**Palo Alto Networks** emitiu um aviso urgente sobre uma vulnerabilidade zero-day de gravidade crítica, rastreada como **CVE-2026-0300**, que afeta firewalls PAN-OS. A vulnerabilidade está sendo ativamente explorada pelo que a empresa acredita serem atores de ameaças patrocinados por estados. ### CVE-2026-0300: Execução Remota de Código em PAN-OS **CVE-2026-0300** é uma falha de execução remota de código (RCE) encontrada no Portal de Autenticação User-ID do PAN-OS (também conhecido como Captive Portal). Essa vulnerabilidade de buffer overflow permite que atacantes não autenticados executem código arbitrário com privilégios de root em firewalls PA-Series e VM-Series expostos à Internet. "Estamos cientes de apenas explorações limitadas da CVE-2026-0300 neste momento. A Unit 42 está rastreando CL-STA-1132, um cluster de atividades de ameaças provavelmente patrocinadas por estados explorando a CVE-2026-0300. O atacante por trás dessa atividade explorou a CVE-2026-0300 para obter execução remota de código (RCE) não autenticada no software PAN-OS", declarou a empresa. ### Cronologia da Exploração De acordo com a **Palo Alto Networks**, as primeiras tentativas de exploração sem sucesso foram observadas a partir de 9 de abril de 2026. Uma semana depois, os atacantes conseguiram obter RCE e injetar shellcode. Após o comprometimento, os atacantes tentaram imediatamente cobrir seus rastros limpando mensagens do kernel de crash, excluindo entradas e registros de crash do nginx, bem como removendo arquivos de core dump de crash. ### Atividade Pós-Exploração: Earthworm e ReverseSocks5 Após obter acesso aos firewalls das vítimas, os atacantes implantaram as ferramentas de tunelamento de rede de código aberto **Earthworm** e **ReverseSocks5**. Essas ferramentas permitem a criação de servidores SOCKS v5 e túneis proxy em dispositivos comprometidos. * **Earthworm**: Permite que atores de ameaças estabeleçam comunicação discreta em redes restritas. * **ReverseSocks5**: Permite contornar NAT e firewalls criando uma conexão de saída de uma máquina alvo para um controlador. O **Earthworm** foi previamente associado a ataques atribuídos a grupos de ameaças de língua chinesa, como CL-STA-0046, **Volt Typhoon**, UAT-8337 e **APT41**. ### Exposição e Mitigação  _Firewalls PAN-OS da série VM da Palo Alto Networks expostos online (Shadowserver)_ A **Shadowserver** está atualmente rastreando mais de 5.400 firewalls PAN-OS da série VM expostos na Internet, com uma concentração significativa na Ásia (2.466) e América do Norte (1.998). A **Palo Alto Networks** declarou que os appliances Cloud NGFW e Panorama não são afetados. Patches estão atualmente em desenvolvimento, com os primeiros lançamentos esperados para quarta-feira, 13 de maio. Enquanto isso, a **Palo Alto Networks** recomenda fortemente que os clientes: * Restrinjam o acesso ao Portal de Autenticação User-ID do PAN-OS apenas a zonas confiáveis. * Desabilitem o portal se restringir o acesso não for viável. Os administradores podem verificar a configuração do serviço vulnerável através da página de Configurações do Portal de Autenticação User-ID (Device > User Identification > Authentication Portal Settings -> Enable Authentication Portal). ### Ação da CISA e Tendências Mais Amplas A Agência de Segurança Cibernética e Infraestrutura dos EUA (**CISA**) adicionou a **CVE-2026-0300** ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que as agências do Federal Civilian Executive Branch (FCEB) protejam os firewalls vulneráveis até a meia-noite de sábado, 9 de maio. Essa exploração faz parte de uma tendência crescente de grupos de ameaças visando dispositivos de rede de borda, como firewalls, hypervisors, roteadores e software VPN, que muitas vezes carecem de logs robustos e medidas de segurança. Em fevereiro, a **CISA** emitiu a Diretiva Operacional Vinculante 26-02, exigindo que as agências do governo dos EUA removam dispositivos de borda de rede que não recebem mais atualizações de segurança. 99% do que a Mythos descobriu ainda não foi corrigido. IA encadeou quatro zero-days em um único exploit que contornou os sandboxes de renderização e do sistema operacional. Uma onda de novos exploits está chegando. No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles se mantêm e fecha o ciclo de remediação. Garanta Sua Vaga