### 野生でのゼロデイ悪用 **Palo Alto Networks**は、攻撃者が2026年4月9日より早くから、最近開示された重大なセキュリティ脆弱性を悪用しようとした可能性があることを明らかにしました。 問題となっている脆弱性は、**Palo Alto Networks**のPAN-OSソフトウェアのUser-ID認証ポータルサービスにおけるバッファオーバーフロー脆弱性である**CVE-2026-0300**（CVSSスコア：9.3/8.7）です。この脆弱性は、認証されていない攻撃者が特別に細工されたパケットを送信することにより、root権限で任意のコードを実行することを可能にする可能性があります。 ### 緩和策 修正プログラムは2026年5月13日からリリースされる予定ですが、顧客はPAN-OS User-ID認証ポータルへのアクセスを信頼できるゾーンに制限するか、使用していない場合は完全に無効にすることで、アクセスを保護することが推奨されます。 追加の緩和策として、同社は、信頼されていないトラフィックまたはインターネットトラフィックが侵入できる可能性のある任意のL3インターフェイスのインターフェイス管理プロファイルでレスポンスページを無効にすることを推奨しています。Advanced Threat Preventionを使用している顧客は、Applications and Threatsコンテンツバージョン9097-10022でThreat ID 510019を有効にすることで、悪用試行をブロックすることもできます。 ### 脅威アクターの追跡：CL-STA-1132 アドバイザリの中で、ネットワークセキュリティ企業は、この脆弱性の限定的な悪用を認識しており、その活動を、出所不明の国家支援と疑われる脅威クラスターである**CL-STA-1132**の下で追跡していると述べています。 「この活動の背後にある攻撃者は、PAN-OSソフトウェアで認証なしのリモートコード実行（RCE）を達成するためにCVE-2026-0300を悪用しました。悪用に成功すると、攻撃者はnginxワーカープロセスにshellcodeを注入することができました」と、**Palo Alto Networks** Unit 42は述べています。 ### 悪用後の活動 サイバーセキュリティ企業は、2026年4月9日からPAN-OSデバイスに対する悪用試行が成功しなかったことを確認しました。1週間後、攻撃者はアプライアンスに対してリモートコード実行を成功させ、shellcodeを注入しました。 初期アクセスを取得した直後、脅威アクターはクラッシュカーネルメッセージのクリア、nginxクラッシュエントリとレコードの削除、クラッシュコアダンプファイルの削除を行うことで、痕跡を消そうとしました。 悪用後の活動には、Active Directory（AD）の列挙の実行や、2026年4月29日に2台目のデバイスに対して**EarthWorm**や**ReverseSocks5**などの追加のpayloadをドロップすることが含まれていました。これらのツールは両方とも、以前に中国関連のハッキンググループと関連付けられていました。 ### エッジネットワーク資産の標的化 「過去5年間で、サイバー諜報活動に従事する国家支援の脅威アクターは、ファイアウォール、ルーター、IoTデバイス、ハイパーバイザー、およびさまざまなVPNソリューションを含むエッジネットワーク技術資産への取り組みをますます強化してきました。これらは高い権限を持つアクセスを提供しますが、標準的なエンドポイントにある堅牢なロギングやセキュリティエージェントが欠如していることがよくあります」と、Unit 42は述べています。 「CL-STA-1132の背後にある攻撃者がオープンソースのツールに依存し、独自のマルウェアではなく、シグネチャベースの検出を最小限に抑え、シームレスな環境統合を促進しました。この技術的な選択は、数週間にわたる断続的なインタラクティブセッションという規律ある運用上のペースと組み合わされ、ほとんどの自動アラートシステムの行動しきい値を意図的に下回っていました。」