### Explotación de Zero-Day en la Naturaleza **Palo Alto Networks** ha revelado que actores de amenazas podrían haber intentado explotar sin éxito una falla de seguridad crítica recientemente divulgada desde el 9 de abril de 2026. La vulnerabilidad en cuestión es **CVE-2026-0300** (puntuación CVSS: 9.3/8.7), una vulnerabilidad de desbordamiento de búfer en el servicio del portal de autenticación User-ID del software PAN-OS de **Palo Alto Networks**. Esta falla podría permitir a un atacante no autenticado ejecutar código arbitrario con privilegios de root enviando paquetes especialmente diseñados. ### Estrategias de Mitigación Aunque se espera que las correcciones se publiquen a partir del 13 de mayo de 2026, se recomienda a los clientes asegurar el acceso al portal de autenticación User-ID de PAN-OS restringiendo el acceso a zonas de confianza o deshabilitándolo por completo si no está en uso. Como mitigación adicional, la compañía recomienda deshabilitar las Páginas de Respuesta en el Perfil de Gestión de Interfaces para cualquier interfaz L3 donde pueda ingresar tráfico no confiable o de Internet. Los clientes con Advanced Threat Prevention también pueden bloquear intentos de explotación habilitando la Amenaza ID 510019 desde la versión de contenido de Aplicaciones y Amenazas 9097-10022. ### Rastreo del Actor de Amenazas: CL-STA-1132 En un aviso, la compañía de seguridad de redes declaró que está al tanto de la explotación limitada de la falla y está rastreando la actividad bajo **CL-STA-1132**, un clúster de amenazas presuntamente patrocinado por estados de origen desconocido. "El atacante detrás de esta actividad explotó CVE-2026-0300 para lograr la ejecución remota de código (RCE) sin autenticación en el software PAN-OS. Tras una explotación exitosa, el atacante pudo inyectar shellcode en un proceso trabajador de nginx", dijo la Unidad 42 de **Palo Alto Networks**. ### Actividades Post-Explotación La compañía de ciberseguridad observó intentos de explotación infructuosos contra un dispositivo PAN-OS a partir del 9 de abril de 2026. Una semana después, los atacantes obtuvieron con éxito ejecución remota de código contra el dispositivo e inyectaron shellcode. Inmediatamente después de obtener el acceso inicial, los actores de amenazas intentaron cubrir sus huellas borrando mensajes del kernel de fallos, eliminando entradas y registros de fallos de nginx, y removiendo archivos de volcado de núcleo de fallos. Las actividades post-explotación incluyeron la enumeración de Active Directory (AD) y la descarga de payloads adicionales como **EarthWorm** y **ReverseSocks5** contra un segundo dispositivo el 29 de abril de 2026. Ambas herramientas se han asociado previamente con grupos de hacking de origen chino. ### Ataques a Activos de Red Perimetral "En los últimos cinco años, los actores de amenazas patrocinados por estados involucrados en ciberespionaje han centrado cada vez más sus esfuerzos en activos tecnológicos de red perimetral, incluyendo firewalls, routers, dispositivos IoT, hipervisores y varias soluciones VPN, que proporcionan acceso de alto privilegio mientras a menudo carecen del registro robusto y los agentes de seguridad que se encuentran en los endpoints estándar", dijo la Unidad 42. "La dependencia de los atacantes detrás de CL-STA-1132 en herramientas de código abierto, en lugar de malware propietario, minimizó la detección basada en firmas y facilitó una integración ambiental fluida. Esta elección técnica, combinada con una cadencia operativa disciplinada de sesiones interactivas intermitentes durante un período de varias semanas, se mantuvo intencionalmente por debajo de los umbrales de comportamiento de la mayoría de los sistemas de alerta automatizados."