A vulnerabilidade CVE-2026-0300 afeta o portal User-ID Authentication Portal em firewalls PA-Series e VM-Series e já foi explorada contra instâncias acessíveis pela internet ou por redes não confiáveis.
| Componente | Serviço User-ID Authentication Portal, também chamado de Captive Portal, no software Palo Alto Networks PAN-OS. |
| Vetor | Envio remoto e não autenticado de pacotes especialmente manipulados contra o portal quando ele está acessível pela internet ou por redes não confiáveis. |
| Impacto | Execução remota de código arbitrário com privilégios de root em firewalls PA-Series e VM-Series configurados com o portal vulnerável. |
| Prioridade | Restringir imediatamente o acesso ao User-ID Authentication Portal a zonas confiáveis ou desativar o recurso quando ele não for necessário, até a aplicação das correções previstas. |
| Artefatos | Identificador CVE-2026-0300; pontuação CVSS 9.3 quando o portal fica exposto a redes não confiáveis e 8.7 quando restrito a IPs internos confiáveis. |
| Escopo | A falha não afeta Cloud NGFW nem appliances Panorama, conforme o escopo informado para o incidente. |
A vulnerabilidade CVE-2026-0300 é uma falha crítica de estouro de buffer no serviço User-ID Authentication Portal do PAN-OS. O componente, também conhecido como Captive Portal, pode ser configurado em firewalls Palo Alto Networks para fluxos de autenticação de usuários. Quando esse portal fica acessível a partir da internet ou de redes classificadas como não confiáveis, um atacante remoto sem autenticação consegue acionar a condição vulnerável por meio de pacotes especialmente manipulados. O impacto confirmado é execução remota de código arbitrário com privilégios de root em firewalls PA-Series e VM-Series que usam esse serviço exposto.
A severidade varia conforme a superfície de rede. A pontuação CVSS informada é 9.3 quando o User-ID Authentication Portal permite acesso pela internet ou por qualquer rede não confiável. Quando o acesso está limitado a endereços internos confiáveis, a pontuação cai para 8.7, mas o impacto técnico continua alto porque a exploração bem-sucedida ocorre antes de autenticação e atinge um serviço sensível do firewall. A exploração observada foi descrita como limitada e direcionada a instâncias nas quais o portal foi deixado publicamente acessível.
No momento da publicação original, a correção ainda não estava disponível, com primeiras atualizações planejadas para 13 de maio de 2026. A CISA incluiu CVE-2026-0300 no catálogo Known Exploited Vulnerabilities em 6 de maio de 2026 e definiu 9 de maio de 2026 como prazo para agências federais civis dos Estados Unidos aplicarem correções ou mitigação. Para organizações fora desse escopo regulatório, a inclusão no catálogo KEV ainda é um sinal operacional importante: a vulnerabilidade não é apenas teórica e já possui exploração real contra implantações expostas.
O ponto central da falha é um estouro de buffer no serviço de portal de autenticação. Em termos defensivos, isso significa que o processamento de dados recebidos pelo serviço pode ultrapassar limites esperados de memória e permitir desvio do fluxo de execução. O contexto confirma que a condição pode ser acionada sem autenticação, por tráfego enviado diretamente ao portal vulnerável. Como o processo afetado permite execução com privilégios de root no firewall, a exploração bem-sucedida ultrapassa a categoria de indisponibilidade ou bypass simples e entra no cenário de comprometimento de controle do dispositivo afetado.
O vetor depende de exposição de rede. Instâncias com o Captive Portal publicado para a internet ou acessível por redes não confiáveis concentram o maior risco, porque qualquer origem capaz de alcançar o serviço pode tentar interagir com a superfície vulnerável. Ambientes que restringem o portal a endereços internos confiáveis reduzem a probabilidade de exploração remota ampla, mas não eliminam o impacto caso um atacante já esteja em uma rede permitida ou caso a segmentação esteja mal definida. Por isso, o limite defensivo relevante não é apenas a presença do recurso, e sim a combinação entre recurso habilitado, política de acesso e origem autorizada ao serviço.
A exploração foi caracterizada como limitada, sem detalhes públicos no contexto sobre atores, infraestrutura, hashes, endereços IP, payloads ou famílias de malware associadas. Essa ausência de indicadores específicos exige uma resposta orientada por superfície e comportamento, não por listas estáticas de IoCs. Equipes devem tratar qualquer firewall PA-Series ou VM-Series com o User-ID Authentication Portal exposto a redes não confiáveis como ativo de alta prioridade para contenção, mesmo que ainda não haja sinal evidente de comprometimento nos logs disponíveis.
A superfície afetada é restrita a firewalls PA-Series e VM-Series que executam PAN-OS e estejam configurados para usar o User-ID Authentication Portal. A falha não se aplica genericamente a todos os produtos do portfólio, e o escopo informado exclui Cloud NGFW e appliances Panorama. Essa distinção é importante para inventário: Panorama pode estar presente no ambiente de gestão, mas a vulnerabilidade descrita está vinculada ao serviço de portal nos firewalls, não ao plano de gerenciamento Panorama.
O maior risco está em implantações nas quais o Captive Portal foi exposto para facilitar autenticação de usuários em redes amplas, ambientes híbridos ou zonas com tráfego não plenamente confiável. A exposição pública do portal eleva a gravidade porque remove barreiras de origem e permite que tráfego externo alcance diretamente o componente vulnerável. Mesmo em redes internas, a classificação de confiança deve ser revisada com rigor: redes de convidados, segmentos compartilhados, VPNs amplas e endereços internos sem controle forte de identidade não devem ser tratados automaticamente como origem confiável para um portal sensível.
- Firewalls PA-Series com PAN-OS e User-ID Authentication Portal habilitado.
- Firewalls VM-Series com PAN-OS e Captive Portal configurado.
- Instâncias nas quais o portal aceita conexões da internet ou de redes não confiáveis.
- Ambientes internos com acesso ao portal restrito por IPs confiáveis têm risco reduzido, mas ainda exigem correção ou mitigação.
A investigação deve começar pelo inventário de configuração. O objetivo é localizar quais firewalls PA-Series e VM-Series usam o User-ID Authentication Portal, quais zonas conseguem acessar o serviço e se há publicação direta ou indireta para redes não confiáveis. Como o contexto não fornece IoCs de infraestrutura atacante, a detecção deve priorizar anomalias no tráfego direcionado ao portal, tentativas incomuns de acesso externo, falhas ou reinicializações associadas ao serviço e alterações inesperadas no comportamento do dispositivo após requisições ao Captive Portal.
No endpoint de rede, a telemetria relevante está nos logs de sistema e tráfego do firewall, registros de acesso ao portal, eventos de autenticação relacionados ao User-ID, alertas de estabilidade de processo e qualquer sinal de execução anômala no plano de gerenciamento ou serviço afetado. A ausência de autenticação no vetor torna menos útil procurar apenas por contas comprometidas; a defesa deve correlacionar origem, volume, horários, respostas do serviço e mudanças administrativas não esperadas. Caso a organização colete logs em SIEM, a consulta deve separar acessos vindos de endereços externos, segmentos não confiáveis e origens internas fora da lista autorizada.
Como o impacto envolve execução com privilégios de root, qualquer evidência de modificação inesperada de configuração, criação de contas administrativas, mudança de políticas, alteração de rotas, instabilidade recorrente ou comportamento divergente do firewall deve ser tratada como suspeita até validação. O contexto não confirma exfiltração, movimentação lateral ou instalação de malware, portanto esses resultados não devem ser presumidos. Ainda assim, um dispositivo de segurança com execução de código privilegiada exige investigação cuidadosa, preservação de logs e validação da integridade operacional.
- Acessos ao User-ID Authentication Portal originados da internet ou de zonas não confiáveis.
- Picos de requisições, pacotes malformados ou falhas repetidas associadas ao serviço Captive Portal.
- Reinicialização, travamento ou comportamento anormal do serviço de portal após tráfego externo.
- Alterações administrativas, políticas ou contas não explicadas em firewalls PA-Series ou VM-Series afetados.
A medida imediata é remover a exposição do User-ID Authentication Portal a redes não confiáveis. Quando o recurso for necessário, o acesso deve ser limitado a zonas confiáveis e a origens estritamente controladas. Quando o recurso não for necessário, a opção defensiva mais direta é desativá-lo até que a correção esteja instalada e validada. Essa mitigação reduz a superfície explorável sem depender de assinaturas específicas de atacante, o que é essencial em um caso com exploração ativa e poucos indicadores públicos.
A aplicação de atualização deve seguir a disponibilidade das correções anunciadas para o PAN-OS, com prioridade para sistemas expostos à internet ou a redes não confiáveis. Antes da atualização, a equipe deve confirmar quais dispositivos são PA-Series ou VM-Series, verificar se o Captive Portal está habilitado e documentar as regras que permitem acesso ao serviço. Depois da atualização ou mitigação, a validação deve confirmar que o portal não responde mais a origens indevidas e que políticas de zona não reabriram o caminho por exceções antigas ou regras herdadas.
Para resposta a incidente, ambientes com portal exposto devem passar por revisão de logs no período anterior à mitigação, especialmente em torno de acessos externos incomuns e eventos de instabilidade. Caso haja indício de exploração, a investigação deve preservar evidências, comparar configuração atual com baselines conhecidos e revisar alterações administrativas recentes. Como a vulnerabilidade permite execução com privilégios elevados no próprio firewall, a simples aplicação de patch pode não ser suficiente quando houver sinal de comprometimento; nesse caso, a organização deve validar integridade, credenciais administrativas, políticas de segurança e confiança no dispositivo antes de recolocá-lo plenamente em operação.
- Restringir o User-ID Authentication Portal a zonas e endereços confiáveis.
- Desativar o Captive Portal quando ele não for necessário para o ambiente.
- Priorizar correções para PA-Series e VM-Series com exposição pública ou acesso por redes não confiáveis.
- Revisar logs e mudanças administrativas em dispositivos que estiveram expostos antes da mitigação.
0 Comentários