CVE-2026-0300 पर PAN-OS एडमिन के लिए तत्काल एक्शन प्लान

Limited exploitation का मतलब यह नहीं कि इसे टाला जा सकता है। Center for Internet Security के अनुसार exploitation उन User-ID Authentication Portals को target कर रही है जो untrusted IP addresses या public internet पर exposed हैं, जबकि sensitive portals को trusted internal networks तक सीमित रखने वाले customers का risk काफी कम होता है । Unit 42 भी कहता है कि जब portal public internet या untrusted networks पर exposed हो, तो unauthenticated RCE का risk काफी बढ़ जाता है ।

सबसे पहले किन systems की जांच करें

PAN-OS चलाने वाले Palo Alto Networks PA-Series और VM-Series firewalls से शुरू करें, खासकर जहाँ User-ID Authentication Portal/Captive Portal enabled है । Public reporting में Palo Alto की scoring के आधार पर CVSS score 9.3 बताया गया है जब portal internet या untrusted-network access के लिए configured हो; access केवल trusted internal IP addresses तक सीमित हो तो score 8.7 बताया गया है । लेकिन कम risk का मतलब remediation पूरा होना नहीं है: internal-only restricted systems को भी vendor-recommended update path चाहिए ।

Unit 42 के अनुसार Prisma Access, Cloud NGFW और Panorama appliances इस vulnerability से प्रभावित नहीं हैं । इससे triage list छोटी होती है, लेकिन PA-Series और VM-Series firewall deployments का audit छोड़ने का कारण नहीं बनता—खासकर उन environments में जहाँ Captive Portal कभी untrusted IP addresses से reachable रहा हो ।

PAN-OS admins के लिए immediate action plan

1. हर User-ID Authentication Portal deployment खोजें

PAN-OS firewalls की inventory बनाइए और पहचानिए कि किन PA-Series और VM-Series devices पर User-ID Authentication Portal/Captive Portal enabled है । हर device के लिए यह दर्ज करें कि portal internet से reachable है, किसी untrusted network से reachable है, या केवल trusted internal IP ranges से accessible है। Public या untrusted reachability को highest priority मानें, क्योंकि advisories के अनुसार exploitation risk यहीं सबसे ज्यादा बढ़ता है ।

2. Portal access अभी restrict या disable करें

User-ID Authentication Portal को केवल trusted internal networks तक सीमित करें। अगर यह भरोसेमंद तरीके से तुरंत संभव नहीं है, तो remediation तक portal access disable करें। Singapore की Cyber Security Agency affected versions के users और administrators को security updates उपलब्ध होने तक portal access restrict या disable करने की सलाह देती है ।

3. Patch के लिए Palo Alto advisory को final authority मानें

CERT-EU ने patches उपलब्ध होते ही affected appliances update करने और तब तक workarounds व mitigations लागू रखने की सिफारिश की है । अपने PAN-OS branch के affected-version और fixed-version guidance के लिए Palo Alto Networks की CVE-2026-0300 advisory को authoritative source मानें । तीसरे पक्ष की copied version tables उपयोगी संकेत दे सकती हैं, लेकिन अंतिम निर्णय vendor advisory से ही लें।

4. Patching के बाद exposure controls verify करें

Software update लगाने के बाद भी यह न मानें कि deployment risk अपने-आप खत्म हो गया। Confirm करें कि User-ID Authentication Portal public internet या untrusted networks से reachable नहीं है—जब तक कोई documented business requirement और compensating controls मौजूद न हों। Sensitive portals को trusted internal networks तक सीमित रखना best-practice posture है और risk को काफी घटाता है ।

5. जो firewall exposed था, उसकी compromise जांच करें

जिस affected firewall का portal untrusted networks पर exposed था, उसे normal trust में वापस लाने से पहले compromise assessment करें। Logs preserve करें, portal traffic review करें, unexpected configuration changes देखें और exploitation के बाद की suspicious activity खोजें। वजह सीधी है: सफल exploitation firewall पर unauthenticated root-level code execution दे सकता है ।

अमेरिकी federal agencies के लिए: इसे KEV emergency की तरह संभालें

U.S. federal teams जिन पर CISA KEV processes लागू होते हैं, उनके लिए CVE-2026-0300 सिर्फ vendor advisory नहीं है। Canadian Centre for Cyber Security के अनुसार CISA ने 6 मई 2026 को इस vulnerability को KEV catalog में जोड़ा , और उपलब्ध reporting में कहा गया है कि federal agencies को BOD 22-01 के तहत KEV-listed vulnerabilities remediate करनी होती हैं ।

Agency teams को asset discovery, portal restriction या disablement, patch status, fixed PAN-OS version validation, untrusted network path न बचने का proof, और exposed firewall की compromise assessment—इन सबकी evidence trail रखनी चाहिए।

अगर patch तुरंत नहीं लगा सकते

जब तक affected deployment के लिए सही fixed release उपलब्ध और install नहीं हो जाती, mitigations बनाए रखें। अगर business Captive Portal disable करने की अनुमति नहीं देता, तो access को trusted internal IP ranges तक सीमित करें और monitoring बढ़ाएं। अगर patching या reliable restriction दोनों संभव नहीं हैं, तो firewall को untrusted access से isolate करें या exposed service को remediation पूरी होने तक हटाएं। बचा हुआ exposure network-reachable, unauthenticated, automatable और पहले से exploited reported है ।

ये गलतियां न करें

• अगर portal internet या untrusted network पर exposed है, तो routine maintenance का इंतजार न करें; available advisories में यही highest-risk configuration बताई गई है ।
• Internal-only restriction को permanent fix न समझें। यह risk घटाता है, लेकिन affected devices को फिर भी appropriate PAN-OS remediation path चाहिए ।
• Fixed-version guidance के लिए third-party lists को final authority न मानें। Current vendor status और version guidance के लिए Palo Alto advisory देखें ।
• अगर firewall exploitation period में exposed था, तो सिर्फ patching पर न रुकें। Root privileges के साथ code execution की संभावना के कारण compromise review पूरा करें ।

Minimum safe posture यही है: User-ID Authentication Portal से untrusted access हटाइए, Palo Alto advisory के अनुसार patching कीजिए, और किसी भी exposed firewall को normal trust में लौटाने से पहले जांचिए ।