Palo Alto PAN-OS zero-dag actief misbruikt: kritieke kwetsbaarheid met ernstig risico

Een kritieke zero-dag in de PAN-OS-software van Palo Alto Networks wordt momenteel actief misbruikt in het wild. Dat meldt het beveiligingsbedrijf in een waarschuwingsadvisory. De kwetsbaarheid, aangeduid als CVE-2026-0300, betreft een geheugenvervuilingsfout in het authenticatieportaal van PAN-OS. Hierdoor kunnen aanvallers zonder enige authenticatie code uitvoeren met rootrechten op de PA-Series en VM-Series firewalls van het bedrijf.

Palo Alto Networks heeft niet bekendgemaakt wanneer of hoe het de actieve exploitatie heeft ontdekt, noch wanneer de eerste aanvallen hebben plaatsgevonden. Wel heeft de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) de kwetsbaarheid dinsdag toegevoegd aan haar Known Exploited Vulnerabilities Catalog.

Op dit moment is er nog geen patch beschikbaar voor de zero-dag. Het bedrijf heeft ook geen details vrijgegeven over de omvang of het doel van de bevestigde aanvallen. Wel waarschuwde een woordvoerder van Palo Alto Networks tegenover CyberScoop dat de kwetsbaarheid alleen van invloed is op een beperkte groep klanten:

"Deze kwetsbaarheid treft alleen klanten die hun User-ID Authentication Portal (Captive Portal) blootstellen aan het publieke internet of onbetrouwbare IP-adressen. We hebben beperkte exploitatie van dit probleem waargenomen en werken aan software-updates. De eerste patches worden verwacht op 13 mei."

De CVSS-ernstscore van de kwetsbaarheid bedraagt 9,3, wat duidt op een hoog risico. De complexiteit van de aanval wordt als laag ingeschat, wat de drempel voor potentiële aanvallers verlaagt. Uit scans van Shadowserver blijkt dat er dinsdag meer dan 5.800 VM-Series firewalls met PAN-OS publiek toegankelijk waren. Het is echter onbekend hoeveel van deze systemen de authenticatie beperkt hebben tot betrouwbare interne IP-adressen of de functie volledig hebben uitgeschakeld.

Palo Alto Networks heeft klanten al directe mitigerende maatregelen geadviseerd om hun omgevingen te beveiligen. Volgens het bedrijf zijn Cloud NGFW en Panorama-apparaten niet getroffen door deze kwetsbaarheid. "We blijven toegewijd aan een transparante, beveiligingsgerichte aanpak om onze wereldwijde klantenbasis te beschermen," aldus de woordvoerder.

Experts waarschuwen voor snelle escalatie

Benjamin Harris, CEO en oprichter van watchTowr, benadrukt dat Palo Alto Networks klanten proactief heeft gewaarschuwd voor de zero-dag. Dit stelde verdedigers in staat om direct actie te ondernemen op mogelijk blootgestelde systemen. "In een slechte situatie is dat het beste wat ze direct kunnen doen. Maar het waarschuwt ook iedereen voor het bestaan van de kwetsbaarheid," aldus Harris.

Ondanks het risico verwacht watchTowr dat aanvallen die verband houden met de zero-dag zeer beperkt zullen blijven. Tot nu toe zijn alleen Palo Alto Networks en getroffen klanten de exploitatie in het wild tegengekomen. Onderzoekers waarschuwen echter dat dit snel kan veranderen.

"Het is waarschijnlijk dat binnenkort ook regels in derde partijen en honeypots zullen afgaan," aldus Caitlin Condon, vicepresident Beveiligingsonderzoek bij VulnCheck. "Beheersinterfaces, inlogpagina's en authenticatieportalen zijn de afgelopen jaren vaak doelwit geweest van zowel opportunistische als gerichte aanvallen. Met de aandacht van onderzoekers en de gemeenschap voor deze kwetsbaarheid, is het waarschijnlijk dat we snel publieke exploits en bredere exploitatie zullen zien, mits de kwetsbaarheid niet te moeilijk is om uit te buiten."

Palo Alto Networks heeft de aanvallen nog niet toegeschreven aan een bekende dreigingsgroep en heeft ook geen Indicators of Compromise of details over getroffen organisaties vrijgegeven. Onderzoekers blijven actief op zoek naar kwaadaardige activiteit en adviseren klanten om patches direct toe te passen zodra deze beschikbaar zijn.