Palo Alto Networks предупредила о критической уязвимости CVE-2026-0300 в PAN-OS — программной платформе для межсетевых экранов компании. Ошибку уже используют в реальных атаках против устройств, где портал User-ID Authentication Portal открыт из интернета или других недоверенных сетей.

Риск высокий: злоумышленник без учётной записи может отправить специально подготовленные сетевые пакеты и запустить код с правами root на межсетевом экране. Для компаний это не обычная ошибка в приложении, а удар по устройству, через которое проходит значительная часть корпоративного трафика.

Что произошло

Palo Alto Networks описывает CVE-2026-0300 как переполнение буфера в службе User-ID Authentication Portal, также известной как Captive Portal. Переполнение буфера — это ошибка работы с памятью, при которой программа записывает больше данных, чем выделено, и может выполнить чужой код.

В худшем сценарии уязвимость ведёт к remote code execution (RCE — удалённому выполнению кода). Компания указывает, что атака не требует аутентификации: нападающему не нужен пароль администратора или доступ к учётной записи в системе.

Для конфигураций, где портал доступен из интернета или недоверенной сети, оценка CVSS достигает 9,3 балла. Если доступ к порталу ограничен доверенными внутренними IP-адресами, оценка падает до 8,7 балла, но всё равно остаётся высокой.

Какие устройства и версии под риском

Уязвимость затрагивает только межсетевые экраны PA-Series и VM-Series, если на них включён User-ID Authentication Portal. Palo Alto Networks отдельно указала, что проблема не затрагивает Cloud NGFW и Panorama.

Под риском находятся следующие ветки PAN-OS:

  • PAN-OS 12.1 — версии раньше 12.1.4-h5 и 12.1.7;
  • PAN-OS 11.2 — версии раньше 11.2.4-h17, 11.2.7-h13, 11.2.10-h6 и 11.2.12;
  • PAN-OS 11.1 — версии раньше 11.1.4-h33, 11.1.6-h32, 11.1.7-h6, 11.1.10-h25, 11.1.13-h5 и 11.1.15;
  • PAN-OS 10.2 — версии раньше 10.2.7-h34, 10.2.10-h36, 10.2.13-h21, 10.2.16-h7 и 10.2.18-h6.

Ключевой фактор риска — не только версия ПО, но и доступность портала. Если User-ID Authentication Portal смотрит наружу, устройство попадает в первую группу риска.

Почему публичный портал опасен

User-ID Authentication Portal помогает связать сетевую активность с пользователями и применить правила доступа. В нормальной архитектуре такие интерфейсы не должны быть видны всем подряд: их ограничивают внутренними сетями, доверенными зонами и списками адресов.

Когда портал открыт из интернета, атакующему проще найти устройство сканированием и проверить его на известную ошибку. Palo Alto Networks говорит об ограниченной эксплуатации, но в таких случаях ситуация часто меняется быстро: после публикации бюллетеня интерес к уязвимым системам растёт.

Опасность усиливает уровень прав. Код с правами root на межсетевом экране может дать контроль над критичным узлом сети. Для защитников это означает не только установку исправления, но и проверку следов возможного вторжения.

Похожая логика работает и с другими публично доступными сервисами: если интерфейс управления или служба диагностики открыты шире, чем нужно, ошибка быстрее превращается в инцидент. Мы уже разбирали похожий принцип на примере ботнета, который заражал Android-устройства через открытый ADB.

Когда ждать исправлений

Palo Alto Networks планирует выпустить первые исправления с 13 мая 2026 года. До выхода патчей компания советует снизить риск настройками: ограничить доступ к User-ID Authentication Portal только доверенными зонами или полностью отключить портал, если он не нужен.

Агентство CISA 6 мая 2026 года добавило CVE-2026-0300 в каталог известных эксплуатируемых уязвимостей. Федеральные гражданские ведомства США должны применить исправления или временные меры защиты до 9 мая 2026 года. Для частных компаний это не прямое требование, но сигнал серьёзный: уязвимость уже вышла за пределы теории.

Администраторам стоит заранее подготовить окно обслуживания, проверить совместимость версий и план отката. В таких ситуациях промедление опасно, но слепое обновление без проверки тоже может привести к простою.

Чем это грозит бизнесу

Межсетевой экран стоит на границе сети и часто видит то, что не видят обычные серверы. Через него проходят подключения сотрудников, филиалов, облачных сред и внешних партнёров. Компрометация такого устройства может ударить по сегментации сети, журналам доступа и расследованию инцидента.

Даже если атакующий не получил постоянный доступ, попытки эксплуатации важны сами по себе. По журналам можно понять, кто сканировал портал, какие адреса атаковали устройство и были ли подозрительные изменения в конфигурации.

Для компаний с распределёнными командами отдельный риск связан с администрированием из публичных сетей. Если сотрудник работает в гостинице, коворкинге или аэропорту, для защиты интернет-соединения и приватности данных уместен сервис безопасного интернет-соединения. Это не заменяет патчи, но снижает риск перехвата трафика на стороне локальной сети.

Такие инциденты напоминают: критична не только сама уязвимость, но и то, какие данные и ключи может увидеть атакующий после входа в систему. Ранее мы писали, как уязвимость Ollama грозила утечкой ключей API и переписок — принцип тот же: слабое место в инфраструктуре быстро становится проблемой для данных.

Что сделать сейчас

  • Проверить, используются ли в компании PA-Series или VM-Series с PAN-OS из затронутых веток.
  • Уточнить, включён ли User-ID Authentication Portal и доступен ли он из интернета или недоверенных сетей.
  • Ограничить доступ к порталу доверенными внутренними зонами и IP-адресами.
  • Отключить User-ID Authentication Portal, если сервис не нужен для рабочих процессов.
  • Проверить журналы за последние дни: попытки обращения к порталу, неожиданные ошибки, изменения конфигурации, новые учётные записи.
  • Подготовить установку исправлений после 13 мая 2026 года и заранее согласовать окно обслуживания.
  • Если есть признаки компрометации, сменить административные пароли, проверить ключи доступа и изолировать устройство для расследования.
  • Пересмотреть правило по внешней доступности служебных порталов: всё, что не нужно снаружи, не должно быть видно извне.
Поделиться: