Network > Zones > Enable User Identification). Это разные вещи. User-ID в настройках зон (применение mapping-информации в политиках и логах) к этой уязвимости отношения не имеет.
Цепочка эксплуатации: от crafted-пакета до root-шелла
Архитектурная цепочка коротка до неприличия: недоверенный запрос достигает портала → парсер обрабатывает контролируемое атакующим поле в запросе аутентификации → данные записываются за пределы буфера фиксированного размера → повреждается смежная память в worker-процессе Captive Portal → управление передаётся на код атакующего → выполнение продолжается с привилегиями worker-процесса. А worker крутится под root. Вот и всё.Palo Alto Networks и Unit 42 не раскрыли конкретное поле запроса, длину payload и структуру эксплойта. Exploitation primitive - прямой control-flow hijack или staged через heap corruption - остаётся за рамками публичного пространства. По имеющимся публикациям, после первичной компрометации через CVE-2026-0300 атакующие разворачивали open-source tunneling-инструменты и проводили энумерацию Active Directory. Конкретная атрибуция кампании на момент публикации не подтверждена независимыми источниками.
О публичных PoC
На GitHub всплыло несколько репозиториев с заявленными PoC:- p3Nt3st3r-sTAr/CVE-2026-0300-POC - 15 звёзд, обновлён 23 мая 2026
- qassam-315/PAN-OS-User-ID-Buffer-Overflow-PoC - 3 звезды, описан как "research-grade PoC for CWE-787"
- bannned-bit/CVE-2026-0300-PANOS - 1 звезда
Что даёт root на файрволе
Root на PAN-OS файрволе - это позиция на пути каждой аутентифицированной сессии, каждого маршрутизируемого потока и каждого credential, пересекающего периметр. По анализу Kodem Security, успешная эксплуатация позволяет:- Перехватывать и модифицировать трафик в полёте, включая TLS-terminated сессии, где файрвол - точка инспекции
- Собирать credential из User-ID mappings, GlobalProtect сессий, Captive Portal логинов
- Модифицировать конфигурацию: добавлять admin-аккаунты, устанавливать SSH-ключи, ослаблять политики, отключать Threat ID 510019
- Закрепляться через конфигурационные изменения, переживающие перезагрузку и - при необнаруженных модификациях - патч-циклы
- Пивотить на внутреннюю сеть через доверительные отношения файрвола с directory-сервисами, SIEM-forwarders, syslog-destinations
Место CVE-2026-0300 в цепочке атаки на периметр
Эксплуатация CVE-2026-0300 - это Initial Access без предварительных условий. Один HTTP-запрос к открытому Captive Portal конвертируется в root-шелл на edge-устройстве. Дальнейший сценарий строится на TTP, задокументированных для кампаний CL-STA-1132 и аналогичных атак на edge-устройства:| Этап | Действие | MITRE ATT&CK |
|---|---|---|
| Initial Access | Crafted-пакет на Captive Portal | Exploit Public-Facing Application |
| Execution | Out-of-bounds write, arbitrary code as root | Command and Scripting Interpreter |
| Persistence | Admin-аккаунты, SSH-ключи, модификация конфигурации | Account Manipulation |
| Defense Evasion | Зачистка crash-артефактов, отключение детектов | Indicator Removal |
| Discovery | Энумерация AD через trust-связи файрвола | Remote System Discovery |
| Command and Control | Tunneling-инструменты | Proxy (T1090), Protocol Tunneling (T1572) |
| Lateral Movement | Собранные credential для продвижения в сеть | Use Alternate Authentication Material |
Файрвол как relay-точка для C2-трафика - идеальная позиция: NDR/NTA-системы по умолчанию могут не иметь baseline для исходящих соединений от файрвола. Проверьте, покрыт ли этот сегмент правилами. Это слепое пятно, и его надо закрывать явно.
Fingerprinting: проверка экспозиции вашего файрвола
Требования к окружению
- Внешний аудит: Linux с
curlиnmap7.90+, интернет-доступ - Внутренний аудит: CLI-доступ к PAN-OS (SSH) или веб-интерфейс, минимум read-only admin
- Массовая разведка: Shodan/Censys аккаунт; Cortex Xpanse для клиентов Palo Alto автоматизирует обнаружение
Внешняя проверка
Captive Portal PAN-OS отвечает характерными redirect-паттернами и TLS-сертификатами:Decision tree приоритизации
| Проверка | Да | Нет |
|---|---|---|
| PAN-OS 10.2/11.1/11.2/12.1 ниже фикса? | Следующий вопрос | Не уязвим для CVE-2026-0300 |
| Authentication Portal включён? | Следующий вопрос | Не эксплуатируем через этот вектор |
| Response Pages доступны из untrusted? | Экстренное реагирование | Удалённая эксплуатация невозможна, плановый патч обязателен |
Что засветится в SIEM при эксплуатации CVE-2026-0300
Артефакты на устройстве
На основании характеристик уязвимости PAN-OS и TTP постэксплуатации edge-устройств:- Парадоксальный IoC: отсутствие crash-артефактов. Если crash core dumps и записи о падении worker-процесса портала должны быть, но их нет - это сигнал зачистки. Пустота тут красноречивее любого лога
- Следы
ptraceinjection в audit log (если атакующие не успели зачистить) - Нехарактерные SUID-бинарники в файловой системе
- Новые или модифицированные admin-аккаунты и SSH-ключи
- SAML-флуд в логах аутентификации - массовые SAML-запросы за короткий период
Сетевые индикаторы
Tunneling-инструменты инициируют исходящие соединения от файрвола; SOCKS5-паттерны (0x05 0x01) видны только в незашифрованном транспорте. На уровне NDR/NTA мониторьте:- Исходящие TCP-соединения от файрвола к неизвестным внешним IP на высоких портах
- SOCKS5 handshake-паттерны (байты
0x05 0x01) - обнаруживаются только без шифрования; оба инструмента часто оборачивают канал в TLS, поэтому детект строится на anomaly-аналитике: длительные исходящие сессии на нехарактерные destinations - DNS-запросы от файрвола к ранее не наблюдавшимся доменам
IPS и Sigma-правила
Для клиентов с подпиской Advanced Threat Prevention: активируйте соответствующее Anti-Spyware/ATP-правило Palo Alto для CVE-2026-0300 - конкретный Threat ID и минимальную версию content release уточняйте в актуальных content release notes вендора. Нюанс: декодер может требовать PAN-OS 11.1 или выше. Если ваш файрвол на ветке 10.2 - IPS-правило может не поддерживаться, нужен внешний WAF или ограничение доступа.Для постэксплуатационных TTP в SigmaHQ доступны правила: по тегу T1090 (Proxy) - 33 правила, по тегу T1572 (Protocol Tunneling) - 24 правила. Для Linux-окружения PAN-OS наиболее релевантны
net_connection_lnx_ngrok_tunnel.yml и net_connection_lnx_domain_localtonet_tunnel.yml - покрывают общий паттерн исходящего туннелирования от скомпрометированного хоста.Митигация и патчинг: чеклист для передачи сисадмину
Что делать прямо сейчас
Если файрвол эксплуатируем по decision tree выше - не дожидайтесь окна обслуживания:- Ограничьте доступ к User-ID Authentication Portal только доверенными внутренними IP (Step 6 в статье LIVEcommunity Palo Alto Networks)
- Отключите Authentication Portal, если он не используется: Device > User Identification > Authentication Portal Settings > снимите чекбокс Enable Authentication Portal
- Активируйте ATP-правило для CVE-2026-0300 при наличии подписки Advanced Threat Prevention (конкретный Threat ID и content version - см. release notes вендора; требуется PAN-OS 11.1+)
- Блокируйте внешний доступ к интерфейсу портала через security policy
График патчей Palo Alto Networks
| Волна | Дата | Покрытие |
|---|---|---|
| Первая | 13 мая 2026 | Фиксированные версии для 10.2, 11.1, 11.2, 12.1 |
| Вторая | 28 мая 2026 | Дополнительные подветки |
Если патч для вашей подветки ещё не вышел - interim mitigation обязателен. По данным IBM X-Force, среднее время между публикацией CVE и устранением в организации - 29 месяцев. Три дня дедлайна CISA при таком среднем - разрыв, который атакующие используют с комфортом.
Hardening-чеклист
| N | Действие | Как выполнить |
|---|---|---|
| 1 | Проверить версию PAN-OS |
Код:
|
| 2 | Проверить статус Authentication Portal | Device > User Identification > Authentication Portal Settings |
| 3 | Ограничить доступ к порталу | Interface Management Profile: только trusted subnets |
| 4 | Включить ATP-правило для CVE-2026-0300 | Objects > Security Profiles > Anti-Spyware - Threat ID см. content release notes (PAN-OS 11.1+) |
| 5 | Мониторить исходящие от файрвола | NDR: алерт на исходящие TCP к неизвестным IP |
| 6 | Аудит admin-аккаунтов | show admins all, проверить authorized_keys |
| 7 | Обновить PAN-OS | request system software install version <fixed> |
| 8 | Ротация credential | Все учётные данные, проходившие через устройство |
Большинство русскоязычных разборов CVE-2026-0300 останавливаются на пересказе advisory: «обновитесь и ограничьте доступ». Корректно, но проблема глубже. Captive Portal - сервис, который по архитектуре обязан принимать недоверенный трафик до аутентификации. Ограничить его доверенными IP - значит сломать use case, ради которого он существует. Отключить - потерять функциональность. Тупик? Не совсем, но приятного мало.
Это не первый critical RCE в edge-устройствах за 2026 год. Та же CISA KEV содержит CVE-2026-3055 (Citrix NetScaler, CVSS 9.3) и CVE-2026-41940 (cPanel, CVSS 9.3; по данным CISA KEV, используется в ransomware-кампаниях). По данным Mandiant M-Trends 2025, эксплойты остаются самым распространённым вектором initial access - 38% случаев. Вопрос не в том, как быстро накатить патч конкретной CVE. Вопрос - почему в 2026 году memory-safety баги в enterprise-оборудовании всё ещё дают pre-auth root.
PAN-OS работает на Linux, worker-процессы Captive Portal крутятся под root, парсер входящих запросов содержит классический CWE-787. Ни ASLR, ни CFI не помогли. Пока вендоры edge-устройств не перейдут к архитектуре с минимальными привилегиями для сетевых парсеров и memory-safe обработкой недоверенного ввода, мы будем разбирать такие CVE каждый квартал - с другим номером, но тем же сценарием: один пакет, root, три дня на патч. Проверьте свой файрвол по decision tree из раздела выше. Если Authentication Portal торчит наружу на уязвимой версии - у вас та же проблема, и она не ждёт окна обслуживания.
