Palo Alto Firewall の脆弱性 CVE-2026-0300:確認された悪用とパッチ提供までの緊急対応

Critical Palo Alto Firewalls Vulnerability Exploited in the Wild to Gain Root Access

2026/05/06 CyberSecurityNews — Palo Alto Networks が公表したのは、PAN-OS ソフトウェアにおける深刻なバッファ・オーバーフローの脆弱性 CVE-2026-0300 (CVSS4.0:9.3:CRITICAL) に関する情報である。この脆弱性は、すでに実環境での悪用が確認されている。

この脆弱性を悪用する未認証のリモート攻撃者は、root 権限での任意のコード実行が可能となる。この脆弱性が影響を及ぼす範囲は、PA-Series および VM-Series ファイアウォールであり、悪用に際して認証情報/ユーザー操作/特別条件などは不要である。

脆弱性 CVE-2026-0300 は、PAN-OS の User-ID Authentication Portal (Captive Portal) に存在する。攻撃者は細工されたパケットを送信することで out-of-bounds 書き込み (CWE-787) を引き起こし、バッファ・オーバーフローから root 権限でのコード実行を引き起こす恐れがある。

攻撃ベクターは NETWORK、攻撃複雑度は低、認証は不要であるため、攻撃チェーンの完全な自動化が可能であり、大規模悪用に適した条件を備える。Authentication Portal が外部に公開された環境への限定的な攻撃が、すでに確認されており、エクスプロイトの成熟度は ATTACKED に分類されている。

影響製品

この脆弱性は、複数の PAN-OS バージョンに影響を及ぼす:

  • PAN-OS 10.2:10.2.7-h34/10.2.10-h36/10.2.13-h21/10.2.16-h7/10.2.18-h6 未満
  • PAN-OS 11.1:11.1.4-h33/11.1.6-h32/11.1.7-h6/11.1.10-h25/11.1.13-h5/11.1.15 未満
  • PAN-OS 11.2:11.2.4-h17/11.2.7-h13/11.2.10-h6/11.2.12 未満
  • PAN-OS 12.1:12.1.4-h5/12.1.7 未満

ただし、Prisma Access/Cloud NGFW/Panorama は影響を受けない。

この脆弱性の悪用は、Authentication Portal が有効化され、外部ネットワークからアクセス可能な場合に限定される。インターネット公開時の CVSS は最大の 9.3 に達し、隣接ネットワークでも 8.7 の高リスクを維持する。

攻撃が成功した場合には、機密性/完全性/可用性に重大な影響が生じ、ファイアウォールの制御権が完全に奪取される。

エンタープライズ・ファイアウォールはネットワークの要所であるため、この脆弱性が攻撃されると、ラテラル・ムーブメント/トラフィック傍受/認証情報窃取などが生じ、ネットワーク全体への侵害に直結する。

対策

Palo Alto Networks が計画しているパッチ適用の時期は、2026年5月13日〜5月28日とされている。したがって、それまでの対策が重要となる。

パッチ適用までの暫定対策:

  • Authentication Portal を信頼済み内部 IP のみに制限
  • 不要な場合は Authentication Portal を無効化

また、PAN-OS 11.1 以降に対しては、2026年5月5日に Threat Prevention シグネチャが提供されており、それにより検知および遮断が可能となる。

セキュリティチームにとって必要なことは、”Device > User Identification > Authentication Portal Settings” を確認し、設定に対して監査を実施することだ。

インターネットまたは非信頼ゾーンからアクセス可能な Portal については、緊急対応が必要な対象として扱うべきだ。

訳者後書:多くの企業でネットワークの要として使われている Palo Alto Networks 社のファイアウォール (PAN-OS ) で発見された、きわめて深刻な脆弱性について解説する記事です。問題の原因は、ユーザー認証を行うため Authentication Portal において、送られてきたデータの長さを正しく確認せずに処理してしまうバッファ・オーバーフローにあります。この欠陥を突く攻撃者は、ID やパスワードを一切持っていなくても、ネットワーク経由で特殊なデータを送りつけるだけで、ファイアウォールの最高権限 (root 権限) を乗っ取り、内部のプログラムを実行できてしまいます。すでに実際の攻撃に使われているという報告もあり、注意が必要です。よろしければ、Palo Alto での検索結果も、ご参照ください。