(https://i.postimg.cc/vH08bJBx/0-Days.png) (https://postimg.cc/qzCHGZ2p)
Palo Alto Networks advierte que sus firewalls, ampliamente implementados, están bajo ataque, con hackers que están explotando una vulnerabilidad crítica de día cero. Los atacantes no autenticados pueden lograr la ejecución remota de código con privilegios de root, y aún no hay parches disponibles.
Se insta a los defensores de redes a asegurar de inmediato los firewalls de Palo Alto Networks (PAN) que ejecutan el sistema operativo PAN-OS.
La vulnerabilidad crítica afecta al portal cautivo, conocido como User-ID™ Authentication Portal. Se trata de una página de inicio de sesión orientada al usuario que solicita autenticación antes de permitir el acceso a la red. Si los atacantes logran acceder a este portal, pueden enviar una solicitud maliciosa y ejecutar código arbitrario con privilegios de root en el firewall sin necesidad de credenciales.
La propia PAN ya ha detectado una explotación limitada de la vulnerabilidad y está trabajando en el lanzamiento de correcciones de emergencia, a partir del 13 de mayo de 2026.
La clasificación de gravedad de este fallo, identificado como CVE-2026-0300, es de 9,3 sobre 10, lo que indica que es crítico y debe mitigarse con la máxima prioridad.
Mientras se desarrollan los parches, PAN sugiere aplicar las soluciones alternativas y medidas de mitigación detalladas en el aviso de seguridad.
https://security.paloaltonetworks.com/CVE-2026-0300
Entre estas medidas se incluye restringir el portal cautivo tanto como sea posible —limitándolo únicamente a zonas de confianza— o desactivarlo por completo si no resulta necesario. En cualquier entorno donde las interfaces de red estén expuestas a la Internet pública o a redes no confiables, esta funcionalidad debe ser desactivada.
Rapid7, una empresa de ciberseguridad, advierte que aproximadamente 225.000 instancias de PAN-OS se encuentran expuestas a la Internet abierta, lo que genera una superficie de ataque significativa.
Esta vulnerabilidad afecta a los firewalls de las series PA y VM. Los dispositivos Prisma Access, Cloud NGFW y Panorama no se ven afectados por ella.
«Un atacante remoto no autenticado puede explotar esta vulnerabilidad enviando paquetes especialmente diseñados a un dispositivo que tenga habilitado el Portal de Autenticación, logrando así la ejecución de código arbitrario con privilegios de *root* en el firewall afectado. No se requiere autenticación ni interacción por parte del usuario», señala el aviso de seguridad de Rapid7.
Los investigadores de seguridad de Wiz explican que este fallo constituye una vulnerabilidad de desbordamiento de búfer (*buffer overflow*); esto significa que los paquetes de red maliciosos pueden contener una cantidad de datos superior a la que el firewall es capaz de procesar, provocando una condición de escritura fuera de los límites —es decir, fuera del espacio de memoria asignado—.
Los datos de Wiz indican que el 7% de los entornos tienen instancias de PAN-OS expuestas públicamente. Sin embargo, solo unas pocas docenas de servidores parecen exponer los puertos utilizados por el portal cautivo.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU. (CISA) ya ha añadido este fallo a su catálogo de Vulnerabilidades Conocidas Explotadas, otorgando a las agencias federales tres días adicionales —hasta el 9 de mayo— para asegurar los sistemas expuestos.
«Hasta que el proveedor publique una solución oficial, se debe implementar la siguiente medida provisional: restringir el acceso al Portal de Autenticación User-ID únicamente a zonas de confianza; y deshabilitar el Portal de Autenticación User-ID si no resulta necesario», insta la CISA.
La implementación de las mitigaciones propuestas reduce la gravedad de esta vulnerabilidad de día cero a un 8,7 sobre 10, lo cual sigue representando un riesgo significativo.
Investigadores de PAN apuntan a actores de amenazas vinculados a estados-nación
Unit 42, el equipo de inteligencia sobre amenazas cibernéticas de PAN, sospecha que un grupo de amenazas «probablemente patrocinado por un Estado» —rastreado bajo el identificador CL-STA-1132— se encuentra detrás de la «explotación limitada» de esta vulnerabilidad de día cero.
«Los atacantes lograron ejecutar código de forma remota (RCE) con éxito en el dispositivo e inyectaron *shellcode*. Tras comprometer el sistema, los atacantes procedieron de inmediato a limpiar los registros (*logs*) para eludir la detección; para ello, eliminaron los mensajes de error del núcleo (*kernel*), borraron las entradas y registros de fallos de Nginx, y suprimieron los archivos de volcado de memoria (*core dump*) generados tras los fallos», explicaron los investigadores de Unit 42 en un informe de amenazas independiente.
En los sistemas comprometidos, los atacantes desplegaron herramientas de tunelización de acceso público, tales como EarthWorm y ReverseSocks5. Estas herramientas SOCKS5 son utilizadas por los atacantes para eludir los cortafuegos y establecer conexiones salientes hacia servidores bajo su propio control, creando así canales encubiertos de comunicación y control.
Asimismo, los atacantes realizaron un mapeo de la red de la organización mediante la enumeración (listado de usuarios, dispositivos, grupos y permisos) del Directorio Activo (*Active Directory*). Además, destruyeron de manera sistemática los registros y cualquier otra evidencia del compromiso de seguridad.
El informe destaca que los atacantes operan con lentitud, a lo largo de varias semanas, manteniéndose por debajo de «los umbrales de comportamiento que activan la mayoría de los sistemas de alerta automatizados».
Para pasar desapercibidos, hicieron un uso indebido de credenciales de usuario legítimas y demostraron una «contención operativa» con el fin de evitar ser detectados y asegurar una «presencia persistente a largo plazo» dentro del entorno.
Fuente:
CyberNews
https://cybernews.com/security/hackers-exploit-palo-alto-networks-firewalls-zero-day/