**Palo Alto Networks** ha emitido un aviso urgente sobre una vulnerabilidad zero-day de severidad crítica, identificada como **CVE-2026-0300**, que afecta a los firewalls PAN-OS. La vulnerabilidad está siendo explotada activamente por lo que la compañía considera actores de amenaza patrocinados por estados. ### CVE-2026-0300: Ejecución Remota de Código en PAN-OS **CVE-2026-0300** es una falla de ejecución remota de código (RCE) encontrada en el Portal de Autenticación User-ID de PAN-OS (también conocido como Portal Cautivo). Esta vulnerabilidad de desbordamiento de búfer permite a atacantes no autenticados ejecutar código arbitrario con privilegios de root en firewalls PA-Series y VM-Series expuestos a Internet. "Somos conscientes de una explotación limitada de CVE-2026-0300 en este momento. Unit 42 está rastreando CL-STA-1132, un grupo de actividades de amenaza probablemente patrocinadas por estados que explotan CVE-2026-0300. El atacante detrás de esta actividad explotó CVE-2026-0300 para lograr la ejecución remota de código (RCE) no autenticada en el software PAN-OS", declaró la compañía. ### Cronología de la Explotación Según **Palo Alto Networks**, los primeros intentos de explotación infructuosos se observaron a partir del 9 de abril de 2026. Una semana después, los atacantes lograron con éxito la RCE e inyectaron shellcode. Tras el compromiso, los atacantes intentaron inmediatamente encubrir sus huellas borrando mensajes del kernel de fallos, eliminando entradas y registros de fallos de nginx, así como eliminando archivos de volcado de núcleo de fallos. ### Actividad Post-Explotación: Earthworm y ReverseSocks5 Después de obtener acceso a los firewalls de las víctimas, los atacantes desplegaron las herramientas de túnel de red de código abierto **Earthworm** y **ReverseSocks5**. Estas herramientas permiten la creación de servidores SOCKS v5 y túneles proxy en dispositivos comprometidos. * **Earthworm**: Permite a los actores de amenaza establecer comunicación encubierta a través de redes restringidas. * **ReverseSocks5**: Permite eludir NAT y firewalls creando una conexión saliente desde una máquina objetivo a un controlador. **Earthworm** se ha relacionado previamente con ataques atribuidos a grupos de amenaza de habla china como CL-STA-0046, **Volt Typhoon**, UAT-8337 y **APT41**. ### Exposición y Mitigación  _Firewalls PAN-OS de la serie VM de Palo Alto Networks expuestos en línea (Shadowserver)_ **Shadowserver** está rastreando actualmente más de 5,400 firewalls PAN-OS de la serie VM expuestos en Internet, con una concentración significativa en Asia (2,466) y América del Norte (1,998). **Palo Alto Networks** ha declarado que los dispositivos Cloud NGFW y Panorama no se ven afectados. Los parches se encuentran actualmente en desarrollo, y se espera que las primeras versiones salgan el miércoles 13 de mayo. Mientras tanto, **Palo Alto Networks** recomienda encarecidamente a los clientes que: * Restrinjan el acceso al Portal de Autenticación User-ID de PAN-OS solo a zonas de confianza. * Deshabiliten el portal si restringir el acceso no es factible. Los administradores pueden verificar la configuración del servicio vulnerable a través de la página de Configuración del Portal de Autenticación User-ID (Device > User Identification > Authentication Portal Settings -> Enable Authentication Portal). ### Acción de CISA y Tendencias Más Amplias La Agencia de Ciberseguridad e Infraestructura de EE. UU. (**CISA**) ha añadido **CVE-2026-0300** a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo a las agencias del Poder Ejecutivo Civil Federal (FCEB) que aseguren los firewalls vulnerables antes de la medianoche del sábado 9 de mayo. Esta explotación forma parte de una tendencia creciente de grupos de amenaza que atacan dispositivos de red perimetrales como firewalls, hipervisores, routers y software VPN, que a menudo carecen de registros y medidas de seguridad robustas. En febrero, **CISA** emitió la Directiva Operacional Vinculante 26-02, exigiendo a las agencias del gobierno de EE. UU. que eliminen los dispositivos de borde de red al final de su vida útil que ya no reciben actualizaciones de seguridad. El 99% de lo que encontró Mythos sigue sin parchear. AI encadenó cuatro zero-days en un exploit que eludió los sandboxes tanto del renderizador como del sistema operativo. Se avecina una ola de nuevos exploits. En la Cumbre de Validación Autónoma (12 y 14 de mayo), vea cómo la validación autónoma y rica en contexto encuentra lo que es explotable, demuestra que los controles se mantienen y cierra el ciclo de remediación. Reserva Tu Lugar