Palo Alto Networks ha publicat un avís de seguretat urgent confirmant l’explotació activa d’una vulnerabilitat crítica en PAN-OS. El defecte, CVE-2026-0300 (CVSS 9.3), permet executar codi arbitrari amb privilègis de root en firewalls PA-Series i VM-Series sense credencials, sense interacció de l’usuari i de manera automatitzable. La CISA el va incorporar el 6 de maig al seu catàleg de vulnerabilitats explotades conegudes (KEV). El primer pedàç no arribarà fins al 13 de maig. En la finestra sense pedàç, l’única defensa és la mitigació activa.

Què se sap del zero-day CVE-2026-0300 en Palo Alto PAN-OS?

L’advisory oficial, publicat el 5 de maig de 2026 i amplificat per BleepingComputer, The Hacker News, Help Net Security, Wiz i SOC Prime, confirma els fets següents:

  • Tipus de vulnerabilitat: desbordament de memòria intermèdia (buffer overflow, CWE-787) en el servei User-ID Authentication Portal (també conegut com Captive Portal) de PAN-OS.
  • Impacte: execució remota de codi no autenticada amb privilègis de root. L’atacant només necessita enviar paquets especialment constructs al portal per comprometre completament el dispositiu.
  • Condició d’explotabilitat: el portal ha d’estar habilitat i accessible des d’internet o xarxes no fiables. Els desplegaments que restringeixen el portal a xarxes internes de confiança tenen un risc materialment menor.
  • Dispositius afectats: PA-Series i VM-Series amb versions de PAN-OS anteriors a les versions corregides. No afecta Prisma Access, Cloud NGFW ni Panorama.
  • Exposició real segons Shadowserver: més de 5.800 instàncies de PAN-OS VM-Series amb el port 6081 exposat a internet. La majoria a Àsia (2.466) i Nord-amèrica (1.998).
  • Explotació activa confirmada: Palo Alto la descriu com a “limitada”, dirigida a portals exposats a internet. La CISA va afegir CVE-2026-0300 al catàleg KEV el 6 de maig.
  • Pedaços: primera onada el 13 de maig (branques 12.1.x, 11.2.x). Segona onada el 28 de maig (branques 11.1.x i 10.2.x).
  • Automatització confirmada: el propi advisory indica que l’explotació és automatitzable, la qual cosa permet apuntar als 5.800 dispositius exposats de manera simultània.

Per què els firewalls són l’objectiu de més valor per als atacants

CVE-2026-0300 afecta el dispositiu que decideix què entra i surt de tota la xarxa corporativa. Comprometre un firewall és comprometre l’àrbitre de la seguretat perimetral, amb conseqüències que van molt més enllà de qualsevol servidor d’aplicacions o endpoint:

  1. Visibilitat privilegiada sobre tot el trànsit. Un atacant amb accés root pot inspeccionar, interceptar o modificar el trànsit entre segments, extreure credencials en trànsit i desactivar controls sense que els sistemes de detecció interns ho detectin.
  2. Persistència difícil de detectar. Els firewalls rarament es monitoren amb la mateixa intensitat que els servidors o endpoints. Un implant en el sistema operatiu del firewall pot sobreviure mesos sense detecció.
  3. Vector de cadena de subministrament. Els MSPs i proveïdors de seguretat gestionada administren firewalls de múltiples clients des d’una mateixa infraestructura. Comprometre el firewall d’un proveïdor pot donar accés a tota la seva base de clients de manera encadenada.
  4. Punt cec en els programes de pedaços tradicionals. Moltes organitzacions apliquen cicles de pedaços diferenciats als dispositius de seguretat de xarxa, deixant finestres d’exposició més llarges que la resta de la infraestructura.

Com es produeixen aquest tipus d’atacs

La cadena tècnica de CVE-2026-0300 segueix aquests passos:

  1. Reconeixement passiu: l’atacant identifica firewalls amb el portal exposat mitjançant Shodan (ports 6081/6082) o Shadowserver. Actualment hi ha més de 5.800 instàncies indexades.
  2. Enviament de paquets maliciosos: sense credencials ni interacció humana, s’envien paquets constructs al portal. El desbordament sobreescriu memòria adjacent (out-of-bounds write).
  3. Execució com a root: l’explotació reeixida atorga control total del sistema operatiu del firewall amb els màxims privilègis.
  4. Post-explotació: instal·lació d’implants persistents, modificació de polítiques de seguretat, intercepció de trànsit, pivotatge a la xarxa interna o accés a credencials d’altres clients gestionats des del mateix dispositiu.

L’automatització possible converteix això en una amenaça d’escala: un únic actor pot apuntar als 5.800 firewalls exposats de manera simultània.

Lliçons clau: què ha de fer el teu equip SOC i de seguretat ara mateix

Mentre no arribi el pedàç, la gestió d’aquest zero-day depèn de la velocitat i la precisió en l’execució de les mitigacions. Aquest és el pla d’acció fins al 13 de maig:

Pas 1 — Identificar l’exposició (avui, abans de res)

  • Accedeix a cada firewall PA-Series o VM-Series i navega a Device > User Identification > Authentication Portal Settings.
  • Comprova si Enable Authentication Portal està activat.
  • Si està activat, verifica des de quines zones o interfícies és accessible el portal (ports 6081 i 6082). Si alguna zona és “untrust” o apunta a internet: estàs en risc actiu.

Pas 2 — Mitigació immediata (avui)

  • Opció A (recomanada si no fas servir el portal activament): deshabilita el User-ID Authentication Portal completament fins que el pedàç estigui disponible.
  • Opció B (si el portal és necessari per a les operacions): restringeix l’accés al portal exclusivament a zones internes de confiança mitjançant una regla d’interface management profile. No deixis el portal accessible des de zones untrust ni des d’internet sota cap concepte.
  • Verifica que els ports 6081 i 6082 no estan exposats en cap perfil de gestió d’interfície accessible des de xarxes externes.

Pas 3 — Detecció i monitoratge al SIEM (aquesta setmana)

  • Activa alertes sobre trànsit inusual cap als ports 6081/6082 des d’IPs externes o no classificades.
  • Monitora els logs d’autenticació del portal per detectar intents de connexió des de rangs d’IP no reconeguts.
  • Revisa els logs de PAN-OS cercant errors de procés inusuals al component d’autenticació (crashes, reinicis inesperats del servei).
  • Correlaciona amb feeds de threat intelligence: els IoCs associats a CVE-2026-0300 estan sent publicats activament per Wiz, Shadowserver i SOC Prime.

Pas 4 — Pla de pedaços (del 13 al 28 de maig)

  • Identifica quina branca de PAN-OS utilitza cada firewall i planifica la finestra d’actualització: branques 12.1.x i 11.2.x → pedàç disponible el 13 de maig; branques 11.1.x i 10.2.x → pedàç disponible el 28 de maig.
  • Prioritza els dispositius exposats a internet o amb el portal habilitat en zones no fiables.
  • Documenta el pla i comunica’l als responsables d’infraestructura abans del 10 de maig.

Pas 5 — Revisió post-incident (després del pedàç)

  • Revisa els logs històrics del portal cercant activitat anòmala durant la finestra d’exposició (5-13 maig).
  • Comprova la integritat de les polítiques de seguretat: regles afegides, modificades o eliminades sense justificació.
  • Si es detecta activitat sospitosa, tracta el dispositiu com a potencialment comprometès i inicia un procés d’anàlisi forense.

La ciberseguretat com a prioritat estratègica

CVE-2026-0300 és un recordatori contundent que els dispositius que protegeixen la infraestructura no estan exempts de ser els primers a ser compromesos. La finestra entre la divulgació d’un zero-day crític en un dispositiu de vora i la seva explotació massiva es mesura ara en hores, no en dies.

Les organitzacions que volen mantenir una postura de seguretat real el 2026 necessiten tres capacitats concretes: visibilitat contínua sobre l’estat i la configuració dels seus dispositius de vora, un procés de resposta accelerada davant CVEs crítics en actius d’alta prioritat, i la capacitat d’aplicar mitigacions d’emergència abans que arribin els pedaços. Sense aquestes capacitats, el proper zero-day trobarà exactament el mateix buit que CVE-2026-0300 està trobant aquesta setmana.

Apolo Cybersecurity: resposta abans del pedàç

A Apolo Cybersecurity ajudem els equips SOC i els responsables de seguretat a gestionar exactament aquest tipus de situacions: vulnerabilitats crítiques actives en dispositius de vora amb finestres sense pedàç. Treballem en identificació d’exposició en firewalls i dispositius de xarxa, implantació de mitigacions d’emergència, monitoratge continu amb correlació d’IoCs en temps real, anàlisi forense post-incident i acompanyament en els processos de pedaços urgents.

Si la teva organització té firewalls Palo Alto PA-Series o VM-Series i no tens certesa sobre el seu nivell d’exposició a CVE-2026-0300, aquest és el moment de verificar-ho. No després del 13 de maig.

Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!

POSEU-VOS EN CONTACTE AMB NOSALTRES AVUI MATEIX!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalitat: Respondre al teu missatge i emmagatzemar-lo en una base de dades per gestionar la teva sol·licitud.
Legitimació: Consentiment de l'interessat a l'hora de presentar el formulari.
Destinataris: Les dades no seran cedides a tercers, llevat que s'exigeixi legalment.
Drets: Pot exercir els seus drets d'accés, rectificació i supressió, entre d'altres, enviant un correu electrònic a secretaria@apolocybersecurity.Com.
Informació addicional: Podeu consultar la informació completa al nostre Política de privacitat.

Gràcies!

El vostre missatge ha estat rebut correctament.
Ups! Alguna cosa va sortir malament en enviar el formulari.
T'esperem!
Programar una trucada
Project photo
Envia'ns un correu electrònic
Project photo
+34 937948378
Project photo
Carrer de Sant Joan de la Salle 42, Barcelona, Espanya
Project photo
PREGUNTES FREQÜENTScontacteTERMES I CONDICIONSTreballa amb nosaltres
Accelerada per:
Certificacions:
Light Eyes forma part de la ciberseguretat Apollo
Renúnciapolítica de privacitatCookiespolítica de seguretat de la informació
Privacy Settings
Copyright © 2025 Apollo Cybersecurity