Palo Alto Networks сообщила об атаках на критическую уязвимость CVE-2026-0300 в PAN-OS — операционной системе для сетевых экранов компании. Ошибка открывает путь к удалённому выполнению кода с правами root, а значит, под угрозой оказываются корпоративные сети, где такие устройства стоят на периметре.

По данным компании, первые неудачные попытки эксплуатации фиксировались уже 9 апреля 2026 года. Позже атакующие смогли закрепиться на устройстве, скрыть следы и перейти к разведке во внутренней сети.

Что сломалось в PAN-OS

CVE-2026-0300 связана с переполнением буфера (buffer overflow — запись данных за пределы выделенной памяти) в службе User-ID Authentication Portal. Этот компонент помогает сопоставлять пользователей с сетевой активностью и может быть доступен на интерфейсах устройства.

Уязвимость получила высокую оценку CVSS — 9.3/8.7 в зависимости от условий. Главный риск — злоумышленнику не нужен логин и пароль. Достаточно отправить специально подготовленные сетевые пакеты, чтобы запустить произвольный код на устройстве.

В терминах безопасности это RCE (remote code execution — удалённое выполнение кода). В этой атаке код запускался с правами root — самым высоким уровнем доступа в системе. Для сетевого экрана это особенно опасно: через него проходит трафик компании, а само устройство часто доверяют больше, чем обычному серверу или рабочей станции.

Как развивалась атака

Palo Alto Networks отслеживает активность как CL-STA-1132. Компания описывает группу как предположительно связанную с государственными интересами, но не называет страну происхождения.

По данным Unit 42, исследовательского подразделения Palo Alto Networks, 9 апреля атакующие уже пробовали использовать уязвимость против одного из устройств PAN-OS, но без успеха. Примерно через неделю они добились удалённого выполнения кода и внедрили shellcode — небольшой фрагмент кода, который запускает дальнейшие команды — в рабочий процесс nginx.

После первичного доступа злоумышленники начали чистить следы. Они удаляли сообщения ядра о сбоях, записи о падениях nginx и файлы дампов памяти. Такая тактика мешает администраторам быстро понять, что устройство не просто «упало», а стало точкой входа в сеть.

29 апреля 2026 года атакующие перешли к следующему этапу. Они проводили разведку Active Directory — службы каталогов, где компании хранят учётные записи, группы и права доступа. Также на втором устройстве появились дополнительные инструменты EarthWorm и ReverseSocks5, которые раньше встречались в операциях групп, связанных с Китаем.

Почему сетевой экран стал ценной целью

Сетевые экраны, маршрутизаторы, шлюзы и другие пограничные устройства стоят между внутренней сетью и внешним трафиком. Если атакующий получает контроль над таким узлом, он видит маршруты, может искать соседние системы и двигаться дальше по инфраструктуре.

У рабочих станций обычно есть антивирусные агенты, журналы событий, EDR-системы и привычные процедуры расследования. На пограничных устройствах мониторинг часто слабее: логирование ограничено, доступ к файловой системе нестандартен, а обновления откладывают из страха нарушить работу сети.

Именно поэтому такие уязвимости быстро переходят из категории «нужно исправить» в категорию «искать следы взлома». Похожий принцип мы разбирали в материале про то, как уязвимость Ollama грозит утечкой ключей API и переписок: сам баг опасен, но ещё опаснее данные и права, к которым он открывает доступ.

Что рекомендует Palo Alto Networks

Компания планирует начать выпуск исправлений 13 мая 2026 года. До установки патчей клиентам советуют ограничить доступ к User-ID Authentication Portal только доверенными зонами. Если служба не используется, её лучше отключить.

Ещё одна мера — отключить Response Pages в профиле управления интерфейсом для L3-интерфейсов, куда может приходить трафик из недоверенных зон или интернета. Это снижает площадь атаки до выхода обновлений.

Для клиентов с Advanced Threat Prevention компания рекомендует включить Threat ID 510019 из набора Applications and Threats версии 9097-10022. Этот механизм должен блокировать попытки эксплуатации CVE-2026-0300.

Администраторам также стоит проверить журналы на признаки странных падений nginx, удаления crash-записей и нестандартной активности в Active Directory. Если организация уже видит такие следы, обычной установки патча мало: нужен разбор инцидента и проверка соседних систем.

Что важно для защиты данных

Такие атаки редко заканчиваются одним устройством. Сетевой экран может стать плацдармом для доступа к домену, файловым серверам, системам учёта и облачным панелям управления. Поэтому риск касается не только сетевой команды, но и владельцев данных внутри бизнеса.

Особое внимание нужно уделить учётным записям администраторов. Если они заходили на сетевые устройства из недоверенных сетей или с личных компьютеров, риск растёт. Для работы администраторов из гостиниц, коворкингов и аэропортов пригодится сервис безопасного интернет-соединения: он снижает риск перехвата данных в чужой сети.

Не менее важна дисциплина обновлений. Новые сборки и патчи стоит проверять быстро, но без хаоса: сначала инвентаризация затронутых устройств, затем тестирование, потом установка по приоритету. О том, почему даже обычные обновления требуют внимания к безопасности, мы писали в разборе про то, что Windows 11 получила новые бета-сборки.

Практический чек-лист для администраторов

  • Найдите все устройства PAN-OS и проверьте, используется ли User-ID Authentication Portal.
  • Ограничьте доступ к этой службе только доверенными зонами или отключите её, если она не нужна.
  • Отключите Response Pages на L3-интерфейсах, принимающих трафик из недоверенных сетей.
  • Если доступен Advanced Threat Prevention, включите Threat ID 510019 из версии 9097-10022.
  • Проверьте журналы nginx, сообщения о сбоях ядра и следы удаления crash-файлов.
  • Посмотрите активность в Active Directory за период с 9 апреля 2026 года, особенно необычную разведку групп и пользователей.
  • Подготовьте установку исправлений Palo Alto Networks с 13 мая 2026 года и заранее согласуйте окно обслуживания.
  • Если нашли признаки компрометации, не ограничивайтесь перезагрузкой устройства: изолируйте его, сохраните журналы и запускайте расследование.
Поделиться: