По данным Shodan и Censys, десятки тысяч инстансов PAN-OS торчат наружу - одна из крупнейших attack surface среди enterprise-файрволов. И вот в этой attack surface появилась дыра размером с грузовик. CVE-2026-0300 - pre-auth out-of-bounds write (CWE-787) в Captive Portal PAN-OS. Неаутентифицированный атакующий получает выполнение произвольного кода с привилегиями root на PA-Series и VM-Series файрволах. Ни учётных данных, ни взаимодействия с пользователем - один пакет, и файрвол ваш. CISA добавила уязвимость в каталог Known Exploited Vulnerabilities в тот же день с дедлайном 9 мая - три дня на реагирование. Решение SSVC: Act. Эксплуатация активна, автоматизируема, technical impact - total. Дальше разбираем механику, fingerprinting, постэксплуатационные TTPs и детект.
Анатомия CVE-2026-0300: CWE-787 в парсере User-ID Authentication Portal
CVE-2026-0300 - переполнение буфера типа CWE-787 (Out-of-bounds Write) в сервисе User-ID Authentication Portal, он же Captive Portal. По данным NVD и advisory Palo Alto Networks, уязвимость позволяет неаутентифицированному атакующему выполнить произвольный код с root-привилегиями, отправив специально сформированные пакеты на PA-Series и VM-Series файрволы.CWE-787 по классификации MITRE - категория Memory-Unsafe языков: C, C++, Assembly. PAN-OS - embedded Linux, worker-процессы Captive Portal написаны на C/C++ и крутятся с root-привилегиями. Ничего экзотичного - стандартная архитектура enterprise-appliances, где memory-safety баги по-прежнему конвертируются в RCE. В 2026 году. Ну ок.
CVSS-вектор и разбор компонентов
CVSS 4.0 от CNA (Palo Alto Networks):CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:N/E:A/AU:Y/R:U/V:C/RE:M/U:RedИтоговый скор: 9.3 CRITICAL. NVD дополнительно рассчитал CVSS 3.1:
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.Ключевые компоненты вектора:
| Компонент | Значение | Что означает |
|---|---|---|
| AV:N | Network | Удалённая эксплуатация по сети |
| AC:L / AT:N | Low / None | Низкая сложность, нет дополнительных условий |
| PR:N / UI:N | None / None | Не нужны ни креды, ни действия пользователя |
| VC:H / VI:H / VA:H | High | Полная компрометация CIA на целевой системе |
| SC:L / SI:L | Low | Ограниченное воздействие на downstream-системы |
| E:A | Attacked | Подтверждённая эксплуатация in the wild |
| AU:Y | Automatable | Атака поддаётся автоматизации |
| R:U | Unreported | Remediation ещё не завершён |
| U:Red | Urgency: Red | Критическая срочность реагирования |
EPSS на 22 мая 2026 года (данные FIRST.org): 0.0435 (4.35% вероятность эксплуатации в ближайшие 30 дней), percentile 89.05% - уязвимость в топ-11% всех CVE по риску. На AlienVault OTX зафиксировано 27 threat-intel пульсов, каждый с тегом
actively_exploited_kev.Затронутые продукты
Уязвимы поддерживаемые ветки PAN-OS на PA-Series и VM-Series (точный перечень затронутых версий - в advisory Palo Alto Networks).Не затронуты: Prisma Access, Cloud NGFW и Panorama.
Патчи выпускаются по мере готовности для затронутых веток (актуальные даты и версии - в advisory Palo Alto Networks).
Поверхность атаки: почему Captive Portal - pre-auth вектор к root
User-ID Authentication Portal (Captive Portal) - сервис PAN-OS, перехватывающий неаутентифицированные HTTP/HTTPS-сессии в настроенной зоне и перенаправляющий пользователей на страницу входа. Типичные сценарии: guest Wi-Fi onboarding, BYOD-аутентификация, network access enforcement для unmanaged endpoints.Архитектурный нюанс, из-за которого всё и горит: портал по дизайну принимает трафик от клиентов без предварительного состояния аутентификации. Это не misconfiguration - это intended behavior. Типовые паттерны развёртывания подталкивают портал к untrusted-стороне файрвола, потому что он обязан принимать трафик от клиентов без prior auth state. Именно этот дизайн делает CVE-2026-0300 достижимой pre-auth: уязвимая ветка PAN-OS сама по себе - memory-safety баг, но уязвимая ветка с Response Pages, доступными из untrusted-сетей - fleet-wide, internet-reachable, unauthenticated path to root.
Цепочка атаки выглядит до обидного коротко:
- Recon: Shodan/Censys - обнаружение PAN-OS Captive Portal
- Exploitation: один crafted пакет - out-of-bounds write - code execution as root
- Post-exploitation: root на файрволе = перехват транзитного трафика, credential harvesting, lateral movement во внутреннюю сеть
[Применимо: внешний пентест при exposed Captive Portal; для внутреннего пентеста из trusted-зоны портал обычно не доступен - по дизайну он смотрит в untrusted-сегмент]
Три проверки эксплуатируемости
По данным advisory Palo Alto Networks, устройство уязвимо через CVE-2026-0300 только при одновременном выполнении трёх условий:- Версия PAN-OS на уязвимой ветке (10.2, 11.1, 11.2, 12.1) ниже фиксированной
- User-ID Authentication Portal включён в конфигурации
- Response Pages доступны из недоверенной зоны - интернет, гостевые сегменты, партнёрские сети
Recon и fingerprinting: определяем экспозицию до эксплуатации
Требования к окружению
Для внешнего аудита: Linux сcurl и nmap 7.90+, интернет-доступ. Для внутреннего - SSH-доступ к PAN-OS CLI или веб-интерфейс управления.Внешняя проверка
Captive Portal PAN-OS отвечает характерными redirect-паттернами и TLS-сертификатами:Механика эксплуатации: что известно и что скрыто
Публичная картина примитива
По данным advisory Palo Alto Networks, уязвимый код - в request handling path User-ID Authentication Portal. Парсер обрабатывает контролируемое атакующим поле во входящем запросе аутентификации и записывает данные за границы буфера фиксированного размера, повреждая смежную память в Captive Portal worker-процессе.Архитектурная цепочка коротка до неприличия:
- Недоверенный запрос достигает портала
- Парсер записывает контролируемые атакующим байты за пределы intended buffer
- Управление передаётся на код атакующего
- Выполнение продолжается с привилегиями Captive Portal worker - root
Публичные PoC: оценка рисков
На GitHub появились research-grade PoC-репозитории:| Репозиторий | Звёзды | Последнее обновление | Примечание |
|---|---|---|---|
| p3Nt3st3r-sTAr/CVE-2026-0300-POC | 15 | 2026-05-23 | Наибольшая активность |
| qassam-315/PAN-OS-User-ID-Buffer-Overflow-PoC | 3 | 2026-05-10 | Заявлен как research-grade для CWE-787 |
| bannned-bit/CVE-2026-0300-PANOS | 1 | 2026-05-12 | Минимальная активность |
Ни один из этих PoC не имеет независимого подтверждения работоспособности. Относитесь к ним как к потенциально weaponized: не запускайте в продуктивной инфре, не загружайте на рабочие станции без изолированного окружения. Любой reverse-engineered PoC, опубликованный до завершения обеих волн патчей, стоит рассматривать как потенциально weaponized - и как forcing function для ускорения реагирования. (На практике половина таких PoC - просто crash-тригер без полноценного RCE, но проверять это на своём файрволе я бы не стал.)
Ограничения эксплуатации
CVE-2026-0300 - не волшебная кнопка «нажми и получи root»:- Портал должен быть включён и доступен из вашей сети - три проверки выше
- На разных ветках PAN-OS бинарники Captive Portal могут отличаться по адресному пространству и компоновке - offset'ы не универсальны между ветками
- ASLR на PAN-OS (embedded Linux) может потребовать info leak или brute force для обхода, если рандомизация включена на конкретной версии
- Palo Alto публикует Threat Prevention сигнатуру для CVE-2026-0300 (конкретный Threat ID и минимальная content version - в advisory вендора) - при активированной подписке Advanced Threat Prevention она блокирует известные паттерны эксплуатации на сетевом уровне
Постэксплуатация: root на периметровом файрволе
Root на PAN-OS файрволе - это не «ещё один хост». Файрвол стоит в пути каждого аутентифицированного сеанса, каждого маршрутизируемого потока и каждой учётной записи, пересекающей периметр. Успешная эксплуатация CVE-2026-0300 открывает атакующему:- Перехват и модификацию трафика в реальном времени - включая TLS-terminated сессии, plaintext-аутентификацию и management-протоколы
- Credential harvesting - User-ID маппинги, GlobalProtect сессии, кэшированные Captive Portal логины и всё аутентификационное состояние на устройстве
- Модификацию конфигурации - добавление admin-аккаунтов, установка SSH-ключей, ослабление policy rules, отключение детекций (включая Threat Prevention сигнатуры), открытие inbound-путей во внутреннюю сеть
- Persistence - конфигурационные изменения переживают перезагрузку и, при необнаружении, патч-циклы
- Lateral movement - через trust relationships файрвола с Active Directory, SIEM-форвардерами, syslog-получателями и management plane'ами. Ни одна из downstream-систем не рассматривает файрвол как потенциальный источник вредоносного трафика. А зря.
Атрибуция и наблюдаемые TTPs
6 мая 2026 года CVE-2026-0300 была добавлена в CISA KEV на основании evidence of active exploitation. Конкретная атрибуция и детальные TTPs постэксплуатации на момент публикации не подтверждены независимыми источниками. Гипотетически - на основании общего паттерна для compromised edge-appliances - возможны:- Развёртывание туннелирующих инструментов для C2
- AD enumeration через trust relationships файрвола
- Proxy (T1090, Command and Control) - прокси-инструменты для маскировки C2-трафика через скомпрометированный файрвол
- Protocol Tunneling (T1572, Command and Control) - туннелирование через нестандартные протоколы для exfiltration и управления
Remediation: апгрейд недостаточен
Любой PA-Series или VM-Series файрвол, работавший с уязвимым, внешне доступным Captive Portal в период между раскрытием и патчем, нельзя очистить одним обновлением PAN-OS. Обязательны: аудит конфигурации против known-good baseline, ротация всех учётных данных, проходивших через устройство, и проверка целостности admin-аккаунтов и SSH-ключей. Если обновились и успокоились - считайте, что не обновлялись.Детектирование: что ловить в SIEM и на NDR
Сетевые индикаторы
Типичные постэксплуатационные туннелирующие инструменты создают исходящие SOCKS5-соединения от файрвола. На уровне NDR/NTA мониторьте:- Исходящие TCP-соединения от файрвола к неизвестным внешним IP на высоких портах
- SOCKS5 handshake-паттерны (байты
0x05 0x01) - детектируются только в незашифрованном транспорте. Оба инструмента часто оборачивают канал в TLS, поэтому детект строится на anomaly-аналитике - DNS-запросы от файрвола к ранее не наблюдавшимся доменам
- Длительные исходящие сессии с нехарактерными destinations и аномальным download-upload ratio
Артефакты на устройстве
- Парадоксальный IoC: отсутствие crash-артефактов worker-процесса портала, когда они ожидаемы. Если crash core dumps и crash entries должны быть, но их нет - это сигнал зачистки. Пустота красноречивее любого лога
- Следы
ptraceinjection в audit log, если атакующие не успели зачистить - Нехарактерные SUID-бинарники в файловой системе
- Новые или модифицированные admin-аккаунты и SSH-ключи
- SAML-флуд - массовые SAML-запросы за короткий период перед переключением HA-пары
IPS-сигнатура и Sigma-правила
Palo Alto публикует Threat Prevention сигнатуру для CVE-2026-0300 - конкретный Threat ID, минимальная content version и требования к версии PAN-OS указаны в advisory вендора. Требуется активная подписка Advanced Threat Prevention.Для постэксплуатационных TTPs в SigmaHQ доступны правила:
- По тегу T1090 (Proxy): 33 правила, в том числе
net_connection_lnx_ngrok_tunnel.ymlиnet_connection_lnx_domain_localtonet_tunnel.yml- покрывают общий паттерн исходящего туннелирования от Linux-хостов. Паттерн аномального исходящего соединения ловится generic-правилами - По тегу T1572 (Protocol Tunneling): 24 правила, включая
proc_creation_win_plink_port_forwarding.ymlиproc_creation_win_ssh_port_forward.yml- для Linux-окружения PAN-OS релевантны правила на сетевые аномалии
Вендор-специфика детектирования
| Задача | Решение | Что детектит | Где слепые зоны |
|---|---|---|---|
| Эксплуатация | PAN-OS IPS (Threat Prevention сигнатура, см. advisory) | Паттерн exploit-пакета к Captive Portal | Signature-based - модифицированный эксплойт обойдёт |
| Постэксплуатация (сеть) | Suricata/Zeek, CrowdStrike Falcon for Network | SOCKS5 handshake, anomalous outbound от файрвола | SOCKS5 в TLS-обёртке не детектируется signature |
| Постэксплуатация (хост) | PAN-OS CLI audit, Cortex XDR | Новые admin-аккаунты, SSH-ключи, SUID-бинарники | Требует baseline конфигурации |
| Туннелирование (anomaly) | Elastic 8.x+ NDR, Darktrace | Anomaly detection на длительных сессиях | Высокая частота false positives без тюнинга |
Чеклист немедленного реагирования
Готовый набор действий - можно передавать операционной команде как есть:- Определить версию PAN-OS на каждом PA-Series и VM-Series:
show system info | match "sw-version"- сопоставить с матрицей затронутых версий из advisory Palo Alto - Проверить статус Authentication Portal:
show authentication-portal statistics- если портал активен, переходить к п. 3 - Определить зоны доступности:
show running authentication-policy- если портал доступен из untrusted-зон, устройство эксплуатируемо - Применить workaround немедленно(если все три условия выполнены):
- Ограничить User-ID Authentication Portal только trusted internal zones (согласно best-practice guidelines в Palo Alto Networks Knowledge Base)
- Или отключить портал, если не требуется: Device > User Identification > Authentication Portal Settings > снять Enable Authentication Portal
- Провести аудит IoC на устройствах, которые были экспонированы: admin-аккаунты, SSH-ключи, SUID-бинарники, crash-артефакты
- Ротировать credentials - все учётные данные, проходившие через устройство: User-ID маппинги, GlobalProtect сессии, admin-аккаунты файрвола
Меня удивляет не сама уязвимость - а то, как индустрия обращается с файрволами. Часть enterprise-команд относится к ним как к «железке, которая просто работает» - обновляется раз в квартал, мониторится по аптайму и количеству сессий, а не по целостности. На периметровом файрволе в 2026 году должен стоять такой же endpoint-мониторинг, как на сервере: integrity checking, behavioral anomaly detection, централизованная доставка audit-логов с контролем целостности цепочки. Кто этого не делает - узнаёт о компрометации из threat-intel пульса на OTX, а не из собственного SIEM. Если интересно разобрать buffer overflow в embedded Linux на практике - задачи в категории pwn на HackerLab.pro построены на похожих примитивах, от переполнения стека до ROP-цепочек.
