Alertă cibernetică. DNSC avertizează că există o vulnerabilitate în sistemul de operare Palo Alto Networks

Directoratul Național de Securitate Cibernetică au descoperit o vulnerabilitate critică, CVE-2026-0300. Aceasta a  fost identificată în sistemul de operare PAN-OS, utilizat de firewall-urile dezvoltate de Palo Alto Networks. Vulnerabilitatea are un scor de severitate CVSS v4.0 de 9.3 pentru rețele conectate la Internet și 8.7 pentru rețele adiacente, ceea ce indică un risc major de compromitere a sistemelor afectate.

Deraliile tehnice

CVE-2026-0300 este o vulnerabilitate de tip out-of-bounds write (CWE-787) identificată în componenta User-ID Authentication Portal din PAN-OS. Această componentă gestionează autentificarea utilizatorilor prin intermediul unui Captive Portal, care poate fi expus către zone cu grad scăzut de încredere sau direct în Internet.

FLASH NEWS Bolojan, mesaj pentru colegii liberali: „Nu trebuie să ne mai întoarcem la bolile politice care ne-au îndepărtat de electori”

19:46

FLASH NEWS S-a rupt definitiv relația Nicușor-Bolojan? Premierul demis susține că nu au vorbit deloc, de la moțiune. Ce anunță despre consultări

19:33

Vulnerabilitatea poate fi exploatată de la distanță, fără a necesita autentificare, prin trimiterea unor cereri special construite către portal. Din cauza validării insuficiente a dimensiunii datelor, acestea pot depăși buffer-ul alocat și pot duce la coruperea memoriei.

Exploatarea cu succes permite executarea de cod arbitrar cu privilegii de nivel ridicat (root), ceea ce poate duce la compromiterea completă a dispozitivului. Astfel, atacatorul poate modifica configurația firewall-ului, poate extrage chei criptografice și certificate și poate citi sau altera traficul de rețea interceptat. Totodată, pot instala backdoor-uri persistente, cât și să dezactiveze complet funcțiile de securitate ale dispozitivului.

Vectorul de atac este de tip rețea (network-based), nu necesită autentificare și are o complexitate redusă, fiind ușor de automatizat. Conform informațiilor disponibile, vulnerabilitatea este exploatată activ în mediul real.

Versiuni afectate

Echipamentele de tip firewall care rulează sistemul de operare PAN-OS, dezvoltate de Palo Alto Networks (serii afectate: PA-Series și VM-Series)

Versiuni afectate:

• PAN-OS 10.2 — versiuni anterioare 10.2.7-h34, 10.2.10-h36, 10.2.13-h21, 10.2.16-h7 și 10.2.18-h6;
• PAN-OS 11.1 — versiuni anterioare 11.1.4-h33, 11.1.6-h32, 11.1.7-h6, 11.1.10-h25, 11.1.13-h5 și 11.1.15;
• PAN-OS 11.2 — versiuni anterioare 11.2.4-h17, 11.2.7-h13, 11.2.10-h6 și 11.2.12;
• PAN-OS 12.1 — versiuni anterioare 12.1.4-h5 și 12.1.7.

Produsele Prisma Access, Cloud NGFW și Panorama NU sunt afectate.

Recomandari generale

Se recomandă aplicarea urgentă a următoarelor măsuri, în ordinea priorităților:

• Restricționați accesul la Authentication Portal exclusiv la adrese IP interne de încredere și evitați expunerea acestuia direct în Internet;
• Dezactivați serviciul Authentication Portal în cazul în care nu este necesar din punct de vedere operațional;
• Tratați cu prioritate orice instanță de Authentication Portal expusă în Internet sau în zone cu grad scăzut de încredere;
• Actualizați imediat sistemul de operare PAN-OS la versiunile remediate disponibile pentru ramurile afectate (10.2, 11.1, 11.2, 12.1);
• Aplicați semnătura de securitate (Threat Prevention Signature) disponibilă pentru versiunile compatibile de PAN-OS (11.1 și ulterior);
• Monitorizați traficul de rețea pentru identificarea conexiunilor suspecte către endpoint-urile de autentificare;
• Auditați firewall-urile expuse pentru a identifica eventuale semne de compromitere anterioare aplicării patch-urilor.

Concluzii

CVE-2026-0300 reprezintă una dintre cele mai semnificative vulnerabilități din 2026, cu un scor de nivel critic și exploatare activă confirmată.

Firewall-urile Palo Alto PA-Series și VM-Series cu Authentication Portal activat și accesibil din rețele cu grad scăzut de încredere trebuie tratate ca sisteme potențial compromise până la aplicarea patch-urilor și efectuarea unui audit de securitate. Organizațiile sunt îndemnate să acționeze imediat.

Compromiterea unui firewall de perimetru poate conduce la o breșă de securitate a infrastructurii organizației. Izolarea sau dezactivarea portalului de autentificare este varianta preferată față de expunerea la risc.

Pentru mai multe informații și resurse, vă rugăm să vizitați website-ul DNSC.

Recomandarea autorului: ALERTĂ DNSC: Un nou val de fraude lovește România. Mesaje false despre „taxa de drum”