Što je CVE-2026-0300?

CVE-2026-0300 je kritična ranjivost prekoračenja međuspremnika u komponenti Portala za autentifikaciju korisničkih identiteta (Captive Portal) softvera PAN-OS tvrtke Palo Alto Networks. Omogućuje neautentificiranim napadačima izvršavanje proizvoljnog kôda na vatrozidima izloženim internetu.

Trebaju li napadači vjerodajnice za iskorištavanje ove ranjivosti?

Ne, iskorištavanje ne zahtijeva nikakvu autentifikaciju, što znači da napadač ne treba ukradene vjerodajnice, zaobilaženje višefaktorske autentifikacije niti ikakav prethodni mrežni pristup. Ako je upravljačko sučelje vatrozida ili Captive Portal dostupan s interneta, potencijalno je ranjiv.

Tko stoji iza iskorištavanja CVE-2026-0300?

Palo Alto Networks pripisao je aktivnost osumnjičenim državno sponzoriranim akterima prijetnji, iako nije javno imenovao određenu državu ili skupinu. Obrazac ciljanja u skladu je s ciljevima špijunaže, dugoročnog mrežnog pristupa i prikupljanja obavještajnih podataka.

Koje vrste organizacija su na meti?

Mete su organizacije koje koriste PAN-OS implementacije izložene internetu, uključujući velika poduzeća, vladine agencije, financijske institucije i operatere kritične infrastrukture.

Je li Palo Alto Networks objavio zakrpu za ovu ranjivost?

Prema trenutku izvještavanja u ovom članku, Palo Alto Networks identificirao je aktivnost iskorištavanja i radio na izradi zakrpe, ali nije potvrđeno da je popravak već objavljen.

CVE-2026-0300: Državno sponzorirani hakeri napali Palo Alto vatrozide

Tvrtka Palo Alto Networks potvrdila je da se kritična ranjivost nultog dana u njihovom softveru PAN-OS aktivno iskorištava od strane osumnjičenih državno sponzoriranih aktera prijetnji. Ranjivost, praćena kao CVE-2026-0300, omogućuje neautentificiranim napadačima izvršavanje proizvoljnog kôda na vatrozidima izloženim internetu. Ta kombinacija — bez potrebe za autentifikacijom i uz potpuni pristup za izvršavanje kôda — čini ovaj državno sponzorirani napad nultog dana na Palo Alto jednom od ozbiljnijih prijetnji na razini poduzeća otkrivenih ove godine.

Palo Alto Networks identificirao je aktivnost iskorištavanja i upozorio korisnike dok radi na izradi zakrpe. Obrazac ciljanja upućuje na aktere koji djeluju u ime nacionalnih država, iako atribucija nije u potpunosti javno objavljena.

Što radi CVE-2026-0300 i zašto je neautentificirani RCE toliko opasan

CVE-2026-0300 je ranjivost prekoračenja međuspremnika koja se nalazi u Portalu za autentifikaciju korisničkih identiteta, poznatom i kao komponenta Captive Portal u PAN-OS-u. Prekoračenja međuspremnika nastaju kada program upisuje više podataka u memorijski međuspremnik nego što može primiti, što napadaču može omogućiti prepisivanje susjedne memorije i ubacivanje zlonamjernih instrukcija.

Ono što ovu ranjivost čini posebno ozbiljnom jest činjenica da iskorištavanje ne zahtijeva nikakvu autentifikaciju. Napadač ne treba ukrasti vjerodajnice, zaobići višefaktorsku autentifikaciju niti provesti ikakvo prethodno izviđanje unutar mreže. Ako je upravljačko sučelje vatrozida ili Captive Portal dostupan s interneta, vrata su otvorena.

Udaljeno izvršavanje kôda (RCE) na razini vatrozida jedna je od najgorih situacija za neku organizaciju. Vatrozid nije samo jedan uređaj. On je čuvar svega što se nalazi iza njega. Napadač s RCE-om na perimetarskom vatrozidu može presretati promet, prodirati u interne mreže, onemogućavati sigurnosna pravila ili postavljati trajne stražnje ulaze. Zakrpavanje kompromitiranog vatrozida samo je prvi korak u mnogo dužem procesu oporavka.

Tko stoji iza napada i koja je infrastruktura na meti

Palo Alto Networks pripisao je aktivnost iskorištavanja osumnjičenim državno sponzoriranim akterima, ali nije javno imenovao određenu državu ili skupinu. Ciljanje infrastrukture vatrozida poduzeća u skladu je s taktikama sofisticiranih, dobro opremljenih skupina čiji ciljevi obično uključuju špijunažu, dugoročni pristup mreži i prikupljanje obavještajnih podataka, a ne oportunistički financijski kriminal.

Ovakav obrazac nije nov. Akteri koji djeluju u ime nacionalnih država sve više usmjeravaju svoju pozornost prema uređajima mrežne infrastrukture, uključujući usmjerivače, VPN uređaje i vatrozide, upravo zato što se ti uređaji nalaze na rubu obrane svake organizacije. Kompromitiranje perimetra znači kompromitiranje vidljivosti.

Mete su organizacije koje koriste PAN-OS implementacije izložene internetu — kategorija koja uključuje velika poduzeća, vladine agencije, financijske institucije i operatere kritične infrastrukture. Kao što je pokazalo Googleovo raskrinkavanje hakerske skupine povezane s KPK-om koja je napala 53 mete globalno, državno sponzorirane kampanje rutinski djeluju u velikom opsegu kroz više sektora i geografskih područja istovremeno.

Kako kompromitivani vatrozidi ugrožavaju sve iza njih

Većina ljudi smatra proboj vatrozida IT problemom. U praksi, to je problem za svaku osobu i svaki sustav koji se nalazi iza tog vatrozida.

Kada je vatrozid kompromitiran na razini operacijskog sustava putem RCE-a, napadač efektivno postaje mrežni administrator. Šifrirana interna komunikacija može biti presretnuta. Krajnji uređaji koji nikada nisu bili izravno napadnuti odjednom postaju dostupni. Osjetljivi podaci u prijenosu — uključujući vjerodajnice, interne dokumente i komunikacije — mogu biti izloženi bez ikakve aktivacije upozorenja.

Za organizacije koje podržavaju udaljene radnike, radijus štete je još veći. VPN promet koji završava na kompromitiranom vatrozidu može biti vidljiv napadaču. Upravo zato je dubinska obrana važna: alati s enkripcijom od kraja do kraja i sigurnosne kontrole na razini aplikacije ostaju ključni čak i kada se perimetarska obrana smatra robusnom.

Šira pouka ovdje odražava ono što su analitičari uočili u drugim državno sponzoriranim kampanjama. Kao što je pokriveno u izvještavanju o Rusiji i phishing napadima na njemačke dužnosnike putem Signala, akteri nacionalnih država istovremeno slijede više vektora. Kada je jedan put ojačan, drugi se istražuje. Napadi na razini infrastrukture poput ovog privlačni su jer uglavnom djeluju ispod radara sigurnosnih alata usmjerenih na korisnike.

Što organizacije i pojedinci trebaju učiniti odmah

Za sigurnosne timove koji upravljaju infrastrukturom Palo Alto Networks, neposredni prioriteti su jasni.

Prvo, provjerite je li Captive Portal ili Portal za autentifikaciju korisničkih identiteta vaše PAN-OS implementacije izložen javnom internetu. Ako jest, odmah ograničite pristup. Palo Alto Networks preporučio je ograničavanje pristupa upravljačkom sučelju na pouzdane IP raspone kao privremenu mjeru ublažavanja dok se zakrpa ne dovrši.

Drugo, pregledajte zapise vatrozida radi bilo kakve anomalne aktivnosti koja bi mogla ukazivati na to da je iskorištavanje već nastupilo. Potražite neočekivane odlazne veze, neuobičajene događaje autentifikacije ili promjene konfiguracije koje ne odgovaraju ovlaštenim administrativnim radnjama.

Treće, primijenite službenu zakrpu tvrtke Palo Alto Networks čim bude objavljena. Ne čekajte. Državno sponzorirani akteri obično brzo djeluju nakon što se ranjivost nultog dana javno objavi, a drugi oportunistički napadači često se oslanjaju na istu ranjivost ubrzo nakon toga.

Za pojedince i manje organizacije koje se oslanjaju na pružatelje usluga ili oblak okruženja koji koriste Palo Alto infrastrukturu uzvodno, praktični koraci su drugačiji. Izravno pitajte svoje pružatelje usluga jesu li pogođeni i koje su mjere ublažavanja primijenili. Razmotrite jesu li osjetljive komunikacije zaštićene enkripcijom na razini aplikacije neovisno o mrežnom perimetru.

Razumijevanje zašto je sofisticirane hakere toliko teško otkriti i procesuirati pomaže objasniti zašto čekanje na reakciju tijela za provedbu zakona rijetko kada predstavlja praktičnu strategiju u ovakvim incidentima. Organizacijska otpornost ovisi o internoj pripremljenosti, a ne o reaktivnom otklanjanju posljedica.

Šira slika

CVE-2026-0300 je oštar podsjetnik da hardver poslovne razine inherentno nije imun na iskorištavanje. Državno sponzorirani akteri posebno traže visoko vrijedne uska grla u organizacijskoj infrastrukturi, a vatrozidi predstavljaju upravo to. Implicitno povjerenje koje se polaže u perimetarske uređaje čini njihovo kompromitiranje posebno štetnim.

Najbolji odgovor kombinacija je hitnih tehničkih radnji (zakrpavanje, ograničavanje pristupa, pregled zapisa) i dugoročne ponovne procjene koliko se vjeruje jednom uređaju da štiti sve iza njega. Nijedna pojedinačna točka kontrole, bez obzira na ugled dobavljača, ne smije se smatrati nepogrešivom. Organizacije koje sloje svoje obrane bit će u mnogo jačoj poziciji sljedeći put kada se pojavi ranjivost nultog dana poput ove.