Atividade observada contra o portal de autenticação User-ID combinou estouro de buffer, injeção de shellcode em processo nginx, limpeza de artefatos de falha e movimentação para enumeração de Active Directory.
| Componente | User-ID Authentication Portal no software PAN-OS, exposto em dispositivos de borda da Palo Alto Networks. |
| Vetor | Envio de pacotes especialmente construídos para acionar um estouro de buffer de forma remota e sem autenticação. |
| Impacto | Execução arbitrária de código com privilégio de root, injeção de shellcode em processo nginx, enumeração de Active Directory e implantação de ferramentas de túnel. |
| Prioridade | Restringir o acesso ao portal User-ID a zonas confiáveis, desativá-lo quando não for necessário, remover exposição a tráfego não confiável e aplicar as correções assim que disponíveis. |
| Versões | O contexto confirma a falha em PAN-OS, mas não informa ramos ou versões específicas vulneráveis. |
| Artefatos | EarthWorm, ReverseSocks5, processo nginx, registros de crash do nginx, mensagens de crash do núcleo e arquivos de despejo de memória. |
| Mitigação | Desabilitar Response Pages no Interface Management Profile de interfaces L3 que recebam tráfego não confiável ou da internet; clientes com Advanced Threat Prevention podem bloquear tentativas com Threat ID 510019 a partir do conteúdo Applications and Threats versão 9097-10022. |
A atividade envolve a exploração de CVE-2026-0300, uma vulnerabilidade crítica de estouro de buffer no serviço User-ID Authentication Portal do PAN-OS. O vetor é remoto, não exige autenticação e depende do envio de pacotes construídos para corromper memória no serviço exposto. Quando a exploração é bem-sucedida, o invasor obtém execução de código com privilégio de root, condição especialmente sensível em um firewall ou dispositivo de borda porque esse tipo de ativo normalmente fica no caminho de tráfego entre redes internas, zonas de usuários, serviços publicados e conexões externas.
A sequência observada começou com tentativas malsucedidas em 9 de abril de 2026. Cerca de uma semana depois, o operador conseguiu execução remota contra o appliance e injetou shellcode em um worker do nginx. Após o acesso inicial, foram removidos sinais locais associados a falhas e travamentos, incluindo mensagens de crash do núcleo, entradas de crash do nginx, registros de crash do nginx e arquivos de despejo de memória. Essa limpeza reduz a chance de descoberta por análise posterior de falhas, principalmente em ambientes nos quais o dispositivo de borda não exporta logs detalhados para uma plataforma externa imutável.
A fase posterior à exploração incluiu enumeração de Active Directory e, em 29 de abril de 2026, a entrega de EarthWorm e ReverseSocks5 contra um segundo dispositivo. Esses artefatos são ferramentas conhecidas de proxy e túnel, úteis para estabelecer caminhos de comunicação e pivôs dentro de uma rede. O uso de ferramentas abertas, em vez de uma família de malware proprietária descrita no contexto, reduz a dependência de assinaturas estáticas e pode fazer a atividade parecer administração ou teste de conectividade quando não há correlação com o evento inicial de exploração.
O fluxo começa quando o User-ID Authentication Portal está alcançável a partir de uma zona não confiável ou diretamente da internet. O atacante envia pacotes malformados para acionar o estouro de buffer em CVE-2026-0300. A condição explorável resulta em controle de execução suficiente para inserir shellcode em um processo worker do nginx, componente que participa do atendimento do serviço exposto. A execução com privilégio de root amplia o impacto porque permite interferência em arquivos do sistema, processos, registros locais e potencialmente na configuração do appliance, desde que o operador consiga manter estabilidade após a corrupção de memória.
A limpeza de artefatos logo após a execução indica preocupação com análise forense local. Mensagens de crash do núcleo e despejos de memória podem conter endereços, regiões corrompidas, trechos de shellcode, pilhas de execução e evidências de qual processo foi atingido. Entradas de crash do nginx também ajudam a reconstruir o horário de exploração e a relação entre requisições recebidas e falhas de processo. Ao remover esses dados, o operador tenta encurtar a janela de investigação e forçar defensores a dependerem de telemetria externa, como logs encaminhados para SIEM, tráfego de rede, registros de autenticação e mudanças de estado do dispositivo.
A enumeração de Active Directory após o comprometimento mostra que o appliance foi usado como ponto de observação e acesso para coletar informações do domínio. Esse tipo de ação pode incluir consultas a controladores de domínio, descoberta de usuários, grupos, computadores, relações de confiança e caminhos de privilégio, embora o contexto não detalhe comandos específicos. A implantação de EarthWorm e ReverseSocks5 em um segundo dispositivo sugere tentativa de criar conectividade indireta ou encadeada, permitindo tráfego por proxy, acesso a segmentos internos e sessões interativas espaçadas. A cadência intermitente reduz volume e pode ficar abaixo de limiares de alerta baseados apenas em frequência.
A superfície primária é qualquer implantação de PAN-OS com o User-ID Authentication Portal acessível por redes que não deveriam iniciar interação administrativa ou de autenticação com o serviço. O risco é maior quando a interface associada aceita tráfego de internet, DMZs amplas, redes de terceiros, segmentos de usuários não gerenciados ou zonas nas quais não há lista restritiva de origem. O contexto não informa ramos ou versões específicas vulneráveis, portanto a triagem deve começar pelo inventário de dispositivos PAN-OS, pela exposição do portal e pela presença de configurações de gerenciamento ou resposta que aceitem entrada não confiável.
Dispositivos de borda são ativos de alto valor nessa classe de intrusão porque processam tráfego privilegiado e, ao mesmo tempo, frequentemente têm cobertura menor de agentes EDR, coleta de memória e logging de processo quando comparados a servidores convencionais. Um firewall comprometido pode permitir observação de rotas internas, leitura de configuração, reconhecimento de zonas, identificação de serviços publicados e acesso a fluxos que ajudam no planejamento de pivôs. A presença posterior de ferramentas de proxy em outro dispositivo amplia a análise para ativos vizinhos e para qualquer caminho de rede permitido entre o appliance inicial, controladores de domínio e segmentos internos.
A exposição também inclui interfaces L3 com Response Pages habilitadas em locais que recebem tráfego não confiável. Essa configuração é relevante porque a mitigação recomendada envolve desabilitar essas páginas no Interface Management Profile para interfaces que possam receber tráfego da internet ou de redes externas. Organizações que usam Advanced Threat Prevention têm ainda um controle de bloqueio associado ao Threat ID 510019, desde que o conteúdo Applications and Threats esteja na versão 9097-10022 ou posterior informada no contexto.
- Appliances
PAN-OScomUser-ID Authentication Portalexposto fora de zonas explicitamente confiáveis. - Interfaces
L3que recebem tráfego não confiável ou da internet e mantêmResponse Pageshabilitadas. - Ambientes em que logs de firewall, eventos de crash e tráfego de rede não são enviados para armazenamento externo resistente a adulteração.
- Segmentos nos quais um firewall comprometido consiga consultar serviços de
Active Directoryou alcançar outro dispositivo de borda.
A investigação deve correlacionar sinais de rede, estado do appliance e eventos de diretório. O primeiro eixo é procurar acessos ao User-ID Authentication Portal vindos de origens não esperadas antes e depois de 9 de abril de 2026, especialmente requisições ou pacotes que antecedam falhas do serviço, reinicializações de worker do nginx ou alterações súbitas na disponibilidade do portal. Como houve remoção de artefatos locais, a ausência de crash em disco não deve ser tratada como evidência de ausência de exploração quando existirem lacunas de log ou indícios de manipulação.
No dispositivo, operadores devem comparar a existência esperada de mensagens de crash do núcleo, registros do nginx e arquivos de despejo de memória com os períodos de instabilidade. Lacunas em logs, rotação anormal, exclusão de entradas e inconsistências de horário devem ser avaliadas junto com mudanças de configuração, processos inesperados, conexões persistentes e arquivos recém-criados. Para EarthWorm e ReverseSocks5, a telemetria útil inclui binários ou processos com esses nomes, conexões de saída incomuns, escuta em portas não documentadas, túneis SOCKS e tráfego entre appliances ou segmentos que normalmente não se comunicam.
No Active Directory, a caça deve se concentrar em consultas vindas de endereços de dispositivos de borda ou de contas associadas à infraestrutura de rede que não costumam realizar enumeração. Eventos de descoberta de usuários, grupos e computadores, quando originados de endereços incomuns, devem ser cruzados com a janela da exploração e com conexões de proxy. A atribuição a grupos específicos deve ser tratada com cautela: o contexto informa uso de ferramentas já vistas em operações ligadas à China, mas ferramentas abertas são compartilhadas e não bastam, isoladamente, para fechar atribuição.
- Tentativas de acesso ao
User-ID Authentication Portala partir de endereços externos, zonas não confiáveis ou origens sem necessidade operacional. - Falhas, reinicializações ou travamentos de workers do
nginxpróximos a tráfego anômalo contra o portal. - Ausência ou exclusão de mensagens de crash do núcleo, registros de crash do
nginxe arquivos de despejo de memória em períodos de instabilidade. - Processos, arquivos ou conexões compatíveis com
EarthWormeReverseSocks5, incluindo túneis SOCKS e canais de proxy. - Consultas de enumeração de
Active Directoryoriginadas de dispositivos de borda, appliances ou endereços que não fazem administração de domínio.
A resposta deve começar pela redução imediata da superfície. O User-ID Authentication Portal deve aceitar tráfego apenas de zonas confiáveis e estritamente necessárias. Quando o recurso não é usado, a medida mais segura é desativá-lo. Em paralelo, as equipes devem revisar o Interface Management Profile e desabilitar Response Pages em qualquer interface L3 que receba tráfego não confiável ou da internet. Essa etapa reduz caminhos de interação com componentes expostos enquanto a correção definitiva é planejada e aplicada.
Clientes com Advanced Threat Prevention devem habilitar o bloqueio associado ao Threat ID 510019 no conteúdo Applications and Threats versão 9097-10022, conforme disponível no ambiente. Esse controle não substitui correção nem segmentação, mas ajuda a bloquear tentativas conhecidas de exploração durante a janela de exposição. As correções foram anunciadas com início de liberação em 13 de maio de 2026; a aplicação deve seguir inventário de risco, priorizando appliances expostos, dispositivos com portal habilitado e ambientes com conectividade para serviços internos críticos.
Após contenção e atualização, a validação precisa incluir revisão forense do appliance e do caminho de rede. Equipes devem preservar logs exportados, coletar configuração atual, verificar mudanças recentes, procurar artefatos de túnel, revisar conexões de saída e avaliar se houve enumeração de Active Directory. Caso sinais de execução sejam encontrados, a resposta deve tratar o firewall como sistema comprometido com privilégio elevado: rotacionar credenciais administrativas associadas ao appliance, revisar chaves e integrações usadas por ele, investigar dispositivos alcançados a partir dele e confirmar que não restaram proxies ou canais de acesso em equipamentos secundários.
- Restringir o
User-ID Authentication Portala zonas confiáveis com necessidade comprovada de acesso. - Desativar o
User-ID Authentication Portalquando o recurso não fizer parte da operação. - Desabilitar
Response PagesnoInterface Management Profilede interfacesL3expostas a tráfego não confiável. - Habilitar
Threat ID 510019em ambientes comAdvanced Threat Preventione conteúdoApplications and Threatsversão9097-10022. - Aplicar as correções do
PAN-OSassim que estiverem disponíveis para os dispositivos afetados. - Investigar sinais de limpeza de crash, shellcode em
nginx, enumeração deActive Directory,EarthWorm,ReverseSocks5e túneis de proxy antes de encerrar o incidente.
0 Comentários