Palo Alto Networksファイアウォール内の重大なゼロデイ脆弱性が、疑わしい国家支援のハッカーによって積極的に悪用されており、ほとんどの組織が欠陥の存在さえ知らない前に、攻撃者に企業ファイアウォールインフラストラクチャの完全で認証されていない制御を与えています。
CVE-2026-0300として追跡される、CVSS スコア9.3の脆弱性は2026年4月9日という早期に兵器化され、2026年5月6日の公開開示の約1ヶ月前で、脅威アクターに露出したシステムを静かに侵害する相当な時間を与えました。
攻撃者は特別に作成されたパケットを脆弱なファイアウォールに送信し、範囲外メモリ書き込みをトリガーして、悪意のあるシェルコードをnginxワーカープロセスに直接注入します。
その結果は認証されていない、ルートレベルのリモートコード実行であり、攻撃者からのゼロ認証情報を必要とする最高の可能な権限レベルです。
ファイアウォールが危険にさらされるのは、ユーザーID認証ポータルが有効で、信頼されていないネットワークまたはインターネットに露出している場合のみです。
悪用後の動作は洗練された敵を明らかにします:攻撃者は継続的なコマンドアンドコントロールのためにEarthwormやReverseSocks5などのトンネリングツールを配備し、取得された認証情報を使用してActive Directoryの列挙を実施し、フォレンジック証拠を消去するためにログを体系的にワイプしました。
5月6日のコンセプト実証エクスプロイトコードの公開は、バリアを大幅に低下させ、攻撃メカニクスを検証し、より広い範囲の脅威アクターが信頼できるエクスプロイトアクセスを実現できるようにしました。
欠陥は4つの主要なPAN-OSリリースブランチにまたがります:10.2、11.1、11.2、および12.1。
Prisma Access、Cloud NGFW、およびPanoramaアプライアンスは影響を受けません。パッチは2026年5月を通じてロールアウトされており、一部のホットフィックスは2026年5月28日までは予想されず、特定の組織が延長された露出ウィンドウに残されています。
すぐにパッチを適用できない組織は、2つのアクション のいずれかを取る必要があります:
セキュリティチームは、この構成がCVE-2026-0300悪用の唯一の攻撃ベクトルであるため、露出した認証ポータルサービスの識別と分離を緊急の優先事項として扱う必要があります。
翻訳元: https://cyberpress.org/palo-alto-pan-os-0-day-exploited/