Vulnerabilidade crítica não corrigida no Palo Alto PAN-OS é explorada por invasores

Vulnerabilidade crítica no Palo Alto PAN-OS é explorada na natureza

A Palo Alto Networks confirmou que invasores estão explorando ativamente uma vulnerabilidade zero-day crítica no PAN-OS, sistema operacional de seus firewalls. A falha, identificada como CVE-2026-0300, afeta o portal de autenticação do PAN-OS e permite que atacantes não autenticados executem código com privilégios de root em firewalls PA-Series e VM-Series.

Detalhes da vulnerabilidade

A vulnerabilidade de corrupção de memória crítica tem uma pontuação CVSS 9.3 e é considerada de baixa complexidade para exploração. Segundo a Palo Alto Networks, o problema está relacionado a firewalls com o User-ID Authentication Portal (Captive Portal) exposto à internet pública ou a endereços IP não confiáveis.

A empresa não divulgou quando ou como tomou conhecimento da exploração ativa, nem o momento da primeira exploração conhecida. No entanto, a CISA (Cybersecurity and Infrastructure Security Agency) adicionou a vulnerabilidade ao seu catálogo de vulnerabilidades conhecidas e exploradas na quarta-feira (15).

Escopo e medidas de mitigação

A Palo Alto Networks informou que está desenvolvendo correções para a vulnerabilidade, com previsão de lançamento para 13 de maio. Enquanto isso, a empresa recomenda que os clientes adotem medidas imediatas de segurança:

• Restringir o acesso ao portal de autenticação apenas a IPs internos confiáveis;
• Desabilitar o recurso se não for necessário;
• Aplicar as orientações de mitigação fornecidas pela Palo Alto Networks.

A vulnerabilidade não afeta os serviços Cloud NGFW ou appliances Panorama.

Impacto potencial e alertas da comunidade

Pesquisadores do Shadowserver identificaram mais de 5.800 firewalls VM-Series com o PAN-OS expostos publicamente até terça-feira (14). No entanto, não há informações sobre quantos desses dispositivos têm o portal de autenticação restrito ou desativado.

Benjamin Harris, CEO da watchTowr, destacou que a Palo Alto Networks alertou proativamente seus clientes sobre a vulnerabilidade, permitindo que defensores agissem rapidamente. No entanto, ele também observou que isso pode atrair mais atenção para a falha:

"Em uma situação ruim, esse é o melhor que podem fazer imediatamente. No entanto, isso também alerta todos sobre a existência da vulnerabilidade."

Apesar do risco, Harris acredita que os ataques relacionados à exploração do zero-day devem ser limitados inicialmente. Até o momento, apenas a Palo Alto Networks e seus clientes afetados relataram explorações na natureza. No entanto, especialistas alertam que isso pode mudar rapidamente.

Caitlin Condon, vice-presidente de pesquisa de segurança da VulnCheck, afirmou:

"É provável que regras comecem a ser acionadas em organizações de terceiros e honeypots em breve. Interfaces de gerenciamento, páginas de login e portais de autenticação têm sido alvos comuns de campanhas oportunistas e direcionadas nos últimos anos."

Condon acrescentou que, com a atenção de pesquisadores e da comunidade, é provável que exploits públicos e uma exploração mais ampla surjam rapidamente, a menos que a exploração seja excessivamente complexa.

Próximos passos e recomendações

A Palo Alto Networks ainda não atribuiu os ataques a nenhum grupo conhecido de ameaças, nem publicou indicadores de comprometimento ou detalhes sobre as organizações afetadas. Pesquisadores continuam monitorando atividades maliciosas e recomendam que os clientes apliquem as correções assim que forem disponibilizadas.

Enquanto aguardam a atualização, os clientes devem priorizar a aplicação das medidas de mitigação imediatas para reduzir o risco de exploração.