Foto: Freepik Premium
Palo Alto Networks upozorio je korisnike da su, prema njegovim navodima, sumnjivi napadači povezani s državom iskorištavali kritični zero-day propust u PAN-OS vatrozidima gotovo mjesec dana. Riječ je o ranjivosti označenoj kao CVE-2026-0300, a pogođena je funkcija User-ID Authentication Portal, poznata i kao Captive Portal, u PAN-OS softveru na PA-Series i VM-Series vatrozidima izloženima na internetu.
Prema opisu tvrtke, riječ je o buffer overflow propustu koji neautentificiranom napadaču može omogućiti izvršavanje proizvoljnog koda s root privilegijima. Palo Alto Networks navodi i da je Unit 42 prati kao CL-STA-1132, klaster vjerojatno državom poduprte prijetnje koji iskorištava CVE-2026-0300 za udaljeno izvršavanje koda bez autentifikacije. Tvrtka je dodala da su prvi neuspješni pokušaji zabilježeni 9. travnja 2026., a da su napadači tjedan dana kasnije uspjeli ostvariti RCE te ubaciti shellcode.
Nakon kompromitacije vatrozida, napadači su, prema navodima, odmah proveli čišćenje zapisa kako bi smanjili mogućnost otkrivanja. Tvrtka navodi da su brisani crash kernel zapisi, nginx crash unosi, nginx crash zapisi te crash core dump datoteke. Nakon toga su, prema istom izvješću, postavljeni open-source alati Earthworm i ReverseSocks5 za mrežno tuneliranje, koji se mogu koristiti za SOCKS v5 poslužitelje i proxy tunele na kompromitiranim uređajima.
Shadowserver trenutačno prati više od 5.400 PAN-OS VM-Series vatrozida izloženih na internetu, a najveći dio nalazi se u Aziji i Sjevernoj Americi. Palo Alto Networks priopćio je da propust ne utječe na Cloud NGFW ni na Panorama uređaje te da još radi na zakrpama, a prve se očekuju sljedeće srijede, 13. svibnja. Do objave sigurnosnih ažuriranja tvrtka je snažno savjetovala da se pristup PAN-OS User-ID Authentication Portalu ograniči samo na pouzdane zone ili, ako to nije moguće, da se portal isključi.
Administratori mogu provjeriti koriste li njihovi vatrozidi ranjivu uslugu kroz postavke User-ID Authentication Portala u izborniku Device > User Identification > Authentication Portal Settings, pod opcijom Enable Authentication Portal. U srijedu je i američka Agencija za kibernetičku sigurnost i infrastrukturu (CISA) dodala CVE-2026-0300 u svoj Known Exploited Vulnerabilities katalog te naložila saveznim civilnim izvršnim agencijama da osiguraju ranjive vatrozide do subote u ponoć, 9. svibnja. CISA je u veljači također objavila Binding Operational Directive 26-02, kojom se od američkih državnih agencija traži uklanjanje mrežnih rubnih uređaja koji više ne primaju sigurnosna ažuriranja od proizvođača.
Vezane vijesti
