Вчера в 15:22

Palo Alto Networks закрыла RCE-уязвимость в PAN-OS

Компания Palo Alto Networks 6 мая 2026 года устранила critical уязвимость безопасности, отслеживаемую как CVE-2026-0300. Речь идет о buffer overflow в службе User-ID™ Authentication Portal программного обеспечения PAN-OS, который позволяет неаутентифицированным злоумышленникам выполнять произвольный код с привилегиями root на межсетевых экранах PA-Series и VM-Series путем отправки вредоносных сетевых пакетов.

Эксплуатация уязвимости в реальных атаках

По данным недавних расследований подразделения Unit 42, уязвимость уже эксплуатируется хакерской группировкой, спонсируемой государством, обозначаемой как CL-STA-1132. Злоумышленники использовали CVE-2026-0300 для достижения Remote Code Execution (RCE) в системах PAN-OS.

Попытки эксплуатации начались 9 апреля 2026 года, однако первые атаки оказались безуспешными. К 16 апреля атакующие смогли добиться RCE, внедрив shellcode в процесс worker nginx.

Что делали атакующие после компрометации

После успешного закрепления в инфраструктуре злоумышленники развернули активную постэксплуатационную деятельность. В числе их действий:

развертывание инструментов туннелирования EarthWorm и ReverseSocks5;
перечисление учетных данных в Active Directory;
систематическое стирание журналов для сокрытия следов активности.

29 апреля атакующие также выполнили SAML-flood, после чего успешно перешли с RCE на вторичное устройство и приступили к загрузке EarthWorm и ReverseSocks5.

Роль EarthWorm и ReverseSocks5

EarthWorm — это утилита туннелирования сети с открытым исходным кодом, предназначенная для скрытой коммуникации через SOCKS v5-прокси. Инструмент позволяет проксировать входящие соединения, создавать обратные туннели и комбинировать несколько режимов передачи, чтобы маскировать сетевую активность.

ReverseSocks5 выполняет схожую задачу, обеспечивая исходящие соединения и позволяя злоумышленникам маршрутизировать трафик обратно во внутреннюю сеть цели. В совокупности эти инструменты помогают атакующим сохранять присутствие в скомпрометированной среде и затруднять обнаружение.

Оперативная стратегия и рекомендации Palo Alto Networks

Как отмечают исследователи, такое поведение демонстрирует стратегию, сочетающую stealth и закрепление: злоумышленники используют непостоянный доступ, чтобы поддерживать присутствие в сети без заметных признаков компрометации.

Для снижения рисков, связанных с CVE-2026-0300, Palo Alto Networks предоставила рекомендации для пользователей с подписками Advanced Threat Prevention. Они позволяют блокировать попытки эксплуатации путем включения конкретных идентификаторов угроз.

Контекст: рост интереса к edge technologies

По оценке специалистов, действия CL-STA-1132 вписываются в более широкую тенденцию, при которой акторы-государства все активнее нацеливаются на edge technologies. В таких кампаниях злоумышленники используют инструменты с открытым исходным кодом для обхода традиционных методов обнаружения и поддержания длительного доступа с минимальным следом.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Автор: Технологии киберугроз

Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.

Комментарии: