CVE-2026-0300: Хакери, що діють в інтересах держав, атакують міжмережеві екрани Palo Alto

CVE-2026-0300: Хакери, що діють в інтересах держав, атакують міжмережеві екрани Palo Alto

Компанія підтвердила, що критична вразливість нульового дня в програмному забезпеченні PAN-OS від Palo Alto Networks активно використовується зловмисниками, що, за підозрами, діють в інтересах держав. Вразливість, що відстежується як CVE-2026-0300, дає неавтентифікованим зловмисникам можливість виконувати довільний код на міжмережевих екранах, доступних з інтернету. Поєднання відсутності вимог до автентифікації з повним доступом до виконання коду робить цю атаку державних суб'єктів через вразливість нульового дня Palo Alto однією з найсерйозніших загроз корпоративного рівня, розкритих цього року.

Palo Alto Networks виявила активність з використання вразливості та попередила клієнтів, паралельно працюючи над випуском патча. Характер цілей вказує на суб'єктів, пов'язаних з державами, однак повна публічна атрибуція так і не була здійснена.

Що робить CVE-2026-0300 і чому неавтентифіковане RCE є настільки небезпечним

CVE-2026-0300 — це вразливість переповнення буфера, що міститься в порталі автентифікації User-ID, також відомому як компонент Captive Portal у PAN-OS. Переповнення буфера виникає, коли програма записує до буфера пам'яті більше даних, ніж він може вмістити, що дозволяє зловмиснику перезаписати суміжну пам'ять і впровадити шкідливі інструкції.

Що робить цю конкретну вразливість особливо серйозною — так це те, що для її експлуатації не потрібна жодна автентифікація. Зловмисникові не потрібно красти облікові дані, обходити багатофакторну автентифікацію або проводити будь-яку попередню розвідку всередині мережі. Якщо інтерфейс управління міжмережевим екраном або Captive Portal доступний з інтернету — двері відчинені.

Віддалене виконання коду (RCE) на рівні міжмережевого екрана є, мабуть, найгіршим сценарієм для будь-якої організації. Міжмережевий екран — це не просто окремий пристрій. Це воротар для всього, що знаходиться за ним. Зловмисник, що отримав RCE на периметральному міжмережевому екрані, може перехоплювати трафік, проникати у внутрішні мережі, вимикати правила безпеки або встановлювати постійні бекдори. Патчинг скомпрометованого міжмережевого екрана — лише перший крок значно довшого процесу відновлення.

Хто стоїть за атаками і яка інфраструктура є ціллю

Palo Alto Networks приписала активність з використання вразливості підозрюваним державним суб'єктам, однак не назвала публічно конкретну країну чи групу. Вибір корпоративної інфраструктури міжмережевих екранів як цілі відповідає тактиці, що використовується витонченими, добре забезпеченими ресурсами групами, чиї цілі зазвичай включають шпигунство, довгостроковий доступ до мереж та збір розвідувальних даних, а не опортуністичні фінансові злочини.

Ця закономірність не є новою. Державні суб'єкти дедалі більше переносять свою увагу на пристрої мережевої інфраструктури, зокрема маршрутизатори, VPN-апаратуру та міжмережеві екрани — саме тому, що ці пристрої розташовані на периметрі захисту кожної організації. Компрометація периметра означає компрометацію видимості.

Цілями є організації, що використовують розгортання PAN-OS з доступом з інтернету, — категорія, яка включає великі підприємства, державні установи, фінансові інституції та операторів критичної інфраструктури. Як продемонстрував злам Google хакерської групи, пов'язаної з КПК, яка атакувала 53 цілі по всьому світу, державні кампанії регулярно діють у масштабі одночасно в кількох секторах та географічних регіонах.

Як скомпрометовані міжмережеві екрани наражають на небезпеку всіх, хто знаходиться за ними

Більшість людей сприймає злам міжмережевого екрана як ІТ-проблему. На практиці це проблема для кожної людини та кожної системи, що знаходиться за цим екраном.

Коли міжмережевий екран скомпрометовано на рівні операційної системи через RCE, зловмисник фактично стає мережевим адміністратором. Зашифровані внутрішні комунікації можуть бути перехоплені. Кінцеві пристрої, що ніколи не були безпосередньою ціллю, раптово стають доступними. Конфіденційні дані в транзиті, зокрема облікові дані, внутрішні документи та комунікації, можуть бути розкриті без жодного спрацювання сповіщень.

Для організацій, що підтримують віддалених працівників, масштаб можливих наслідків ще більший. VPN-трафік, що завершується на скомпрометованому міжмережевому екрані, може бути видимим для зловмисника. Саме тому ешелонована оборона має таке значення: наскрізне шифрування та засоби контролю безпеки на рівні застосунків залишаються критично важливими навіть тоді, коли периметральні засоби захисту вважаються надійними.

Ширший урок тут перегукується з тим, що аналітики спостерігали в інших державних кампаніях. Як йдеться у репортажі про фішингові атаки Росії на німецьких чиновників через Signal, державні суб'єкти одночасно використовують кілька векторів атаки. Коли один шлях зміцнюється, інший починають зондувати. Атаки на рівні інфраструктури, подібні до цієї, є привабливими, оскільки вони діють переважно поза межами видимості інструментів безпеки, орієнтованих на користувача.

Що організаціям та окремим особам слід зробити прямо зараз

Для команд безпеки, що управляють інфраструктурою Palo Alto Networks, першочергові завдання очевидні.

По-перше, перевірте, чи Captive Portal або портал автентифікації User-ID у вашому розгортанні PAN-OS доступні з публічного інтернету. Якщо так — негайно обмежте доступ. Palo Alto Networks рекомендувала обмежити доступ до інтерфейсу управління довіреними діапазонами IP-адрес як тимчасовий захід до виходу офіційного патча.

По-друге, перегляньте журнали міжмережевого екрана на предмет будь-якої аномальної активності, що могла б свідчити про вже здійснену компрометацію. Шукайте несподівані вихідні підключення, незвичайні події автентифікації або зміни конфігурації, що не відповідають авторизованим адміністративним діям.

По-третє, застосуйте офіційний патч від Palo Alto Networks одразу після його виходу. Не зволікайте. Державні суб'єкти зазвичай діють швидко після публічного розкриття вразливості нульового дня, а інші опортуністичні зловмисники часто слідують за ними, використовуючи ту саму вразливість незабаром після цього.

Для окремих осіб і менших організацій, що покладаються на постачальників послуг або хмарні середовища, які використовують інфраструктуру Palo Alto на більш високому рівні, практичні кроки відрізняються. Безпосередньо запитайте своїх постачальників, чи зазнали вони впливу та які заходи пом'якшення вони застосували. Розгляньте питання, чи захищені конфіденційні комунікації шифруванням на рівні застосунків незалежно від мережевого периметра.

Розуміння того, чому витончених хакерів так важко виявити та притягнути до відповідальності, пояснює, чому очікування відповіді правоохоронних органів рідко є практичною стратегією в подібних інцидентах. Стійкість організації залежить від внутрішньої готовності, а не від реактивного усунення наслідків.

Ширша картина

CVE-2026-0300 є чітким нагадуванням про те, що корпоративне апаратне забезпечення не є за своєю природою несприйнятливим до компрометації. Державні суб'єкти цілеспрямовано шукають вузькі місця з високою цінністю в організаційній інфраструктурі, і міжмережеві екрани є саме такими. Безумовна довіра, що покладається на периметральні пристрої, робить їхню компрометацію особливо руйнівною.

Найкраща відповідь — це поєднання термінових технічних дій (патчинг, обмеження доступу, перегляд журналів) і довгострокового переосмислення того, наскільки будь-який окремий пристрій є довіреним для захисту всього, що знаходиться за ним. Жодна єдина точка контролю, якою б авторитетною не була репутація постачальника, не повинна вважатися безпомилковою. Організації, що використовують ешелоновану оборону, будуть у значно міцнішій позиції наступного разу, коли з'явиться подібна вразливість нульового дня.