CVE-2026-0300: Государственные хакеры атакуют межсетевые экраны Palo Alto
Компания Palo Alto Networks подтвердила, что критическая уязвимость нулевого дня в программном обеспечении PAN-OS активно эксплуатируется предположительно спонсируемыми государством злоумышленниками. Уязвимость, отслеживаемая как CVE-2026-0300, даёт неаутентифицированным атакующим возможность выполнять произвольный код на подключённых к интернету межсетевых экранах. Сочетание отсутствия требования аутентификации с полным доступом к выполнению кода делает эту спонсируемую государством атаку через уязвимость нулевого дня Palo Alto одной из наиболее серьёзных угроз корпоративного уровня, раскрытых в этом году.
Palo Alto Networks выявила активность по эксплуатации уязвимости и предупредила клиентов, одновременно работая над выпуском патча. Характер атак указывает на акторов уровня национального государства, однако атрибуция пока не была полностью раскрыта публично.
Что делает CVE-2026-0300 и почему неаутентифицированное RCE так опасно
CVE-2026-0300 — это уязвимость переполнения буфера, находящаяся в компоненте User-ID Authentication Portal, также известном как Captive Portal в составе PAN-OS. Переполнение буфера происходит, когда программа записывает в буфер памяти больше данных, чем он способен вместить, что может позволить злоумышленнику перезаписать смежные области памяти и внедрить вредоносные инструкции.
Особую опасность этой уязвимости придаёт то, что для её эксплуатации не требуется никакой аутентификации. Атакующему не нужно похищать учётные данные, обходить многофакторную аутентификацию или проводить какую-либо предварительную разведку внутри сети. Если интерфейс управления межсетевым экраном или Captive Portal доступен из интернета — дверь открыта.
Удалённое выполнение кода (RCE) на уровне межсетевого экрана — это один из наихудших сценариев для любой организации. Межсетевой экран — не просто отдельное устройство. Это привратник для всего, что находится за ним. Злоумышленник, получивший RCE на периметральном межсетевом экране, может перехватывать трафик, проникать во внутренние сети, отключать правила безопасности или устанавливать постоянные бэкдоры. Восстановление скомпрометированного межсетевого экрана — это лишь первый шаг в значительно более длительном процессе.
Кто стоит за атаками и какая инфраструктура является целью
Palo Alto Networks приписала активность по эксплуатации уязвимости предположительно спонсируемым государством акторам, однако публично не назвала конкретную страну или группу. Атаки на инфраструктуру корпоративных межсетевых экранов соответствуют тактикам, применяемым хорошо оснащёнными и многочисленными группировками, чьи цели, как правило, включают шпионаж, долгосрочный доступ к сетям и сбор разведывательных данных, а не оппортунистические финансовые преступления.
Эта закономерность не нова. Акторы уровня национального государства всё активнее переключают внимание на устройства сетевой инфраструктуры — маршрутизаторы, VPN-устройства и межсетевые экраны — именно потому, что эти устройства расположены на периметре защиты каждой организации. Компрометация периметра означает компрометацию видимости.
Цели атак — организации, использующие развёртывания PAN-OS с открытым доступом из интернета: крупные предприятия, государственные органы, финансовые учреждения и операторы критической инфраструктуры. Как продемонстрировало разоблачение Google связанной с КПК хакерской группировки, атаковавшей 53 цели по всему миру, спонсируемые государством кампании регулярно действуют в масштабе, охватывая одновременно множество секторов и географических регионов.
Как скомпрометированные межсетевые экраны подвергают угрозе всех, кто находится за ними
Большинство людей воспринимают взлом межсетевого экрана как проблему ИТ-отдела. На практике это проблема для каждого пользователя и каждой системы, находящейся за этим экраном.
Когда межсетевой экран скомпрометирован на уровне операционной системы через RCE, злоумышленник фактически становится сетевым администратором. Зашифрованные внутренние коммуникации могут быть перехвачены. Конечные устройства, которые никогда не были прямыми целями, внезапно становятся доступными. Конфиденциальные данные в процессе передачи — включая учётные данные, внутренние документы и переписку — могут быть раскрыты без каких-либо сработавших оповещений.
Для организаций, поддерживающих удалённых сотрудников, радиус поражения ещё больше. VPN-трафик, завершающийся на скомпрометированном межсетевом экране, может быть виден злоумышленнику. Именно поэтому глубокоэшелонированная защита имеет такое значение: инструменты со сквозным шифрованием и средства контроля безопасности на уровне приложений остаются критически важными, даже когда периметральная защита считается надёжной.
Более широкий урок здесь перекликается с тем, что аналитики наблюдали в других спонсируемых государством кампаниях. Как следует из материалов о фишинговых атаках России на немецких чиновников через Signal, акторы уровня национального государства одновременно используют несколько векторов. Когда один путь укрепляется, проверяется другой. Атаки на уровне инфраструктуры, подобные этой, привлекательны тем, что они в значительной мере остаются вне поля зрения пользовательских инструментов безопасности.
Что должны сделать организации и частные лица прямо сейчас
Для команд безопасности, управляющих инфраструктурой Palo Alto Networks, первоочередные задачи очевидны.
Во-первых, проверьте, доступен ли Captive Portal или User-ID Authentication Portal вашего развёртывания PAN-OS из публичного интернета. Если да — немедленно ограничьте доступ. Palo Alto Networks рекомендовала ограничить доступ к интерфейсу управления доверенными диапазонами IP-адресов в качестве временной меры до выпуска патча.
Во-вторых, проверьте журналы межсетевого экрана на наличие любой аномальной активности, которая может свидетельствовать о том, что эксплуатация уже произошла. Обратите внимание на неожиданные исходящие подключения, необычные события аутентификации или изменения конфигурации, не соответствующие авторизованным административным действиям.
В-третьих, как только официальный патч от Palo Alto Networks будет выпущен — установите его незамедлительно. Не откладывайте. Спонсируемые государством акторы, как правило, действуют быстро после публичного раскрытия уязвимости нулевого дня, а другие оппортунистические атакующие нередко используют ту же уязвимость вскоре после этого.
Для частных лиц и небольших организаций, которые полагаются на поставщиков услуг или облачные среды, использующие инфраструктуру Palo Alto на вышестоящем уровне, практические шаги иные. Напрямую спросите своих провайдеров, были ли они затронуты и какие меры защиты они применили. Оцените, защищены ли конфиденциальные коммуникации шифрованием на уровне приложений независимо от сетевого периметра.
Понимание того, почему опытных хакеров так сложно обнаружить и привлечь к ответственности, помогает объяснить, почему ожидание реакции правоохранительных органов редко является практичной стратегией в подобных инцидентах. Устойчивость организации зависит от внутренней готовности, а не от реактивного устранения последствий.
Общая картина
CVE-2026-0300 — это жёсткое напоминание о том, что корпоративное аппаратное обеспечение не застраховано от эксплуатации. Спонсируемые государством акторы целенаправленно ищут узловые точки высокой ценности в организационной инфраструктуре, а межсетевые экраны представляют собой именно такие точки. Безоговорочное доверие, оказываемое периметральным устройствам, делает их компрометацию особенно разрушительной.
Наилучший ответ — сочетание срочных технических действий (установка патчей, ограничение доступа, анализ журналов) и долгосрочного переосмысления того, насколько большое доверие можно оказывать отдельному устройству, на которое возложена защита всего, что находится за ним. Ни одна единственная точка контроля, каким бы авторитетным ни был производитель, не должна считаться безупречной. Организации, применяющие многоуровневую защиту, окажутся в значительно более выгодном положении, когда в следующий раз появится подобная уязвимость нулевого дня.
