**Palo Alto Networks** advirtió hoy a sus clientes que una vulnerabilidad crítica sin parches en el Portal de Autenticación User-ID de PAN-OS está siendo explotada en ataques. ### Comprendiendo la Vulnerabilidad El Portal de Autenticación User-ID, también conocido como Portal Cautivo, es una característica de seguridad de PAN-OS que autentica a los usuarios cuya identidad no puede ser mapeada automáticamente por el firewall. Esta característica es crucial para mantener la seguridad de la red, asegurando que solo los usuarios autorizados obtengan acceso. Rastreable como **CVE-2026-0300**, este bug zero-day se origina en una debilidad de desbordamiento de búfer. Paquetes específicamente diseñados pueden ser aprovechados por atacantes no autenticados para ejecutar código arbitrario con privilegios de root en firewalls PA-Series y VM-Series expuestos a Internet. "Se ha observado una explotación limitada dirigida a los Portales de Autenticación User-ID™ de **Palo Alto Networks** que están expuestos a direcciones IP no confiables y/o a la Internet pública", dijo **Palo Alto Networks** en un aviso el miércoles. ### Pasos de Mitigación **Palo Alto Networks** recomienda a los clientes implementar pasos de mitigación inmediatos. "Los clientes que siguen las mejores prácticas de seguridad estándar, como restringir los portales sensibles a redes internas confiables, tienen un riesgo muy reducido." Hasta que haya un parche disponible, **Palo Alto Networks** recomienda "encarecidamente" asegurar el Portal de Autenticación User-ID restringiendo el acceso solo a zonas confiables o deshabilitando el portal si la restricción no es factible. Para verificar si sus firewalls están configurados para usar el servicio vulnerable, navegue a Device > User Identification > Authentication Portal Settings -> Enable Authentication Portal dentro de la interfaz de PAN-OS. ### Exposición en Internet Actualmente, **Shadowserver** está rastreando más de 5,800 firewalls VM-series de PAN-OS expuestos en línea, con una concentración significativa en Asia (2,466) y América del Norte (1,998).  *Firewalls VM-series expuestos en línea (Shadowserver)* ### Un Historial de Explotación Los firewalls PAN-OS han sido un objetivo recurrente para los atacantes, a menudo explotando vulnerabilidades zero-day. En noviembre de 2024, **Shadowserver** informó que miles de firewalls fueron comprometidos al encadenar dos vulnerabilidades zero-day de PAN-OS. Un mes después, se explotó otra falla DoS en PAN-OS, forzando a los firewalls a reiniciarse y deshabilitar las protecciones. En febrero, los atacantes abusaron de otras tres fallas de PAN-OS para comprometer firewalls con interfaces de administración expuestas a Internet. Los productos y servicios de **Palo Alto Networks** son utilizados por más de 70,000 clientes en todo el mundo, incluyendo el 90% de las empresas Fortune 10 y la mayoría de los bancos más grandes de EE. UU., lo que convierte a esta en una vulnerabilidad de alto impacto. --- *Actualización 06 de Mayo, 11:45 EDT:* **Palo Alto Networks** proporcionó la siguiente declaración después de la publicación del artículo: "Esta vulnerabilidad es específica para un número limitado de clientes con su Portal de Autenticación User-ID (Portal Cautivo) expuesto a la Internet pública o a direcciones IP no confiables. Hemos observado una explotación limitada de este problema y estamos trabajando para lanzar correcciones de software, con las primeras actualizaciones esperadas para el 13 de mayo de 2026", dijo la compañía a BleepingComputer. "Hemos proporcionado una guía de mitigación clara a nuestros clientes para asegurar sus entornos de inmediato. Este problema no afecta a los appliances Cloud NGFW o Panorama. Seguimos comprometidos con un enfoque transparente y de seguridad primero para proteger nuestra base de clientes global." <a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0"><img alt="article image" src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg"></a> ## <a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">El 99% de lo que Mythos encontró sigue sin parchear.</a> La IA encadenó cuatro zero-days en un exploit que eludió tanto los sandboxes del renderizador como los del sistema operativo. Se avecina una ola de nuevos exploits. En la Cumbre de Validación Autónoma (12 y 14 de mayo), vea cómo la validación autónoma y rica en contexto encuentra lo que es explotable, demuestra que los controles se mantienen y cierra el ciclo de remediación. <a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">Reclama tu Lugar</a>