Palo Alto PAN-OS CVE-2026-0300: buffer overflow nel Captive Portal consente RCE root senza autenticazione, attribuito a gruppo state-sponsored

La CVE-2026-0300 (CVSS 4.0: 9.3) è una vulnerabilità di buffer overflow (CWE-787, out-of-bounds write) nel componente User-ID Authentication Portal — noto anche come Captive Portal — di PAN-OS. Il parser HTTP del portale alloca un buffer di dimensione fissa per le richieste in ingresso senza verificarne la lunghezza: un attaccante non autenticato può sovrascrivere lo stack con un payload appositamente costruito, controllare il puntatore all'istruzione ed eseguire shellcode arbitrario con privilegi root sul dispositivo firewall. Non è richiesta autenticazione né interazione dell'utente.

Rapid7 e Arctic Wolf confermano sfruttamento limitato ma attivo contro firewall con il portale esposto su reti non attendibili o su internet. Unit 42 di Palo Alto ha pubblicato un threat brief attribuendo le attività osservate a CL-STA-1132, un cluster probabilmente state-sponsored, che ha distribuito strumenti di tunneling open-source ed eseguito enumerazione di Active Directory dopo la compromissione iniziale. La CISA ha aggiunto la CVE al KEV il 6 maggio 2026 con scadenza al 9 maggio per le agenzie federali. Un PoC pubblico è apparso su GitHub il 7 maggio. Secondo Shadowserver, circa 5.800 istanze VM-Series sono esposte direttamente su internet.

Versioni affette: PAN-OS su PA-Series e VM-Series (non sono affetti Prisma Access, Cloud NGFW e Panorama) — versioni specifiche su advisory Palo Alto.

Azione raccomandata: applicare le hotfix disponibili; in attesa della patch, limitare il portale alle sole zone attendibili o disabilitare le Response Pages sulle interfacce esposte a internet; chi usa PAN-OS 11.1+ con Threat Prevention può attivare la signature Threat ID 510019.

Fonti: ACN, Rapid7, Artic Wolf