Palo Alto Networks ha revelado que es posible que los atacantes hayan intentado sin éxito explotar una falla de seguridad crítica recientemente revelada ya el 9 de abril de 2026.
La vulnerabilidad en cuestión, CVE-2026-0300 (puntaje CVSS: 9.3/8.7), es una vulnerabilidad de desbordamiento de búfer en el servicio Portal de autenticación de identidad de usuario de Palo Alto Networks PAN-OS Software que podría permitir a un atacante no autenticado ejecutar código arbitrario con privilegios de root enviando un paquete especialmente diseñado.
Aunque se espera que la solución se publique a partir del 13 de mayo de 2026, le recomendamos proteger el acceso al Portal de autenticación de identidad de usuario de PAN-OS restringiendo el acceso a la zona de confianza o deshabilitándolo por completo si no está en uso.
En un aviso emitido el miércoles, la empresa de seguridad de redes dijo que tiene conocimiento de la explotación limitada de la falla. CL-STA-1132 rastrea la actividad en función de supuestos grupos de amenazas de origen desconocido patrocinados por el estado.
«Los atacantes detrás de esta actividad explotaron CVE-2026-0300 para lograr la ejecución remota de código (RCE) no autenticado en el software PAN-OS. La explotación exitosa permitió a los atacantes inyectar código shell en los procesos de trabajo de nginx», dijo la Unidad 42 de Palo Alto Networks.
La empresa de ciberseguridad dijo que había observado intentos fallidos de explotación contra dispositivos PAN-OS a partir del 9 de abril de 2026 y, una semana después, los atacantes pudieron ejecutar código de forma remota e inyectar código shell contra el dispositivo.
Una vez que se logró el acceso inicial, los atacantes tomaron medidas para cubrir sus huellas borrando los mensajes de fallas del kernel, eliminando las entradas de fallas de nginx y los registros de fallas de nginx, y eliminando los archivos de volcado del núcleo de fallas.
Las actividades posteriores a la explotación realizadas por los atacantes incluyeron realizar una enumeración de Active Directory (AD) y colocar cargas útiles adicionales como EarthWorm y ReverseSocks5 en un segundo dispositivo el 29 de abril de 2026. Ambas herramientas fueron utilizadas anteriormente por varios grupos de piratería relacionados con China.
«En los últimos cinco años, los actores de amenazas de los estados nacionales involucrados en el ciberespionaje se han centrado cada vez más en los activos tecnológicos de red de borde, como firewalls, enrutadores, dispositivos IoT, hipervisores y varias soluciones VPN. Estos activos tecnológicos brindan un acceso altamente privilegiado, pero a menudo carecen de los agentes de seguridad y registro robustos que se encuentran en los puntos finales estándar», dijo la Unidad 42.
«Los atacantes detrás de CL-STA-1132 se basaron en herramientas de código abierto en lugar de malware propietario, minimizando la detección basada en firmas y facilitando una perfecta integración ambiental. Esta elección técnica, combinada con una cadencia operativa disciplinada de sesiones interactivas intermitentes durante varias semanas, cayó intencionalmente por debajo del umbral operativo de la mayoría de los sistemas de alerta automáticos».
Source link
