A Palo Alto Networks informou que hackers podem ter tentado explorar, ainda em 9 de abril de 2026, uma vulnerabilidade crítica recém-divulgada no PAN-OS, sistema operacional usado em seus firewalls e appliances de segurança de rede. A falha, identificada como CVE-2026-0300, recebeu pontuação CVSS de 9.3/8.7 e já foi associada a atividades limitadas de exploração em ambiente real.

A vulnerabilidade é um buffer overflow no serviço User-ID Authentication Portal do PAN-OS. Na prática, esse tipo de falha ocorre quando um sistema grava mais dados do que o espaço de memória reservado consegue suportar, abrindo caminho para corrupção de memória e possível execução de código. Segundo a Palo Alto Networks, um invasor não autenticado poderia explorar o problema enviando pacotes especialmente criados para executar código arbitrário com privilégios de root.

As correções para a CVE-2026-0300 estavam previstas para começar a ser disponibilizadas em 13 de maio de 2026. Até a aplicação dos patches, a empresa recomendou que os clientes restrinjam o acesso ao PAN-OS User-ID Authentication Portal apenas a zonas confiáveis ou desativem completamente o recurso caso ele não esteja em uso.

Como medida adicional de mitigação, a Palo Alto Networks orientou as organizações a desativarem Response Pages no Interface Management Profile para qualquer interface L3 que possa receber tráfego não confiável ou vindo da internet. Clientes que utilizam Advanced Threat Prevention também podem bloquear tentativas de exploração ativando o Threat ID 510019 a partir da versão 9097-10022 do conteúdo Applications and Threats.

Em um comunicado publicado na quarta-feira, a empresa afirmou estar ciente de exploração limitada da falha. A atividade está sendo rastreada como CL-STA-1132, um cluster de ameaça suspeito de ligação estatal, mas ainda sem origem atribuída publicamente.

De acordo com a Unit 42, equipe de inteligência de ameaças da Palo Alto Networks, os invasores exploraram a CVE-2026-0300 para obter execução remota de código não autenticada no PAN-OS. Após o sucesso da exploração, os responsáveis pela atividade conseguiram injetar shellcode em um processo worker do nginx.

A análise aponta que as primeiras tentativas malsucedidas de exploração contra um dispositivo PAN-OS foram observadas em 9 de abril de 2026. Cerca de uma semana depois, os hackers conseguiram alcançar execução remota de código contra o appliance e realizar a injeção de shellcode, indicando uma evolução na exploração ao longo do tempo.

Após obter acesso inicial, os invasores executaram ações para reduzir rastros da atividade. Entre os procedimentos observados estavam a limpeza de mensagens de crash do kernel, a exclusão de entradas e registros de falhas do nginx e a remoção de arquivos de core dump gerados por crashes. Esse comportamento sugere uma preocupação operacional em dificultar a análise forense e atrasar a detecção.

As atividades pós-exploração incluíram enumeração de Active Directory, uma etapa comum em invasões mais amplas, usada para mapear usuários, grupos, permissões, sistemas e possíveis caminhos de movimentação lateral. Em 29 de abril de 2026, os invasores também implantaram payloads adicionais em um segundo dispositivo, incluindo EarthWorm e ReverseSocks5.

Essas ferramentas são associadas a túneis, proxies e comunicação reversa, recursos frequentemente usados para manter acesso, redirecionar tráfego e viabilizar movimentação dentro de redes comprometidas. EarthWorm e ReverseSocks5 já foram observadas anteriormente em operações de diferentes grupos hackers ligados à China, embora a Palo Alto Networks não tenha atribuído publicamente a campanha CL-STA-1132 a um país ou grupo específico.

A Unit 42 destacou que, nos últimos cinco anos, hackers envolvidos em espionagem cibernética patrocinada por Estados têm direcionado cada vez mais seus esforços contra ativos de borda de rede. Esse conjunto inclui firewalls, roteadores, dispositivos IoT, hipervisores e soluções de VPN, justamente porque esses sistemas costumam ter privilégios elevados e, muitas vezes, menos visibilidade de segurança do que endpoints tradicionais.

Esse foco em dispositivos de borda cria um desafio importante para equipes de segurança. Diferentemente de estações de trabalho e servidores, que normalmente contam com agentes de EDR, telemetria detalhada e controles de monitoramento mais consolidados, appliances de rede podem ter registros limitados, baixa cobertura de detecção e menor frequência de análise operacional.

Outro ponto relevante na campanha é o uso de ferramentas open source em vez de malware proprietário. Segundo a Unit 42, essa escolha ajuda os invasores a reduzir a eficácia de detecções baseadas em assinatura e facilita a integração das ferramentas ao ambiente comprometido. Em outras palavras, o uso de ferramentas conhecidas e disponíveis publicamente pode dificultar a separação entre atividade administrativa legítima e comportamento malicioso.

A empresa também observou que os operadores da campanha adotaram um ritmo operacional disciplinado, com sessões interativas intermitentes ao longo de várias semanas. Esse padrão de atuação, menos ruidoso e mais espaçado, pode permanecer abaixo dos limites comportamentais usados por muitos sistemas automatizados de alerta.

Para organizações que utilizam PAN-OS, a prioridade deve ser revisar a exposição do User-ID Authentication Portal, validar se interfaces L3 estão recebendo tráfego não confiável, aplicar as mitigações recomendadas e acompanhar a liberação dos patches. Também é importante revisar logs disponíveis, indicadores de crash, registros do nginx, sinais de alteração em dispositivos de borda e evidências de enumeração interna, especialmente em ambientes integrados ao Active Directory.