Palo Alto Networks ha revelado una vulnerabilidad crítica de desbordamiento de búfer en el software PAN-OS, identificada como CVE-2026-0300 (CVSS 9,3), que
ya está siendo explotada activamente.
Esta vulnerabilidad
permite a atacantes no autenticados ejecutar código arbitrario con
privilegios de administrador en los firewalls afectados de las series PA y
VM, sin necesidad de credenciales, interacción del usuario ni condiciones
especiales.
La vulnerabilidad reside en el servicio User-IDAuthentication Portal (también
conocido como Captive Portal) de PAN-OS. Un atacante remoto no autenticado
puede enviar paquetes especialmente diseñados para provocar una escritura
fuera de límites (CWE-787), causando un desbordamiento de búfer que, en última
instancia, permite la ejecución de código con privilegios de administrador en
el firewall objetivo.
Con un
vector de ataque de red, complejidad de ataque nula y sin necesidad de
privilegios, esta vulnerabilidad es totalmente automatizable, lo que la convierte en una
candidata ideal para campañas de explotación masiva.
Palo Alto Networks confirma que ya se ha observado una explotación limitada
dirigida a portales de autenticación expuestos a direcciones IP no confiables
e Internet. Por el momento, el organismo de control de amenazas Shadowserver está rastreando más de 5.800 firewalls de la serie PAN-OS VM expuestos en línea, la mayoría de ellos en Asia (2.466) y América del Norte (1.998).
La vulnerabilidad afecta a varias versiones de PAN-OS en firewalls de las
series PA y VM. Las ramas afectadas incluyen:
- PAN-OS 12.1 –
- PAN-OS 11.2 –
- PAN-OS 11.1 –
- PAN-OS 10.2 –
Cabe destacar que los dispositivos Prisma Access, Cloud NGFW y Panorama no se
ven afectados. La vulnerabilidad solo afecta a los firewalls con el Portal de
Autenticación User-ID habilitado explícitamente y accesible desde redes no
confiables. Cuando el Portal de Autenticación está expuesto a internet, la
puntuación CVSS alcanza su nivel máximo de amenaza en 9.3. Incluso en
escenarios de redes adyacentes, la puntuación se mantiene en un nivel grave de
8.7.
Una explotación exitosa conlleva graves impactos, otorgando a los atacantes el
control total del firewall objetivo. El perfil de riesgo es particularmente alarmante dada la alta concentración de
valor de los firewalls empresariales, que actúan como puntos críticos de la
red. Comprometer un firewall perimetral puede facilitar el movimiento lateral,
la interceptación de tráfico, la obtención de credenciales y el control total
de la red.
Palo Alto Networks ha confirmado
que los parches se implementarán entre el 13 y el 28 de mayo de 2026,
según la rama de PAN-OS. Hasta que se apliquen los parches, los
administradores deben tomar de inmediato una de las siguientes medidas:
El 5 de mayo de 2026 se publicó una Firma de Prevención de Amenazas para
PAN-OS 11.1 y versiones posteriores, que proporciona una capa adicional de
detección y bloqueo para las organizaciones con licencia de prevención de
amenazas.
Los equipos de seguridad deben auditar sus configuraciones de PAN-OS de
inmediato accediendo a Dispositivo > Identificación de Usuario >
Configuración del Portal de Autenticación para determinar la exposición.
Cualquier portal accesible desde Internet o zonas no confiables debe
considerarse una prioridad de remediación urgente, dada la explotación
confirmada de la vulnerabilidad CVE-2026-0300.
Fuente:
CyberSecuerityNews