Palo Alto Firewalls Hit by Zero-Day Allowing Arbitrary Code Execution as Root
2026/05/15 gbhackers — Palo Alto Networks のファイアウォールにおけるゼロデイ脆弱性が積極的に悪用され、国家に支援されると推測される未認証の攻撃者が、エンタープライズのセキュリティ基盤を完全に掌握するリスクが生じている。この脆弱性 CVE-2026-0300 (CVSS:9.3:Critical) は、PAN-OS ソフトウェアの User-ID Authentication Portal サービスに存在し、遅くとも 2026年4月9日には武器化されている。2026年5月6日に情報が公開される前から、攻撃者は数週間にわたり露出システムを侵害する機会を有していた。
Palo Alto ファイアウォールのゼロデイ攻撃
CVE-2026-0300 は User-ID Authentication Portal における、Captive Portal サービスのバッファオーバーフローの脆弱性に起因する。このサービスは、未知のトラフィックにおけるユーザー識別を目的とする。
細工されたパケットを脆弱な PA-Series および VM-Series ファイアウォールへ送信する攻撃者により、out-of-bounds write が引き起こされる。これにより、nginx ワーカープロセスへの悪意のシェルコード注入が可能となる。
この攻撃が成功した場合には、未認証のリモート攻撃者が root 権限でコード実行を行うという、最高レベルへの侵害が可能となる。
User-ID Authentication Portal が有効であり、インターネットなどに公開されている場合のみ攻撃が可能となる。特に Layer 3 インターフェイス上で、Response ページの有効化と、信頼できないゾーンからのアクセスが重なる場合に、リスクは大幅に増大する。
Palo Alto Networks Unit 42 の研究者は、CL-STA-1132 と識別される脅威クラスターによる限定的かつ標的型の攻撃を確認している。この活動の発信元は不明であるが、国家に支援される脅威アクターの可能性が高いと評価されている。
侵害後の活動では、高度な攻撃能力が確認されている。
- Earthworm や ReverseSocks5 といった公開トンネリング・ツールを用いた C2 チャネルの確立。
- 侵害したファイアウォールから取得した、認証情報を用いた Active Directory の列挙。
- ログおよびフォレンジック証跡の削除による痕跡の隠蔽。
2026年5月6日に PoC (proof-of-concept) コードが公開されたことで、攻撃難易度は大幅に低下している。
公開された実際に動作するエクスプロイトでは、root 権限でのリモートコード実行が容易に再現できる。それにより、未対策の組織に対するリスクが著しく増大している。
この脆弱性が影響を及ぼす範囲は、PAN-OS 10.2/11.1/11.2/12.1 系列となるが、Prisma Access/Cloud NGFW/Panorama には影響を与えない。
影響バージョンおよびパッチの状況
この脆弱性は、複数の PAN-OS メジャーリリースに影響し、2026年5月にパッチが提供されている。修正バージョンは以下の通りである。
12.1 系列:12.1.4-h5/12.1.7
11.2 系列:11.2.4-h17/11.2.7-h13/11.2.10-h6/11.2.12
11.1 系列:11.1.4-h33 ~ 11.1.15
10.2 系列:10.2.7-h34 ~ 10.2.18-h6
一部のホットフィックスには、2026年5月28日に提供されるものもあるため、それらを利用する組織は、依然として露出状態にある。
暫定的な対策
パッチ適用までの間、以下の対策のいずれかを、速やかに実施する必要がある。
- User-ID Authentication Portal を信頼された内部ゾーンのみに制限。
- Layer 3 インターフェイスの管理プロファイルにおける Response ページの無効化。
または
- User-ID Authentication Portal の完全な無効化
“Device > User Identification > Authentication Portal Settings” で、”Enable Authentication Portal” を無効化
セキュリティ・チームにとって必要なことは、User-ID Authentication Portal の有効化と外部への公開を、最優先で確認することである。このコンフィグレーションが、CVE-2026-0300 の主要な攻撃ベクターである。
訳者後書:Palo Alto Networks 製ファイアウォールに見つかった、深刻なゼロデイ脆弱性に関する解説です。問題の原因は、ユーザー識別を行う Captive Portal サービスにおいて、受信パケットを処理する際のメモリ管理の不備 (バッファオーバーフロー) にあります。この CVE-2026-0300 の悪用に成功した攻撃者は、認証を必要とせずに外部からシステムの root 権限を奪い、リモートコード実行 (RCE) を可能にします。すでに国家支援型の組織による標的型攻撃や、Active Directory への侵入、ログ消去などの悪用が確認されています。一部パッチの公開が後日になるバージョンもあるため、管理者は提供済みの修正版へ速やかに更新するか、ポータル機能の無効化やアクセス制限などの緊急緩和策を直ちに実施する必要があります。よろしければ、CVE-2026-0300 での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.