Farlig null-dags-sårbarhet i Palo Alto PAN-OS utnyttet aktivt

Angripere utnytter kritisk sårbarhet i Palo Alto-brannmurer

En kritisk null-dags-sårbarhet i Palo Alto Networks' brannmurprogramvare PAN-OS blir aktivt utnyttet av angripere i det fri, ifølge en sikkerhetsadvarsel fra leverandøren. Sårbarheten, sporet som CVE-2026-0300, påvirker autentiseringsportalen og tillater ukrypterte angripere å kjøre kode med root-rettigheter på PA-Series- og VM-Series-brannmurer.

Sårbarheten og dens omfang

Sårbarheten har fått en CVSS-score på 9,3, noe som klassifiserer den som kritisk. Den oppstår på grunn av en minnekorrupsjonsfeil i autentiseringsportalen (Captive Portal) og kan utnyttes dersom portalen er eksponert mot offentlige nettverk eller upålitelige IP-adresser. Palo Alto Networks har ikke oppgitt når eller hvordan de ble klar over aktiv utnyttelse.

Cybersecurity and Infrastructure Security Agency (CISA) har allerede lagt sårbarheten til sin kjente utnyttede sårbarheter-katalog. Leverandøren har imidlertid ikke utgitt noen sikkerhetsoppdatering eller detaljert omfanget av angrepene.

Midlertidige løsninger og forventet oppdatering

Palo Alto Networks har bekreftet at de jobber med en sikkerhetsfikser, med første oppdateringer forventet 13. mai. Inntil da anbefaler de berørte kunder å følge gitte sikkerhetstiltak for umiddelbar beskyttelse. Sårbarheten påvirker ikke Cloud NGFW eller Panorama-enheter.

Ifølge en talskvinne fra Palo Alto:

«Denne sårbarheten gjelder et begrenset antall kunder med User-ID Autentiseringsportal (Captive Portal) eksponert mot offentlige nettverk eller upålitelige IP-adresser. Vi har observert begrenset utnyttelse av dette problemet og jobber med å lansere programvarefikser. Oppdateringer forventes tilgjengelig 13. mai.»

Antall eksponerte brannmurer ukjent

Shadowserver-rapporter viser at over 5 800 VM-Series-brannmurer med PAN-OS var eksponert mot internett tirsdag. Det er imidlertid ukjent hvor mange av disse som har begrenset autentiseringsadgang til interne IP-adresser eller har deaktivert funksjonen helt.

Forskere og eksperter advarer om økt risiko

Benjamin Harris, administrerende direktør i watchTowr, påpeker at Palo Alto Networks proaktivt varslet kunder om sårbarheten, noe som har gitt forsvarere mulighet til å handle:

«I en dårlig situasjon er det beste de kan gjøre umiddelbart. Men det varsler også alle om eksistensen av en sårbarhet.»

Til tross for risikoen forventer Harris at angrep knyttet til null-dagsutnyttelsen vil være svært begrenset i første omgang. Likevel advarer forskere om at situasjonen raskt kan eskalere:

Caitlin Condon, visepresident for sikkerhetsforskning i VulnCheck, uttaler:

«Det er sannsynlig at regler snart vil bli aktivert i tredjepartsorganisasjoner og honeypots. Autentiseringsportaler har vært et vanlig mål for både tilfeldige og målrettede angrep de siste årene. Med økt oppmerksomhet rundt sårbarheten, er det sannsynlig at vi snart vil se offentlige utnyttelsesmetoder og bredere utnyttelse, forutsatt at problemet ikke er for vanskelig å utnytte.»

Hva bør berørte kunder gjøre?

Palo Alto Networks har ikke tilskrevet angrepene til noen kjent trusselgruppe, publisert indikatorer for kompromittering eller avslørt hvilke typer organisasjoner som er rammet. Forskere oppfordrer imidlertid kunder til å være på utkikk etter ondsinnede aktiviteter og anvende sikkerhetsoppdateringer så snart de blir tilgjengelige.

Anbefalte tiltak for berørte kunder:

• Midlertidig deaktivere autentiseringsportalen (Captive Portal) dersom den ikke er nødvendig.
• Begrense tilgang til autentiseringsportalen til kun interne, pålitelige IP-adresser.
• Overvåke nettverkstrafikk for mistenkelig aktivitet.
• Forberede seg på å installere den kommende sikkerhetsoppdateringen 13. mai.