### Exploração de Zero-Day em Campo **Palo Alto Networks** divulgou que atores de ameaça podem ter tentado explorar sem sucesso uma falha crítica de segurança recentemente divulgada já em 9 de abril de 2026. A vulnerabilidade em questão é a **CVE-2026-0300** (pontuação CVSS: 9.3/8.7), uma vulnerabilidade de buffer overflow no serviço User-ID Authentication Portal do software PAN-OS da **Palo Alto Networks**. Essa falha poderia permitir que um atacante não autenticado executasse código arbitrário com privilégios de root enviando pacotes especialmente elaborados. ### Estratégias de Mitigação Embora correções sejam esperadas para serem lançadas a partir de 13 de maio de 2026, os clientes são aconselhados a proteger o acesso ao Portal de Autenticação User-ID do PAN-OS restringindo o acesso a zonas confiáveis ou desativando-o completamente se não estiver em uso. Como mitigação adicional, a empresa recomenda desabilitar as Páginas de Resposta no Perfil de Gerenciamento de Interface para qualquer interface L3 onde tráfego não confiável ou da internet possa ingressar. Clientes com Advanced Threat Prevention também podem bloquear tentativas de exploração habilitando o Threat ID 510019 a partir da versão 9097-10022 do conteúdo de Aplicações e Ameaças. ### Rastreando o Ator da Ameaça: CL-STA-1132 Em um comunicado, a empresa de segurança de rede declarou que está ciente da exploração limitada da falha e está rastreando a atividade sob o **CL-STA-1132**, um cluster de ameaças patrocinado por estado suspeito de proveniência desconhecida. "O atacante por trás desta atividade explorou a CVE-2026-0300 para obter execução remota de código (RCE) sem autenticação no software PAN-OS. Após a exploração bem-sucedida, o atacante conseguiu injetar shellcode em um processo worker do nginx", disse a Unit 42 da **Palo Alto Networks**. ### Atividades Pós-Exploração A empresa de cibersegurança observou tentativas de exploração malsucedidas contra um dispositivo PAN-OS a partir de 9 de abril de 2026. Uma semana depois, os atacantes obtiveram com sucesso execução remota de código contra o appliance e injetaram shellcode. Imediatamente após obter o acesso inicial, os atores da ameaça tentaram cobrir seus rastros limpando mensagens do kernel de crash, excluindo entradas e registros de crash do nginx, e removendo arquivos de core dump de crash. As atividades pós-exploração incluíram a realização de enumeração do Active Directory (AD) e o drop de payloads adicionais como **EarthWorm** e **ReverseSocks5** contra um segundo dispositivo em 29 de abril de 2026. Ambas as ferramentas foram previamente associadas a grupos de hacking com nexo na China. ### Alvo de Ativos de Rede de Borda "Nos últimos cinco anos, atores de ameaça de estado-nação engajados em ciberespionagem têm focado cada vez mais seus esforços em ativos tecnológicos de rede de borda, incluindo firewalls, roteadores, dispositivos IoT, hypervisors e várias soluções VPN, que fornecem acesso de alto privilégio enquanto frequentemente carecem de logging robusto e agentes de segurança encontrados em endpoints padrão", disse a Unit 42. "A dependência dos atacantes por trás do CL-STA-1132 em ferramentas de código aberto, em vez de malware proprietário, minimizou a detecção baseada em assinatura e facilitou a integração perfeita ao ambiente. Essa escolha técnica, combinada com uma cadência operacional disciplinada de sessões interativas intermitentes ao longo de um período de várias semanas, permaneceu intencionalmente abaixo dos limiares comportamentais da maioria dos sistemas de alerta automatizados."