A vulnerabilidade CVE-2026-0300, uma falha de buffer overflow no PAN-OS da Palo Alto Networks, permite que atacantes não autenticados executem código arbitrário com privilégios root em firewalls PA-Series e VM-Series. A CISA confirmou exploração ativa e adicionou a falha ao catálogo KEV em maio de 2026, com impacto em mais de 5.800 dispositivos expostos na internet.
Como o ataque funciona
A falha reside no serviço User-ID Authentication Portal, também conhecido como Captive Portal, usado para identificar usuários em redes corporativas. O problema é classificado como CWE-787 (Out-of-bounds Write) — um buffer overflow clássico que permite sobrescrever regiões de memória do firewall.
O vetor de ataque exige apenas que o Captive Portal esteja acessível a partir de redes não confiáveis ou da internet pública. O atacante envia pacotes especialmente crafted ao portal, sem necessidade de autenticação prévia. Ao explorar o overflow, o invasor obtém execução de código com privilégios máximos (root), ganhando controle total do dispositivo.
Com acesso root, o atacante pode interceptar tráfego de rede, modificar regras de firewall, instalar backdoors persistentes e pivotar para sistemas internos da organização. O risco é amplificado pelo fato de os firewalls serem equipamentos de perímetro — o primeiro ponto de defesa da rede corporativa. A Palo Alto já havia sido alvo de zero-days em 2024 e 2025, o que reforça um padrão preocupante de ataques direcionados à plataforma.
Versões afetadas do PAN-OS
A vulnerabilidade afeta múltiplas versões do PAN-OS em diferentes ramos de desenvolvimento. A tabela abaixo resume as versões vulneráveis e as respectivas correções disponibilizadas pela Palo Alto Networks:
| Ramo PAN-OS | Versões vulneráveis | Correção disponível |
|---|---|---|
| PAN-OS 12.1 | Anteriores a 12.1.4-h5 e 12.1.7 | Sim, desde maio de 2026 |
| PAN-OS 11.2 | Anteriores a 11.2.4-h17, 11.2.7-h13, 11.2.10-h6, 11.2.12 | Sim, desde maio de 2026 |
| PAN-OS 11.1 | Anteriores a 11.1.4-h33, 11.1.6-h32, 11.1.7-h6, 11.1.10-h25, 11.1.13-h5, 11.1.15 | Sim, desde maio de 2026 |
| PAN-OS 10.2 | Anteriores a 10.2.7-h34, 10.2.10-h36, 10.2.13-h21, 10.2.16-h7, 10.2.18-h6 | Sim, desde maio de 2026 |
Produtos baseados em nuvem como Cloud NGFW e Panorama appliances não são afetados. A falha também foi identificada em dispositivos industriais Siemens RUGGEDCOM APE1808, que utilizam PAN-OS internamente, conforme alerta CISA ICSA-26-139-02.
Exploração ativa confirmada
A Palo Alto Networks confirmou exploração limitada em ambiente real. De acordo com a empresa, os ataques foram observados contra instâncias com o Captive Portal exposto à internet pública ou a redes não confiáveis. A CISA adicionou a CVE-2026-0300 ao catálogo Known Exploited Vulnerabilities (KEV) em 6 de maio de 2026, com prazo de correção de três dias para agências federais americanas (FCEB).
Dados do Shadowserver indicam que mais de 5.800 firewalls VM-Series da Palo Alto estavam expostos na internet no momento da divulgação, concentrados principalmente na Ásia (2.466 dispositivos) e na América do Norte (1.998). A história recente de ataques ao PAN-OS inclui zero-days explorados em novembro de 2024 e fevereiro de 2025, evidenciando que a plataforma é alvo frequente de operações de ameaças avançadas.
A gravidade é reforçada pelo score CVSS 9.3 para portais expostos à internet, considerado crítico. Para ambientes industriais que utilizam os dispositivos Siemens afetados, o score atinge 10.0, a nota máxima possível.
Como mitigar a falha
As organizações que utilizam firewalls Palo Alto devem tomar medidas imediatas, mesmo que já tenham aplicado as correções:
- Verificar se o Captive Portal está ativo: navegue até Device > User Identification > Authentication Portal Settings e confirme se o recurso está habilitado.
- Restringir acesso ao portal: limite o Captive Portal apenas a zonas internas e confiáveis, bloqueando qualquer acesso proveniente da internet ou redes não confiáveis.
- Desabilitar o portal se não for necessário: se a organização não usa o User-ID Authentication Portal, desative-o completamente.
- Aplicar as correções disponíveis: atualize o PAN-OS para as versões corrigidas listadas no alerta de segurança da Palo Alto Networks.
- Auditar logs de acesso: investigue registros de tráfego anômalo direcionado ao Captive Portal nos meses anteriores, especialmente pacotes com payloads atípicos.
- Revisar regras de firewall: confira se alterações não autorizadas foram feitas por conta de possível comprometimento.
Para ambientes industriais com Siemens RUGGEDCOM APE1808, a CISA recomenda contatar o suporte da Siemens para obter correções específicas e seguir as orientações do advisory SSA-967325.