A Palo Alto Networks confirmou que uma vulnerabilidade zero-day crítica no PAN-OS vem sendo explorada em ataques reais desde pelo menos abril de 2026.
A falha afeta firewalls PA-Series e VM-Series expostos à internet com o User-ID Authentication Portal habilitado.
Rastreada como CVE-2026-0300, a vulnerabilidade é um estouro de buffer no serviço User-ID Authentication Portal, também conhecido como Captive Portal.
A exploração permite que um invasor remoto não autenticado execute código arbitrário com privilégios root no dispositivo vulnerável.
O risco é maior em implantações nas quais o portal de autenticação está acessível por redes não confiáveis ou diretamente pela internet.
A atividade foi associada pela Unit 42 a um cluster rastreado como CL-STA-1132, atribuído a um provável agente patrocinado por Estado.
As primeiras tentativas malsucedidas de exploração foram registradas em 9 de abril de 2026, antes da obtenção de execução remota de código uma semana depois.
Após o comprometimento, os invasores injetaram shellcode em processos do nginx e apagaram registros para dificultar a análise forense.
Também foram removidos logs de crash, mensagens do kernel e arquivos de dump relacionados à falha.
Quatro dias depois do acesso inicial, os atacantes usaram credenciais de contas de serviço coletadas no firewall para enumerar o Active Directory.
A ação mirou a raiz do domínio e áreas como DomainDnsZones, indicando tentativa de expansão para a rede interna.
As organizações devem restringir imediatamente o acesso ao User-ID Authentication Portal apenas a zonas internas confiáveis.
Quando o recurso não for necessário, a recomendação é desativá-lo, além de revisar interfaces L3 expostas e desabilitar Response Pages em perfis de gerenciamento acessíveis por tráfego não confiável.
