CVE-2026-0300 je kritická zranitelnost přetečení vyrovnávací paměti (buffer overflow) v komponentě User-ID Authentication Portal (Captive Portal) softwaru PAN-OS od společnosti Palo Alto Networks. Umožňuje neověřeným útočníkům spouštět libovolný kód na firewallech vystavených internetu.

Potřebují útočníci k zneužití této zranitelnosti přihlašovací údaje?

Ne, zneužití nevyžaduje žádné ověření totožnosti, což znamená, že útočník nepotřebuje odcizené přihlašovací údaje, obcházení vícefaktorového ověřování ani jakýkoli předchozí přístup do sítě. Pokud je rozhraní pro správu firewallu nebo Captive Portal dostupný z internetu, je potenciálně zranitelný.

Kdo stojí za zneužíváním CVE-2026-0300?

Palo Alto Networks přisoudila aktivitu pravděpodobně státem sponzorovaným hrozbám, ačkoli veřejně nejmenovala konkrétní zemi ani skupinu. Vzorec cílení odpovídá cílům v podobě špionáže, dlouhodobého přístupu k síti a zpravodajských aktivit.

Jaké typy organizací jsou cílem útoků?

Cílem jsou organizace provozující nasazení PAN-OS vystavená internetu, včetně velkých podniků, vládních agentur, finančních institucí a provozovatelů kritické infrastruktury.

Vydala společnost Palo Alto Networks záplatu pro tuto zranitelnost?

K době vydání článku Palo Alto Networks identifikovala aktivitu spojenou se zneužíváním chyby a pracovala na záplatě, nicméně vydání opravy nebylo dosud potvrzeno.

CVE-2026-0300: Státem sponzorovaní hackeři napadli firewally Palo Alto

Společnost Palo Alto Networks potvrdila, že kritická zero-day zranitelnost v jejím softwaru PAN-OS je aktivně zneužívána pravděpodobně státem sponzorovanými hrozbami. Chyba, sledovaná jako CVE-2026-0300, umožňuje neověřeným útočníkům spouštět libovolný kód na firewallech vystavených internetu. Tato kombinace – žádné ověření totožnosti a plný přístup ke spuštění kódu – řadí tento státem sponzorovaný útok na zero-day zranitelnost Palo Alto mezi závažnější hrozby na podnikové úrovni, které byly letos zveřejněny.

Palo Alto Networks identifikovala aktivitu spojenou se zneužíváním chyby a varovala zákazníky, přičemž pracuje na vydání záplaty. Vzorec cílení naznačuje zapojení aktérů na úrovni národních států, ačkoli přesné přisouzení odpovědnosti nebylo dosud plně zveřejněno.

Co CVE-2026-0300 způsobuje a proč je neověřené RCE tak nebezpečné

CVE-2026-0300 je zranitelnost přetečení vyrovnávací paměti (buffer overflow) nacházející se v portálu User-ID Authentication Portal, známém také jako komponenta Captive Portal systému PAN-OS. K přetečení vyrovnávací paměti dochází, když program zapíše do paměťové vyrovnávací paměti více dat, než kolik pojme, což může útočníkovi umožnit přepsat sousední paměť a vložit škodlivé instrukce.

Zvláště závažným činí tuto chybu skutečnost, že její zneužití nevyžaduje žádné ověření totožnosti. Útočník nepotřebuje krást přihlašovací údaje, obcházet vícefaktorové ověřování ani provádět předchozí průzkum uvnitř sítě. Pokud je rozhraní pro správu firewallu nebo Captive Portal dostupný z internetu, dveře jsou otevřené.

Vzdálené spuštění kódu (RCE) na úrovni firewallu je pro organizaci prakticky to nejhorší, co může nastat. Firewall není jen jedno zařízení – je to strážce všeho, co se nachází za ním. Útočník s RCE na perimetrovém firewallu může zachytávat provoz, proniknout do interních sítí, vypnout bezpečnostní pravidla nebo instalovat trvalé zadní vrátka. Záplatování kompromitovaného firewallu je jen prvním krokem mnohem delšího procesu obnovy.

Kdo stojí za útoky a jaká infrastruktura je cílem

Palo Alto Networks přisoudila aktivitu spojenou se zneužíváním chyby pravděpodobně státem sponzorovaným aktérům, ačkoli veřejně nejmenovala konkrétní zemi ani skupinu. Cílení na podnikovou infrastrukturní firewallů odpovídá taktikám sofistikovaných, dobře financovaných skupin, jejichž cíle obvykle zahrnují špionáž, dlouhodobý přístup k síti a zpravodajské aktivity, nikoli oportunistickou finanční trestnou činnost.

Tento vzorec není nový. Aktéři na úrovni národních států stále více přesouvají pozornost na zařízení síťové infrastruktury, včetně routerů, VPN zařízení a firewallů, právě proto, že tato zařízení stojí na hranici obrany každé organizace. Kompromitace perimetru znamená kompromitaci viditelnosti.

Cílem jsou organizace využívající nasazení PAN-OS vystavená internetu – kategorie zahrnující velké podniky, vládní agentury, finanční instituce a provozovatele kritické infrastruktury. Jak ukázalo narušení čínské hackerské skupiny napojené na KSČ ze strany Googlu, která zasáhla 53 cílů po celém světě, státem sponzorované kampaně běžně operují ve velkém měřítku napříč více sektory a geografickými oblastmi současně.

Jak kompromitované firewally ohrožují všechny, kdo se za nimi nacházejí

Většina lidí vnímá prolomení firewallu jako problém IT oddělení. V praxi je to však problém pro každou osobu a každý systém, který se za tímto firewallem nachází.

Když je firewall kompromitován na úrovni operačního systému prostřednictvím RCE, útočník se fakticky stává správcem sítě. Šifrovaná interní komunikace může být zachycena. Koncová zařízení, která nebyla nikdy přímo cílem, se náhle stávají dostupnými. Citlivá data při přenosu – včetně přihlašovacích údajů, interních dokumentů a komunikace – mohou být odhalena, aniž by byl spuštěn jakýkoli alarm.

Pro organizace, které podporují vzdálené pracovníky, je rozsah možného poškození ještě větší. Provoz VPN ukončující se na kompromitovaném firewallu může být pro útočníka viditelný. Proto je hloubková obrana tak důležitá: šifrování end-to-end a bezpečnostní kontroly na aplikační vrstvě zůstávají kritické i tehdy, když jsou perimetrové obrany považovány za robustní.

Širší ponaučení zde odráží to, co analytici pozorovali v jiných státem sponzorovaných kampaních. Jak bylo popsáno v reportáži o ruských phishingových útocích cílených na německé úředníky prostřednictvím Signalu, aktéři na úrovni národních států sledují více vektorů současně. Když je jedna cesta posílena, je zkoumána jiná. Útoky na úrovni infrastruktury, jako je tento, jsou atraktivní, protože operují z velké části pod prahem detekce nástrojů zaměřených na uživatelskou bezpečnost.

Co by organizace a jednotlivci měli udělat právě teď

Pro bezpečnostní týmy spravující infrastrukturu Palo Alto Networks jsou okamžité priority jasné.

Zaprvé, zkontrolujte, zda je Captive Portal nebo User-ID Authentication Portal vašeho nasazení PAN-OS vystaven veřejnému internetu. Pokud ano, okamžitě omezte přístup. Palo Alto Networks doporučila omezit přístup k rozhraní pro správu na důvěryhodné rozsahy IP adres jako dočasné zmírnění rizika, dokud nebude záplata dokončena.

Zadruhé, prověřte protokoly firewallu na případné anomální aktivity, které by mohly naznačovat, že ke zneužití již došlo. Hledejte neočekávaná odchozí připojení, neobvyklé autentizační události nebo změny konfigurace, které neodpovídají autorizovaným administrativním akcím.

Zatřetí, jakmile bude vydána, okamžitě aplikujte oficiální záplatu od Palo Alto Networks. Nečekejte. Státem sponzorovaní aktéři zpravidla jednají rychle, jakmile je zero-day veřejně zveřejněna, a další oportunističtí útočníci se na tutéž zranitelnost nezřídka napojí krátce poté.

Pro jednotlivce a menší organizace, které se spoléhají na poskytovatele služeb nebo cloudová prostředí využívající infrastrukturu Palo Alto na vyšší úrovni, jsou praktické kroky odlišné. Zeptejte se svých poskytovatelů přímo, zda byli zasaženi a jaká zmírňující opatření aplikovali. Zvažte, zda je citlivá komunikace chráněna šifrováním na aplikační vrstvě nezávislým na síťovém perimetru.

Pochopení toho, proč jsou sofistikovaní hackeři tak obtížně odhalitelní a postihnutelní, pomáhá vysvětlit, proč čekání na reakci orgánů činných v trestním řízení je v takových incidentech zřídkakdy praktickou strategií. Odolnost organizace závisí na vlastní připravenosti, nikoli na reaktivní nápravě.

Širší kontext

CVE-2026-0300 je ostrým připomenutím toho, že hardware podnikové třídy není ze své podstaty imunní vůči zneužití. Státem sponzorovaní aktéři cíleně hledají klíčová místa v organizační infrastruktuře s vysokou hodnotou a firewally představují přesně to. Implicitní důvěra vložená do perimetrových zařízení činí jejich kompromitaci obzvláště škodlivou.

Nejlepší reakcí je kombinace naléhavých technických opatření (záplatování, omezení přístupu, prověření protokolů) a dlouhodobého přehodnocení toho, do jaké míry je jediné zařízení pověřeno ochranou všeho za ním. Žádný jediný kontrolní bod, jakkoli renomovaný je výrobce, by neměl být považován za neomylný. Organizace, které vrství svou obranu, budou v mnohem silnější pozici příště, až se podobná zero-day zranitelnost objeví.