概要
Palo Alto Networksは2026年5月6〜7日、PAN-OSのUser-ID認証ポータル(Captive Portal)に存在するバッファオーバーフロー脆弱性CVE-2026-0300を公開した。CVSSスコアは9.3/8.7と評価されており、認証なしに特別細工したパケットを送信することでroot権限での任意コード実行が可能となる。影響を受けるのはインターネットに公開されたPA-SeriesおよびVM-Seriesファイアウォールで、Prisma Access・Cloud NGFW・Panoramaは対象外だ。CISAはこの脆弱性をKnown Exploited Vulnerabilities(KEV)カタログに追加し、連邦政府機関に対して2026年5月9日深夜までに対処するよう命じた。
悪用の経緯と攻撃者の手口
Palo Alto Networksの調査によれば、最初の悪用試行は2026年4月9日に観測された。当初の試みは失敗に終わったが、4月16日には攻撃者がリモートコード実行に成功し、nginxワーカープロセスへのシェルコード注入を達成した。さらに4月29日には2台目のデバイスにも追加ペイロードが展開された。公開は5月6〜7日であるため、ゼロデイとして約1ヶ月間悪用され続けたことになる。
攻撃者はPalo Alto NetworksによりCL-STA-1132というクラスターとして追跡されており、国家支援型の脅威アクターと疑われている。使用されたツールはEarthWormとReverseSocks5で、これらは「制限されたネットワークを横断する隠密通信路の確立」とSOCKS v5プロキシ機能の実現に用いられた。過去にChina nexusグループとの関連が報告されているオープンソースツールであることも注目点だ。侵害後にはActive Directoryの列挙が行われたほか、カーネルクラッシュメッセージの消去・nginxクラッシュログの削除・コアダンプの除去といった痕跡隠滅工作も確認されている。複数週にわたる断続的なセッションで低い活動ノイズを維持し、検知を回避する高度な手口が見られた。
影響範囲とパッチ提供スケジュール
Shadowserver Foundationのデータによると、インターネット上に公開されているPAN-OS VM-Seriesファイアウォールは5,400台以上に上り、アジアに2,466台、北米に1,998台が集中している。パッチは2段階で提供予定で、第1波(2026年5月13日頃)では12.1.4-h5・11.2.7-h13・11.2.10-h6・11.1.4-h33・11.1.6-h32・11.1.10-h25・11.1.13-h5・10.2.10-h36・10.2.18-h6が、第2波(5月28日頃)では12.1.7・11.2.4-h17・11.2.12・11.1.7-h6・11.1.15・10.2.7-h34・10.2.13-h21・10.2.16-h7が順次リリースされる予定だ。
推奨される緩和策
パッチ適用までの暫定対策として、Palo Alto Networksは以下を強く推奨している。まず、User-ID認証ポータルへのアクセスを信頼済みゾーンのみに制限するか、不要な場合は機能を無効化することが最優先だ。加えて、信頼されていない入力ポイントのインターフェース管理プロファイルでResponse Pagesを無効化することも有効とされる。Advanced Threat Preventionのライセンス保有者は、脅威コンテンツバージョン9097-10022のThreat ID 510019を有効化することで追加の防御が得られる。CISAの命令を踏まえ、特に政府機関・重要インフラ事業者は対応を急ぐ必要がある。