Palo Alto Networks advirtió que un presunto grupo de amenazas patrocinado por el estado apuntó a una vulnerabilidad crítica en el servicio Portal de autenticación de ID de usuario del software PAN-OS. según una publicación de blog publicada el miércoles. La vulnerabilidad, rastreada como CVE-2026-0300es una vulnerabilidad de desbordamiento de búfer que permite a los atacantes ejecutar código arbitrario en los firewalls de las series PA y VM de la empresa.
La empresa de ciberseguridad emitió un aviso el martes advirtió que un número limitado de clientes había sido explotado en casos en los que los dispositivos estaban expuestos a la Internet pública o a direcciones IP no confiables.
La compañía está “trabajando para lanzar correcciones de software y se espera que las primeras actualizaciones estén disponibles el 13 de mayo, según un portavoz.
La Agencia de Seguridad de Infraestructura y Ciberseguridad el miércoles agregó el defecto a su catálogo de vulnerabilidades explotadas conocidas.
Los intentos iniciales de explotación contra un dispositivo PAN-OS se remontan al 9 de abril, pero no tuvieron éxito, según investigadores de la Unidad 42 de PAN. Una semana después, los atacantes se abrieron paso e inyectaron un código shell en el dispositivo. El grupo está siendo rastreado como CL-STA-1132, pero los investigadores no proporcionaron ningún detalle sobre el país de origen específico ni detalles detrás de los atacantes.
Después del compromiso inicial, los atacantes trabajaron para mitigar los esfuerzos de detección borrando los mensajes de fallas del kernel, eliminando entradas y registros de fallas de nginx y eliminando archivos de volcado de fallas del núcleo, dijo Unit 42 en su publicación de blog.
A finales de abril, los atacantes llevaron a cabo una inundación de lenguaje de marcado de afirmación de seguridad contra el dispositivo previamente atacado, lea la publicación del blog.
Los piratas informáticos también implementaron herramientas de túneles disponibles públicamente, incluidas EarthWorm y ReverseSocks5.
Fuente