225 тысяч интернет-доступных инстансов PAN-OS по данным Rapid7 через Shodan. К любому из них с включённым User-ID Authentication Portal хватает одного неаутентифицированного HTTP-запроса для root-шелла. Один запрос - и файрвол твой. 6 мая 2026 года Palo Alto Networks раскрыла CVE-2026-0300, а CISA в тот же день закинула её в KEV с дедлайном 9 мая - три дня на реагирование. SSVC-вердикт: Act. Эксплуатация активна, атака автоматизируема, technical impact - total. Unit 42 атрибутировал наблюдаемую эксплуатацию группировке CL-STA-1132, предположительно связанной с государственным актором. Ниже - полный разбор от механики переполнения до конкретных IOC и Sigma-правил, с фокусом на то, что пригодится при пентесте и incident response на реальной инфраструктуре с PA-серией на периметре.
Анатомия CVE-2026-0300: CWE-787 в обработчике запросов Captive Portal
CVE-2026-0300 - out-of-bounds write (CWE-787) в сервисе User-ID Authentication Portal (Captive Portal) PAN-OS. По описанию NVD, уязвимость позволяет неаутентифицированному атакующему выполнить произвольный код с root-привилегиями на файрволах PA-Series и VM-Series путём отправки специально сформированных пакетов.CVSS 4.0 от CNA (Palo Alto Networks) - 9.3 CRITICAL:
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:N/E:A/AU:Y/R:U/V:C/RE:M/U:RedРазбор ключевых компонентов вектора:
| Компонент | Значение | Что это значит на практике |
|---|---|---|
| AV:N | Network | Эксплуатация по сети, физический доступ не нужен |
| AC:L, AT:N | Low / None | Сложная подготовка и особые условия не требуются |
| PR:N, UI:N | None / None | Ни аутентификации, ни действий пользователя |
| VC:H / VI:H / VA:H | High | Полная компрометация конфиденциальности, целостности, доступности |
| SC:L / SI:L | Low | Ограниченное влияние на смежные системы (через сам файрвол - уже другая история) |
| E:A | Active | Подтверждённая эксплуатация in the wild |
| AU:Y | Automatable | Атака скриптуется без ручного взаимодействия |
EPSS на 22 мая 2026 года - 0.0435 (4.35% вероятность эксплуатации в ближайшие 30 дней), percentile 0.8905, то есть выше ~89% всех CVE в базе. На AlienVault OTX к тому моменту набралось 27 threat-intel пульсов, каждый с тегом actively_exploited_kev.
Механика overflow: что известно и что нет
По данным Palo Alto Networks и исследованиям Kodem Security, уязвимый код сидит в пути обработки входящих запросов аутентификации (authentication request handling path) Captive Portal. Парсер берёт контролируемое атакующим поле во входящем запросе и пишет данные за пределы буфера фиксированного размера, повреждая смежную память в worker-процессе.Цепочка короткая: недоверенный запрос → парсер пишет контролируемые байты за границы буфера → control transfer на код атакующего → исполнение с привилегиями worker-процесса, который работает как root.
Конкретное поле запроса, длина payload и структура эксплойта не опубликованы ни Palo Alto Networks, ни Unit 42. Exploitation primitive - прямой control-flow hijack или staged через heap corruption - тоже за рамками публичного пространства. На GitHub появились PoC-репозитории (p3Nt3st3r-sTAr/CVE-2026-0300-POC с 15 звёздами, qassam-315/PAN-OS-User-ID-Buffer-Overflow-PoC с 3 звёздами), но ни один не получил независимого подтверждения работоспособности. Относитесь к ним как к потенциально weaponized - не запускайте вне изолированной лаборатории.
Prisma Access, Cloud NGFW и Panorama не затронуты. Уязвимость присутствует исключительно в PA-Series и VM-Series.
Поверхность атаки: почему PAN-OS zero-day эксплуатируется pre-auth
User-ID Authentication Portal (Captive Portal) - сервис PAN-OS, перехватывающий неаутентифицированные HTTP/HTTPS-сессии в настроенной зоне и перенаправляющий пользователей на страницу логина. Типовые сценарии: guest Wi-Fi onboarding, BYOD-аутентификация, network access enforcement для unmanaged endpoints.Архитектурная деталь, которая делает CVE-2026-0300 такой злой: портал по дизайну принимает трафик от клиентов без prior auth state. Типовые паттерны развёртывания подталкивают портал к untrusted-стороне файрвола - и это не ошибка конфигурации, а архитектурное решение. Именно reachability превращает memory-safety баг в fleet-wide, internet-reachable, unauthenticated path to root.
Три проверки на эксплуатируемость конкретного устройства
Устройство уязвимо через CVE-2026-0300 только при выполнении всех трёх условий:- Версия PAN-OS на затронутой ветке (10.2, 11.1, 11.2, 12.1) ниже пропатченной
- User-ID Authentication Portal включён в конфигурации
- Response Pages доступны из недоверенной зоны - интернет, партнёрские сети, гостевые сегменты
Место в kill chain: от Exploit Public-Facing Application до полного контроля
Для пентестера тут важен не только сам buffer overflow, а вся цепочка, которую он открывает. Root на файрволе - не конечная точка, а плацдарм. По данным BlackSwan Cybersecurity и Rapid7, наблюдаемая эксплуатация CVE-2026-0300 группировкой CL-STA-1132 укладывается в следующую цепочку, маппированную на MITRE ATT&CK:| Этап | MITRE ATT&CK | Описание |
|---|---|---|
| Initial Access | Exploit Public-Facing Application (T1190) | Buffer overflow в Captive Portal, shellcode injection в nginx worker |
| Privilege Escalation | Exploitation for Privilege Escalation (T1068) | Процесс уже root - повышение привилегий как следствие эксплуатации |
| Defense Evasion | Indicator Removal (T1070) | Зачистка crash logs, core dumps, audit-записей ptrace, nginx crash entries |
| Discovery | Account Discovery (T1087) | AD-enumeration через service account credentials файрвола - запросы к domain root и DomainDnsZones |
| Command & Control | Proxy (T1090) / Protocol Tunneling (T1572) | Развёртывание EarthWorm и ReverseSocks5 для SOCKS5-туннелирования |
| Lateral Movement | Через SOCKS-туннели и port forwarding | Пивотирование во внутреннюю сеть с использованием trust relationships файрвола |
Что даёт root на файрволе Palo Alto
По исследованию Kodem Security, root на PAN-OS позволяет атакующему:- Перехватывать и модифицировать трафик на лету, включая TLS-terminated сессии, где файрвол - точка инспекции
- Собирать credentials из User-ID mappings, GlobalProtect-сессий, логинов Captive Portal и кешированного auth state
- Модифицировать конфигурацию - добавлять admin-аккаунты, ставить SSH-ключи, ослаблять policy rules, отключать threat detections (включая Threat ID 510019)
- Закрепляться через configuration-level изменения, переживающие перезагрузки и - при незамеченной постэксплуатации - даже обновления PAN-OS
- Пивотировать через существующие trust relationships с directory services, SIEM, syslog и management plane
Fingerprinting: проверяем экспозицию Palo Alto firewall RCE
Требования к окружению
Для внешнего аудита: Linux сcurl и nmap 7.90+, интернет-доступ. Для внутреннего: CLI-доступ к PAN-OS (SSH) или веб-интерфейс. Для массовой разведки: аккаунт Shodan/Censys.Внешняя проверка
Captive Portal PAN-OS отвечает характерными redirect-паттернами и TLS-сертификатами. Базовая проверка:
Bash:
# Проверка наличия характерных заголовков/сертификатов PAN-OS
curl -skv https://<target> 2>&1 | grep -i 'palo\|panw'
# Для массовой разведки: Shodan по HTTP-ответам Authentication Portal
# Censys: TLS-сертификаты с характерными полями Palo Alto
# Cortex Xpanse - автоматизированное обнаружение для клиентов PAcurl по дефолтным полям даст false negatives. Конкретный URL endpoint Captive Portal зависит от версии PAN-OS - сверяйтесь с документацией вендора.Внутренняя проверка через CLI PAN-OS
Код:
show system info | match "sw-version"
show authentication-portal statistics
show running authentication-policysw-version ниже пропатченной + ненулевая статистика Authentication Portal + policy с привязкой к untrusted-зоне = устройство в зоне риска.IOC и постэксплуатационные TTPs группировки CL-STA-1132
По данным threat brief Unit 42 и advisory BlackSwan Cybersecurity, группировка CL-STA-1132 (предположительно state-sponsored) использует следующие индикаторы после эксплуатации CVE-2026-0300.Детект эксплуатации buffer overflow в межсетевом экране: Sigma-правила и IPS
IPS-сигнатура Palo Alto
Для клиентов с подпиской Advanced Threat Prevention: Threat ID 510019 из content version 9097-10022 блокирует попытки эксплуатации CVE-2026-0300 на сетевом уровне. Декодер требует PAN-OS 11.1 или новее - на более ранних ветках сигнатура не работает. Для парков на 10.2 это больное место.Сетевая аналитика (NDR/NTA)
EarthWorm и ReverseSocks5 создают исходящие SOCKS5-соединения от файрвола. На уровне NDR мониторьте:- Исходящие TCP-соединения от файрвола к ранее не наблюдавшимся внешним IP на высоких портах
- SOCKS5 handshake-паттерны (байты
0x05 0x01) - обнаруживаются только в незашифрованном транспорте; оба инструмента часто оборачивают канал в TLS, так что детект строится на anomaly-аналитике: длительные исходящие сессии, нехарактерные destinations - DNS-запросы от файрвола к ранее не наблюдавшимся доменам
- Нехарактерные admin-аккаунты и SSH-ключи, появившиеся без correlating change ticket
Sigma-правила для постэксплуатационных TTPs
В SigmaHQ доступно 33 правила по тегу T1090 (Proxy) и 24 правила по T1572 (Protocol Tunneling). Для Linux-окружения PAN-OS наиболее релевантны:net_connection_lnx_ngrok_tunnel.yml- покрывает общий паттерн исходящего туннелирования из Linuxnet_connection_lnx_domain_localtonet_tunnel.yml- детект обращений к tunnel-сервисам
Ограничения детекта
Тут надо быть честным: если атакующий с root на файрволе захочет спрятать туннель - стандартные средства мониторинга, работающие на самом файрволе, ему не помешают. Он их просто выключит или подправит. Детект должен строиться на внешних по отношению к скомпрометированному устройству источниках: NetFlow с коммутаторов, зеркалирование трафика, SIEM с корреляцией, NDR на отдельном аплайнсе. Полагаться на логи самого файрвола после подтверждённой компрометации - ошибка, которую я видел не раз.Патчи, workaround и чеклист реагирования на zero-day firewall уязвимость
Затронутые версии и график патчей
Уязвимость затрагивает четыре ветки PAN-OS: 10.2, 11.1, 11.2, 12.1. По данным Palo Alto Networks и HelpNetSecurity, патчи выходят в два этапа:| Волна | Дата | Примеры версий |
|---|---|---|
| Первая | 13 мая 2026 | 12.1.4-h5, 11.2.7-h13, 11.2.10-h6, 11.1.4-h33, 11.1.6-h32, 11.1.10-h25, 11.1.13-h5, 10.2.10-h36, 10.2.18-h6 |
| Вторая | 28 мая 2026 | 12.1.7, 11.2.4-h17, 11.2.12, 11.1.7-h6, 11.1.15, 10.2.7-h34, 10.2.13-h21, 10.2.16-h7 |
Workaround до патча
Два варианта interim mitigation по рекомендациям вендора:- Ограничить доступ к Captive Portal - разрешить обращения только из trusted internal зон (Step 6 из Live Community article + Knowledgebase article для инструкций по ограничению)
- Отключить портал полностью, если он не нужен: Device → User Identification → Authentication Portal Settings → снять галку Enable Authentication Portal
Чеклист реагирования
Нумерованный, готовый к включению в отчёт или передаче администратору:- Определить все PA-Series и VM-Series в инфраструктуре с помощью CMDB или
show system info | match "model"через CLI - Для каждого устройства проверить: версия PAN-OS (затронутая ветка?), статус Authentication Portal (включён?), reachability из untrusted зон (Response Pages доступны?)
- Устройства, где все три условия - «да»: немедленный workaround (ограничение доступа или отключение портала)
- Включить Threat ID 510019 на устройствах с PAN-OS 11.1+ и content version 9097-10022+
- Проверить IOC из таблицы выше: обращения к C2 IP, наличие файлов в
/var/tmp/linux*,/tmp/R5,/var/R5 - Проверить отсутствие crash-артефактов worker-процесса Authentication Portal (парадоксальный IoC)
- Аудит admin-аккаунтов и SSH-ключей на всех потенциально затронутых устройствах
- Ротация credentials: service accounts, GlobalProtect сессии, User-ID mappings
- Применить патч первой волны (13 мая) или второй волны (28 мая) в зависимости от ветки PAN-OS
- После патча - продолжить ограничение доступа к Captive Portal только trusted IP (best practice навсегда, не только на время инцидента)
Decision tree: приоритизация реагирования
| Условие | Действие | Срочность |
|---|---|---|
| Портал включён + доступен из интернета + версия уязвима | Workaround немедленно + IOC-проверка + патч ASAP | Экстренная (часы) |
| Портал включён + доступен из партнёрской/гостевой сети + версия уязвима | Workaround в течение дня + IOC-проверка | Высокая (1 день) |
| Портал включён + доступен только из trusted зоны + версия уязвима | Патч в штатном порядке, включить Threat ID 510019 | Средняя (неделя) |
| Портал выключен + версия уязвима | Патч в плановом цикле | Низкая (по расписанию) |
Рекуррентный паттерн zero-day в edge-устройствах - файрволах, VPN-шлюзах, NGFW - не случайность. По данным Mandiant M-Trends 2025, exploits остаются наиболее распространённым вектором initial access (38% инцидентов), а IBM X-Force отмечает среднее время между публикацией CVE и устранением в организации - 29 месяцев. CVE-2026-0300 вписывается в тот же паттерн, что и предыдущие кампании против edge-устройств: государственный актор, pre-auth RCE, root на аплайнсе, тихое закрепление, пивотирование через trust relationships.
Мой опыт с разбором бинарников PAN-OS через Ghidra показывает, что проблема глубже конкретной CVE. Файрволы - единственный класс устройств, которые одновременно стоят на периметре, работают от root, обрабатывают недоверенный ввод из интернета и при этом пользуются безусловным доверием всей внутренней инфраструктуры. Directory services, SIEM, syslog-коллекторы - ни один из них не рассматривает файрвол как возможный источник атаки. Патч закроет конкретный buffer overflow, но не изменит архитектурную модель, где единственный аплайнс с memory-safety багом в парсере HTTP - ключ ко всему домену.
Если вы занимаетесь пентестом инфраструктур с PA-серией на периметре - включайте проверку Captive Portal exposure в стандартный чеклист внешней разведки. Не только ради этого CVE, а как постоянный элемент методологии. На WAPT эту связку «edge-device → pivot → AD» разбирают в модуле по сетевому пентесту с лабами на реальной топологии.
