Palo Alto Networksファイアウォールの深刻なゼロデイ脆弱性が、疑わしい国家支援のハッカーにより積極的に悪用されており、認証されていない攻撃者がエンタープライズセキュリティインフラの完全な制御を奪うことが可能になっています。
CVE-2026-0300として追跡されるこの脆弱性は、CVSS スコア 9.3 の重大度を持ち、PAN-OSソフトウェアのUser-ID認証ポータルサービスを対象としており、2026年4月9日以降少なくとも悪用されており、2026年5月6日の公開開示の前に、脅威行為者が数週間にわたり露出したシステムを侵害する機会がありました。
Palo Altoファイアウォール、ゼロデイ脆弱性に被害
CVE-2026-0300は、不明なネットワークトラフィックのユーザー識別を可能にするCaptive Portalサービスとしても知られるUser-ID認証ポータルのバッファオーバーフロー脆弱性に由来します。
攻撃者はこの脆弱性を利用して、脆弱なPA-SeriesおよびVM-Seriesファイアウォールに特別に細工されたパケットを送信し、範囲外の書き込みを引き起こしてMalicious shellcodeをnginxワーカープロセスに直接注入できます。
成功した悪用により、認証されていないリモート攻撃者にルートレベルのコード実行特権を付与し、認証情報を必要としない最高レベルのシステムアクセスを表します。
この脆弱性は、10.2、11.1、11.2、および12.1リリースブランチにまたがる複数のPAN-OSバージョンに影響します。同時に、Prisma Access、Cloud NGFW、およびPanoramaアプライアンスは影響を受けません。
ファイアウォールは、User-ID認証ポータルが有効で、信頼されていないネットワークまたはインターネットに露出している場合にのみ脆弱です。リスクは、応答ページを持つ管理インターフェイスが、信頼されていないゾーンからアクセス可能なレイヤー3インターフェイス上で設定されている場合、劇的に増加します。
Palo Alto Networks Unit 42の研究者は確認しました限定的だが標的化された悪用、CL-STA-1132に指定された脅威クラスターにより、未知の起源の国家支援による活動の可能性として特徴づけられています。
搾取後の戦術は、Earthworm や ReverseSocks5 などの公開されているトンネリングツールのデプロイを含む、永続的なコマンドアンドコントロールチャネルを確立するための高度な敵対者の能力を明らかにしています。
攻撃者は、侵害されたファイアウォールから収集された認証情報を使用してActive Directoryの列挙を実施し、ログとフォレンジック証拠を体系的に破棄して痕跡を隠蔽することで、高度な運用上のセキュリティを実証しました。
2026年5月6日の概念実証エクスプロイトコードの公表は、攻撃メカニズムを検証し、ルートレベルのリモートコード実行のバッファオーバーフローを確実にトリガーする機能するコードを提供することにより、悪用への障壁を大幅に低下させました。
セキュリティ研究者は、このエクスプロイトの公開入手可能性が、まだ緩和策を適用していない組織のリスクを大幅に増加させることを警告しています。
影響を受けるバージョンとパッチタイムライン
4つの主要なリリースブランチにまたがる複数のPAN-OSバージョンがこの脆弱性を含んでおり、パッチは2026年5月全体にわたってフェーズで展開されます。修正版には、12.1ブランチのPAN-OS 12.1.4-h5および12.1.7が含まれます。11.2ブランチのバージョン11.2.4-h17、11.2.7-h13、11.2.10-h6、および11.2.12。11.1ブランチのバージョン11.1.4-h33から11.1.15。10.2ブランチのバージョン10.2.7-h34から10.2.18-h6。
いくつかの重大なホットフィックスは、2026年5月28日まで延長されるリリース日を持つことが予想されており、パッチを待つ組織は露出した状態になります。
脆弱な設定を実行している組織は、パッチが展開されるまで、2つの主要な回避策の1つをすぐに実装する必要があります。
最初のオプションは、User-ID認証ポータルアクセスを信頼されている内部ゾーンのみに限定し、信頼されていないトラフィックまたはインターネットトラフィックが入力できるゾーン内のレイヤー3インターフェイスに接続されたインターフェイス管理プロファイルの応答ページをオフにします。
2番目の軽減策は、Device > User Identification > Authentication Portal Settingsの下の「Enable Authentication Portal」のチェックを外すことで、その機能が運用上必要でない場合、User-ID認証ポータルを完全に無効にします。
セキュリティチームは、User-ID認証ポータルサービスが有効で信頼されていないネットワークに露出しているかどうかを特定することを優先すべきです。この設定はCVE-2026-0300悪用の主要な攻撃ベクトルを表しているため。
翻訳元: https://gbhackers.com/palo-alto-firewalls-hit-by-pan-os-zero-day/
