CISA cyberzagrożenia aktualizacja oprogramowania bezpieczeństwo sieci Palo Alto Networks luka zero-day CVE-2026-0300 firewall PAN-OS

Atakujący wykorzystują krytyczną lukę zero-day w firewallach Palo Alto

Atakujący aktywnie wykorzystują niezałataną lukę zero-day w systemie PAN-OS firmy Palo Alto Networks, która dotyka firewalli PA-Series i VM-Series. Luka, oznaczona jako CVE-2026-0300, umożliwia wykonanie kodu z uprawnieniami roota bez uwierzytelnienia, poprzez portal uwierzytelniania (Captive Portal).

Szczegóły techniczne i zagrożenie

Luka dotyczy uszkodzenia pamięci i została oceniona w skali CVSS na 9,3 punktów, co klasyfikuje ją jako krytyczną. Według producenta, atak wymaga niskiej złożoności, co zwiększa ryzyko masowego wykorzystania. Firma nie ujawniła, kiedy po raz pierwszy wykryto aktywną eksploatację ani kto za nią stoi.

Amerykańska Agencja Cyberbezpieczeństwa i Infrastruktury (CISA) dodała lukę do swojego katalogu znanych podatności (Known Exploited Vulnerabilities Catalog), co nakłada na organizacje obowiązek jak najszybszego załatania systemów.

Zasięg podatności i ryzyko

Według danych Shadowserver, ponad 5 800 firewalli VM-Series z systemem PAN-OS było publicznie dostępnych w internecie. Nie wiadomo jednak, ile z nich ma ograniczony dostęp do portalu uwierzytelniania tylko do zaufanych adresów IP lub całkowicie wyłączoną tę funkcję.

Palo Alto Networks potwierdziło, że luka nie dotyczy usług Cloud NGFW ani urządzeń Panorama. Firma wydała zalecenia dotyczące łagodzenia zagrożenia, a pierwsze poprawki mają zostać udostępnione 13 maja.

Reakcja ekspertów i prognozy

Benjamin Harris, CEO firmy watchTowr, podkreślił, że Palo Alto Networks proaktywnie ostrzegło klientów o luce, co pozwoliło na podjęcie działań obronnych. „W złej sytuacji to najlepsze, co można zrobić natychmiast. Niestety, jednocześnie informacja o luce trafia do szerszego grona” – powiedział CyberScoop.

Eksperci przewidują, że ataków związanych z tą luką może być ograniczona liczba, jednak ostrzegają, że sytuacja może szybko się zmienić. „Prawdopodobnie wkrótce pojawią się reguły wykrywania w systemach stron trzecich i pułapkach” – stwierdziła Caitlin Condon z VulnCheck. „Interfejsy zarządzania, strony logowania i portale uwierzytelniania są częstymi celami ataków, zarówno przypadkowych, jak i ukierunkowanych.”

Badacze nie przypisali jeszcze ataków żadnej znanej grupie zagrożeń ani nie ujawnili typów organizacji, które zostały zaatakowane. Zalecają one niezwłoczne stosowanie poprawek po ich udostępnieniu.

„Póki co, tylko Palo Alto Networks i jego klienci zaobserwowali aktywną eksploatację, ale wkrótce może się to zmienić. Publiczne exploity i szersze wykorzystanie są bardzo prawdopodobne, jeśli luka okaże się łatwa do wykorzystania.”

Caitlin Condon, VulnCheck

Zalecenia dla użytkowników

  • Natychmiastowe sprawdzenie ustawień portalu uwierzytelniania (Captive Portal) i ograniczenie dostępu tylko do zaufanych adresów IP.
  • Monitorowanie ruchu w sieci pod kątem podejrzanych aktywności.
  • Oczekiwanie na poprawki od producenta i ich niezwłoczne wdrażanie.
  • Korzystanie z narzędzi wykrywania zagrożeń, takich jak pułapki sieciowe, do identyfikacji potencjalnych ataków.
Źródło: CyberScoop
Kandydatka Noem w Ohio przegrywa w prawyborach – porażka dla polityki imigracyjnej Trumpa
← Poprzedni

Kandydatka Noem w Ohio przegrywa w prawyborach – porażka dla polityki...

 Stworczyni 'Zatoki Wdów' odsłania przerażający atak z odcinka 3: 'Koniec pierwszego aktu'
Następny →

Stworczyni 'Zatoki Wdów' odsłania przerażający atak z odcinka 3: 'Koni...