6 мая 2026 года CISA добавила CVE-2026-0300 в каталог Known Exploited Vulnerabilities. Дедлайн на устранение - 9 мая. Три дня. Решение SSVC - Act: эксплуатация активна, атака автоматизируема, technical impact - total. EPSS-скор 0.1443 (14.4% вероятность эксплуатации в ближайшие 30 дней), percentile 94.49% - это топ-6% всех CVE по риску. На AlienVault OTX - 18 threat-intel пульсов. Если у вас PA-Series или VM-Series с включённым Captive Portal, смотрящим наружу, - дальше про ваш файрвол.
Анатомия CVE-2026-0300: out-of-bounds write в User-ID Authentication Portal
CVE-2026-0300 - buffer overflow типа CWE-787 (Out-of-bounds Write) в сервисе User-ID Authentication Portal (Captive Portal) операционной системы PAN-OS. По данным NVD, уязвимость позволяет неаутентифицированному атакующему выполнить произвольный код с root-привилегиями на файрволах PA-Series и VM-Series - достаточно отправить специально сформированные сетевые пакеты.CVSS 4.0 вектор от CNA (Palo Alto Networks):
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:N/E:A/AU:Y/R:U/V:C/RE:M/U:Red - итоговый скор 9.3 CRITICAL. NVD дополнительно даёт CVSS 3.1 вектор AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.Разбор ключевых компонентов вектора:
| Компонент | Значение | Что это значит |
|---|---|---|
| AV:N | Network | Эксплуатация удалённо по сети |
| AC:L | Low | Низкая сложность, нет race condition |
| PR:N | None | Привилегии не нужны, атака pre-auth |
| UI:N | None | Действие пользователя не требуется |
| VC:H / VI:H / VA:H | High | Полный контроль: конфиденциальность, целостность, доступность |
| E:A | Attacked | Эксплуатация подтверждена in the wild |
| AU:Y | Automatable | Атака автоматизируема |
| R:U | User recovery | Восстановление - только вручную |
| U:Red | Urgency Red | Максимальная срочность |
Цепочка эксплуатации короткая и злая: недоверенный запрос достигает портала, парсер записывает контролируемые атакующим байты за пределы фиксированного буфера, управление передаётся на код атакующего, выполнение продолжается с привилегиями процесса Captive Portal worker - а это root. По публичным отчётам [требует верификации источника], уязвимый код обрабатывает контролируемое атакующим поле во входящем запросе аутентификации и пишет за границы буфера фиксированного размера, повреждая смежную память в worker-процессе.
Palo Alto Networks и Unit 42 не раскрыли конкретное поле запроса, длину payload и структуру эксплойта. Exploitation primitive - прямой hijack control flow или staged через heap corruption - тоже за рамками публичного пространства. На GitHub появились research-grade PoC (в том числе qassam-315/PAN-OS-User-ID-Buffer-Overflow-PoC), но с 1–4 звёздами и без независимого подтверждения работоспособности. Относитесь к ним как к потенциально weaponized - не запускайте в продуктивной инфре. Серьёзно.
Prisma Access, Cloud NGFW и Panorama не затронуты. Отдельный момент для OT-инфраструктур: устройства сторонних производителей на PAN-OS потенциально тоже в зоне риска, но на момент публикации NVD affected products включает только paloaltonetworks
an-os. Для конкретных OT-платформ сверяйтесь с advisory соответствующих производителей.Поверхность атаки: почему Captive Portal доступен без аутентификации
User-ID Authentication Portal (Captive Portal) - сервис PAN-OS, который перехватывает неаутентифицированные HTTP/HTTPS-сессии в настроенной зоне и перенаправляет пользователей на страницу логина. Типичные сценарии: guest Wi-Fi onboarding, BYOD-аутентификация, network access enforcement для unmanaged endpoints.И вот тут самое неприятное. Портал по дизайну принимает трафик от клиентов без предварительного состояния аутентификации. Это не баг конфигурации - это архитектурное решение. Типовые паттерны развёртывания подталкивают портал к untrusted-стороне файрвола, потому что он обязан принимать трафик от клиентов без prior auth state. Именно этот дизайн делает CVE-2026-0300 достижимой pre-auth. Reachability превращает memory-safety баг в fleet-wide, internet-reachable, unauthenticated path to root.
По публичным рекомендациям [требует верификации источника], три проверки определяют эксплуатируемость конкретного устройства:
- User-ID Authentication Portal включён в конфигурации устройства
- Портал привязан к интерфейсу в зоне, принимающей трафик от недоверенной сети
- Response Pages доступны из недоверенной зоны - интернет, партнёрские сети, гостевые сегменты
Патчи и затронутые версии
Palo Alto Networks выпускает фиксы для PA-Series и VM-Series [согласно соответствующему PAN-SA advisory - сверьтесь с актуальным документом для точных дат и затронутых веток PAN-OS]. Если патч для вашей ветки ещё не вышел - interim mitigation обязателен. Ждать патча без workaround - недопустимо.Типичный сценарий постэксплуатации edge-устройств через CVE-2026-0300
CISA KEV подтверждает активную эксплуатацию CVE-2026-0300 in the wild. Ниже - гипотетический, но реалистичный сценарий постэксплуатации, собранный из известных TTPs атак на edge-устройства (по аналогии с ранее задокументированными кампаниями против PAN-OS, Fortinet, Ivanti). Конкретные кампании и группировки, эксплуатирующие именно CVE-2026-0300, на момент публикации не подтверждены независимыми источниками.Fingerprinting: проверка экспозиции
Требования к окружению
Для внешнего аудита: Linux с curl и nmap 7.90+, интернет-доступ. Для внутреннего: CLI-доступ к PAN-OS (SSH) или веб-интерфейс.Внешняя проверка: Captive Portal PAN-OS отвечает характерными redirect-паттернами.
curl -skv https://<target> 2>&1 | grep -i 'palo\|panw' - при дефолтных self-signed сертификатах наличие характерного TLS-сертификата или заголовков подтверждает доступность устройства. На production-устройствах с пользовательскими сертификатами команда даст false negatives - опирайтесь на HTTP-ответы Authentication Portal (redirect-паттерны, формы логина) и Shodan/Censys fingerprints. Конкретный URL endpoint Captive Portal зависит от версии PAN-OS - сверьтесь с документацией Palo Alto Networks. Для массовой разведки: Shodan-запрос по характерным HTTP-ответам Authentication Portal или Censys-поиск по TLS-сертификатам. Cortex Xpanse автоматизирует обнаружение для клиентов Palo Alto.Внутренняя проверка через CLI PAN-OS:
Код:
show system info | match "sw-version"
show authentication-portal statistics
show running authentication-policyЧто засветится в SIEM при эксплуатации CVE-2026-0300
Артефакты на устройстве
На основании типичных TTPs постэксплуатации edge-устройств и характеристик CVE-2026-0300:- Отсутствие crash-артефактов в ожидаемых директориях. Парадоксальный IoC: если crash core dumps и crash entries worker-процесса портала должны быть, но их нет - это сигнал зачистки. Пустота тут красноречивее любого лога.
- Следы ptrace injection в audit log (если атакующие не успели зачистить)
- Нехарактерные SUID-бинарники в файловой системе
- Новые или модифицированные admin-аккаунты и SSH-ключи
- SAML-флуд в логах аутентификации - массовые SAML-запросы за короткий период перед переключением HA-пары
- Отсутствие ожидаемых crash-артефактов worker-процесса Authentication Portal
Сетевые индикаторы
EarthWorm и ReverseSocks5 создают исходящие SOCKS5-соединения от файрвола. На уровне NDR/NTA мониторьте: исходящие TCP-соединения от файрвола к неизвестным внешним IP на высоких портах, SOCKS5 handshake-паттерны (байты0x05 0x01 - обнаруживаются только в незашифрованном транспорте; оба инструмента часто оборачивают канал в TLS, поэтому детект строится на anomaly-аналитике: длительные исходящие сессии, нехарактерные destinations) в трафике от management-интерфейса, DNS-запросы от файрвола к ранее не наблюдавшимся доменам.IPS-правило и Sigma
Для клиентов с подпиской Advanced Threat Prevention: Threat ID из соответствующего content release Palo Alto Networks (см. актуальный PAN-SA advisory для точного номера и версии контента) блокирует попытки эксплуатации CVE-2026-0300 на сетевом уровне. Ограничение: по имеющимся данным, декодер может работать только на определённых ветках PAN-OS - сверьтесь с advisory.Для постэксплуатационных TTPs в SigmaHQ доступно 33 правила по тегу T1090 (Proxy) и 24 правила по T1572 (Protocol Tunneling). Для Linux-окружения PAN-OS релевантны
net_connection_lnx_ngrok_tunnel.yml и net_connection_lnx_domain_localtonet_tunnel.yml - покрывают общий паттерн исходящего туннелирования. EarthWorm с его кастомным протоколом поверх SOCKS5 потребует отдельного правила - готового в SigmaHQ нет.Митигация: decision tree и приоритизация
Код:
Устройство PA-Series / VM-Series?
├── Нет → Не затронуто (Prisma Access, Cloud NGFW, Panorama)
└── Да → User-ID Authentication Portal включён?
├── Нет → Не эксплуатируемо (но обновление обязательно)
└── Да → Response Pages доступны из untrusted зоны?
├── Нет → Низкий риск, плановое обновление
└── Да → КРИТИЧНО:
1. Ограничить доступ к порталу trusted зонами
2. Отключить Response Pages на untrusted-интерфейсах
3. Включить соответствующий Threat ID из advisory Palo Alto
(проверить совместимость с версией PAN-OS)
4. Обновиться
5. Считать устройство скомпрометированным:
→ аудит конфигурации vs known-good baseline
→ ротация ВСЕХ credentials через устройство
→ проверка SSH-ключей и admin-аккаунтов
→ поиск IoC по таймлайну активной эксплуатации
(с момента раскрытия CVE)Для контекста: по данным IBM X-Force Threat Intelligence Index 2025, среднее время между публикацией CVE и устранением в организациях - 29 месяцев. Для CVE-2026-0300 CISA дала три дня. Разрыв - два порядка.
Unit 42 за пять лет фиксирует устойчивый тренд: state-sponsored группировки всё активнее целятся в edge-устройства - файрволы, маршрутизаторы, VPN-шлюзы, гипервизоры. Эти активы дают высокопривилегированный доступ, при этом на них редко ставят EDR-агенты, а полноценное логирование - скорее исключение. Описанный сценарий постэксплуатации - не аномалия, а типичный паттерн. Mandiant M-Trends 2025 подтверждает: exploits - основной вектор initial access (38% случаев в 2024 году).
Ставка APT-группировок на open-source инструментарий вместо проприетарного malware - осознанный выбор. EarthWorm и ReverseSocks5 минимизируют сигнатурное обнаружение и создают attribution-дилемму: те же утилиты легитимно используют сисадмины. Если ваш SOC строит детектирование на IOC-фидах и хешах известного malware - зацепиться будет не за что. Behavioral detection и baseline deviation для сетевого оборудования - единственный рабочий подход. Но на практике мало кто мониторит поведенческий профиль файрвола с тем же вниманием, что профиль рабочей станции.
CVE-2026-0300 выделяется не техническим примитивом - buffer overflow на edge-устройствах случался и раньше. Выделяется контекст: компонент, который by design обязан принимать untrusted-трафик, при AU:Y (automatable) и нулевых требованиях к привилегиям. Рецепт массовой эксплуатации, и CISA SSVC решение Act с пометкой automatable:yes это подтверждает. Прогноз на ближайшие месяцы: copycat-атаки от менее дисциплинированных группировок. Действовать будут грубее, оставлять больше артефактов, но ущерб от этого не станет меньше. Кто до сих пор не выстроил baseline поведения для своих edge-устройств - будет учиться на собственных инцидентах. Если хочется разобрать out-of-bounds write руками - pwn-категория на HackerLab.pro позволяет потренировать этот примитив без рисков для чужой инфраструктуры.
