**パロアルトネットワークス**は、PAN-OSファイアウォールに影響を与える重大な脆弱性である**CVE-2026-0300**に関する緊急勧告を発行しました。この脆弱性は、同社が国家支援型の脅威アクターによるものと見なす攻撃者によって、実際に悪用されています。 ### CVE-2026-0300: PAN-OSにおけるリモートコード実行 **CVE-2026-0300**は、PAN-OSのUser-ID認証ポータル（キャプティブポータルとしても知られる）に存在するリモートコード実行（RCE）の脆弱性です。このバッファオーバーフローの脆弱性により、認証されていない攻撃者は、インターネットに公開されているPA-SeriesおよびVM-Seriesファイアウォール上で、root権限で任意のコードを実行できます。 「現時点では、CVE-2026-0300の限定的な悪用のみを認識しています。Unit 42は、CVE-2026-0300を悪用する、国家支援型と思われる脅威活動のクラスターであるCL-STA-1132を追跡しています。この活動の背後にある攻撃者は、CVE-2026-0300を悪用して、PAN-OSソフトウェアで認証されていないリモートコード実行（RCE）を達成しました」と同社は述べています。 ### 悪用のタイムライン **パロアルトネットワークス**によると、最初の試みは2026年4月9日から始まり、成功しませんでした。1週間後、攻撃者はRCEを達成し、shellcodeを注入することに成功しました。侵害後、攻撃者はクラッシュカーネルメッセージのクリア、nginxクラッシュエントリとレコードの削除、クラッシュコアダンプファイルの削除などを行い、すぐに痕跡を消そうとしました。 ### 悪用後の活動：EarthwormとReverseSocks5 被害者のファイアウォールへのアクセスを確保した後、攻撃者はオープンソースの**Earthworm**と**ReverseSocks5**ネットワークトンネリングツールを展開しました。これらのツールは、侵害されたデバイス上でSOCKS v5サーバーとプロキシトンネルを作成することを可能にします。 * **Earthworm**: 脅威アクターが制限されたネットワークを横断して秘密裏に通信を確立できるようにします。 * **ReverseSocks5**: ターゲットマシンからコントローラーへのアウトバウンド接続を作成することにより、NATとファイアウォールをバイパスできるようにします。 **Earthworm**は、以前にCL-STA-0046、**Volt Typhoon**、UAT-8337、および**APT41**などの中国語圏の脅威グループに起因する攻撃に関連付けられています。 ### 露出と緩和策  _インターネットに公開されているパロアルトネットワークスのVMシリーズファイアウォール（Shadowserver）_ **Shadowserver**は現在、インターネットに公開されている5,400以上のPAN-OS VMシリーズファイアウォールを追跡しており、アジア（2,466）と北米（1,998）にかなりの集中が見られます。 **パロアルトネットワークス**は、Cloud NGFWおよびPanoramaアプライアンスは影響を受けないとしています。パッチは現在開発中であり、最初のリリースは5月13日水曜日になると予想されています。 それまでの間、**パロアルトネットワークス**は顧客に以下のことを強く推奨しています。 * PAN-OS User-ID認証ポータルへのアクセスを信頼できるゾーンのみに制限してください。 * アクセスを制限できない場合は、ポータルを無効にしてください。 管理者は、User-ID認証ポータル設定ページ（Device > User Identification > Authentication Portal Settings -> Enable Authentication Portal）を通じて、脆弱なサービスの構成を確認できます。 ### CISAの措置とより広範なトレンド 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（**CISA**）は、**CVE-2026-0300**を既知の悪用済み脆弱性（KEV）カタログに追加し、連邦民間行政機関（FCEB）に対し、5月9日土曜日深夜までに脆弱なファイアウォールを保護することを義務付けました。 この悪用は、ファイアウォール、ハイパーバイザー、ルーター、VPNソフトウェアなどのエッジネットワークデバイスを標的とする脅威グループの増加傾向の一部であり、これらのデバイスは堅牢なロギングとセキュリティ対策が欠如していることがよくあります。 2月に、**CISA**はバインディング運用指令26-02を発行し、米国政府機関に対し、セキュリティアップデートを受け取らなくなったEOL（End-of-Life）ネットワークエッジデバイスを削除することを義務付けました。 Mythosが発見したものの99%はまだパッチが適用されていません。 AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSの両方のサンドボックスをバイパスしました。新しいエクスプロイトの波が来ます。 Autonomous Validation Summit（5月12日および14日）で、自律的でコンテキストリッチな検証が、悪用可能なものをどのように発見し、管理が有効であることを証明し、修正ループを閉じるかを確認してください。 参加登録はこちら