CVE-2026-0300 в PAN-OS: что срочно сделать ведомствам и организациям

Для федеральных гражданских ведомств США отдельный момент — комплаенс. CISA, американское Агентство по кибербезопасности и безопасности инфраструктуры, добавило CVE-2026-0300 в каталог Known Exploited Vulnerabilities, то есть KEV, 6 мая 2026 года ^[16][18]. Для таких ведомств это означает необходимость действовать по обязательному процессу устранения KEV-уязвимостей, связанному с BOD 22-01 ^[27]. Организациям вне американского федерального контура всё равно стоит ориентироваться на такой же уровень срочности: речь идёт о firewall на периметре и потенциальном выполнении кода с правами root.

Что сделать в первые часы

1. Соберите инвентарь. Найдите все устройства Palo Alto Networks PAN-OS: аппаратные PA-Series и виртуальные VM-Series. Отдельно отметьте системы, где включён User-ID Authentication Portal/Captive Portal и где он доступен из интернета, DMZ, партнёрских сетей или других недоверенных зон ^[3][10].

2. Закройте доступ к порталу. Немедленно ограничьте User-ID Authentication Portal только доверенными внутренними сетями. Если портал не нужен для критичных процессов — отключите его до установки обновлений ^[3][7]. Ограничение доступа снижает риск, но не заменяет патч.

3. Если ограничить нельзя — изолируйте. Если затронутый firewall невозможно быстро перевести в безопасную конфигурацию, его нужно изолировать или временно вывести из эксплуатации до исправления. Это наиболее безопасная тактика для уязвимости KEV, которая уже используется в атаках и затрагивает устройство на периметре ^[3][7].

4. Поставьте исправления сразу после доступности. Не ориентируйтесь на пересказы в чатах или устаревшие таблицы версий: целевые fixed releases нужно сверять с официальным advisory Palo Alto Networks для CVE-2026-0300 ^[21]. После обновления повторно проверьте, что портал не остался доступен недоверенным сетям без необходимости.

5. Используйте дополнительные средства детектирования, но не как замену патчу. Для поддерживаемых развёртываний отдельные рекомендации указывают Threat ID 510019 как дополнительный контроль обнаружения и блокировки ^[7]. Это полезно, но не отменяет изоляцию, ограничение доступа и обновление PAN-OS.

Как реагировать, если портал был доступен извне

Если User-ID Authentication Portal был exposed в интернет или недоверенную сеть, разумно рассматривать устройство как потенциально скомпрометированное до проверки. Причина проста: эксплуатация не требует учётных данных и может привести к выполнению кода с правами root на firewall ^[1][3][26].

Минимальный план реагирования:

• сохранить журналы и конфигурации до действий, которые могут уничтожить следы;
• проверить аномальные обращения к Captive Portal, сбои сервиса, неожиданные изменения конфигурации и подозрящие исходящие соединения;
• свериться с обновлениями Palo Alto Networks и Unit 42 по индикаторам и деталям активности вокруг CVE-2026-0300 ^[26];
• проверить локальные и административные учётные записи, API-ключи, сервисные credentials и секреты, которые могли проходить через затронутую инфраструктуру;
• после патча продолжить мониторинг на персистентность и повторные попытки эксплуатации.

Чего делать не стоит

Не стоит успокаиваться формулировкой «limited exploitation»: даже ограниченная эксплуатация критичной RCE-уязвимости на firewall — достаточная причина для экстренного режима ^[1][26]. Не стоит оставлять Captive Portal доступным из интернета «до ближайшего окна», если его можно закрыть сейчас ^[3][7]. И не стоит путать исправление версии с безопасной архитектурой: после обновления портал всё равно должен быть доступен только там, где это действительно необходимо.

Итог: для федеральных ведомств США это обязательная KEV-задача; для всех остальных — практически такой же приоритет. Найти затронутые PAN-OS firewall, закрыть или отключить User-ID Authentication Portal, изолировать то, что нельзя быстро обезопасить, установить официальные исправления и начать проверку на компрометацию.