A Palo Alto Networks revelou que uma vulnerabilidade crítica no PAN-OS, sistema operacional presente em seus firewalls e appliances de segurança, pode ter sido explorada por hackers em ataques reais desde abril de 2026. A falha, registrada como CVE-2026-0300, recebeu pontuação CVSS entre 8.7 e 9.3 e permite execução remota de código com privilégios de root.
Segundo a empresa, o problema está relacionado a um buffer overflow no serviço User-ID Authentication Portal do PAN-OS. Esse tipo de vulnerabilidade ocorre quando um sistema processa mais dados do que sua memória suporta, criando condições para corrupção de memória e execução arbitrária de comandos.
De acordo com a fabricante, um invasor não autenticado pode explorar a falha enviando pacotes especialmente manipulados para assumir controle total do dispositivo afetado. A empresa informou ainda que identificou atividades limitadas de exploração em ambiente real e acompanha o caso sob o identificador CL-STA-1132, um cluster de ameaça suspeito de ligação estatal, embora sem atribuição oficial até o momento.
A equipe de inteligência Unit 42 afirmou que os atacantes conseguiram explorar a CVE-2026-0300 para obter execução remota de código no PAN-OS e posteriormente injetar shellcode em processos worker do nginx.
As primeiras tentativas de exploração teriam sido registradas em 9 de abril de 2026, inicialmente sem sucesso. Cerca de uma semana depois, os criminosos conseguiram efetivamente comprometer um appliance da plataforma, demonstrando evolução nas técnicas utilizadas durante a campanha.
Após invadir os dispositivos, os operadores executaram ações para dificultar análises forenses e reduzir vestígios da intrusão. Entre os comportamentos observados estavam a remoção de logs relacionados a falhas do nginx, exclusão de mensagens de crash do kernel e eliminação de arquivos de core dump gerados pelos travamentos do sistema.
A investigação também identificou atividades de enumeração de Active Directory, prática comum em ataques voltados à movimentação lateral dentro de redes corporativas. Em 29 de abril, os invasores implantaram cargas adicionais em um segundo dispositivo comprometido, incluindo as ferramentas EarthWorm e ReverseSocks5.
Esses softwares são frequentemente usados para criar túneis de comunicação reversa, proxies e canais persistentes de acesso remoto. Ferramentas desse tipo já foram associadas anteriormente a grupos hackers ligados à China, embora a Palo Alto Networks tenha evitado atribuir oficialmente a campanha a qualquer país específico.
A Unit 42 destacou ainda que operações de espionagem cibernética patrocinadas por Estados vêm concentrando esforços cada vez maiores em dispositivos de borda de rede, como firewalls, roteadores, VPNs, hipervisores e equipamentos IoT. Esses sistemas costumam operar com privilégios elevados e frequentemente possuem menor visibilidade de segurança em comparação a servidores e endpoints tradicionais.
Outro fator que chamou atenção dos pesquisadores foi o uso de ferramentas open source em vez de malwares exclusivos. Segundo os especialistas, essa abordagem ajuda os invasores a reduzir a eficácia de mecanismos tradicionais de detecção baseados em assinaturas, além de dificultar a distinção entre atividade legítima e ações maliciosas.
A campanha também apresentou um padrão operacional discreto, com sessões interativas distribuídas ao longo de várias semanas. Esse comportamento menos agressivo pode ajudar os atacantes a permanecer abaixo dos limites de detecção de diversas plataformas automatizadas de monitoramento.
As correções para a CVE-2026-0300 começaram a ser disponibilizadas a partir de 13 de maio de 2026. Até que os patches sejam aplicados, a Palo Alto Networks recomenda restringir o acesso ao User-ID Authentication Portal apenas a zonas confiáveis ou desativar completamente o recurso quando ele não estiver em uso.
A empresa também orienta organizações a desabilitarem Response Pages em perfis de gerenciamento associados a interfaces L3 expostas à internet ou a tráfego não confiável. Clientes que utilizam Advanced Threat Prevention podem ainda bloquear tentativas de exploração por meio do Threat ID 510019, disponível na versão 9097-10022 do pacote Applications and Threats.
Especialistas recomendam que administradores revisem imediatamente logs disponíveis, registros do nginx, indícios de crash em dispositivos de borda e possíveis sinais de enumeração interna em ambientes integrados ao Active Directory, além de monitorar qualquer atividade suspeita envolvendo appliances PAN-OS expostos à internet.
