Palo Alto Networks heeft onthuld dat dreigingsactoren mogelijk al op 9 april 2026 tevergeefs hebben geprobeerd misbruik te maken van een onlangs onthulde kritieke beveiligingsfout.
De kwetsbaarheid in kwestie is CVE-2026-0300 (CVSS-score: 9,3/8,7), een bufferoverflow-kwetsbaarheid in de User-ID Authentication Portal-service van Palo Alto Networks PAN-OS-software waarmee een niet-geverifieerde aanvaller willekeurige code met rootrechten kan uitvoeren door speciaal vervaardigde pakketten te verzenden.
Hoewel er naar verwachting vanaf 13 mei 2026 oplossingen zullen worden uitgebracht, wordt klanten geadviseerd om de toegang tot het PAN-OS User-ID Authentication Portal te beveiligen door de toegang tot vertrouwde zones te beperken, of door deze volledig uit te schakelen als deze niet wordt gebruikt.
In een woensdag uitgegeven advies zei het netwerkbeveiligingsbedrijf dat het zich bewust is van de beperkte exploitatie van de fout. Het volgt de activiteit onder de CL-STA-1132een vermoedelijk door de staat gesponsord dreigingscluster van onbekende herkomst.
“De aanvaller achter deze activiteit maakte misbruik van CVE-2026-0300 om niet-geverifieerde externe code-uitvoering (RCE) in PAN-OS-software te bewerkstelligen. Na succesvolle exploitatie kon de aanvaller shellcode in een nginx-werkproces injecteren”, aldus Palo Alto Networks Unit 42.
Het cyberbeveiligingsbedrijf zei dat het vanaf 9 april 2026 mislukte exploitatiepogingen tegen een PAN-OS-apparaat heeft waargenomen, een week daarna slaagden de aanvallers erin om met succes externe code op het apparaat uit te voeren en shellcode te injecteren.
Zodra de initiële toegang was verkregen, ondernamen de bedreigingsactoren stappen om crash-kernelberichten te wissen, nginx-crashvermeldingen en nginx-crashrecords te verwijderen, en crash core-dumpbestanden te verwijderen in een poging de sporen te verbergen.
Post-exploitatieactiviteiten uitgevoerd door de tegenstander omvatten het uitvoeren van Active Directory (AD)-opsommingen en het droppen van extra payloads zoals EarthWorm en ReverseSocks5 tegen een tweede apparaat op 29 april 2026. Beide tools zijn eerder gebruikt door verschillende hackgroepen in China.
“De afgelopen vijf jaar hebben nationale dreigingsactoren die zich bezighouden met cyberspionage hun inspanningen steeds meer gericht op technologische hulpmiddelen op het randnetwerk, waaronder firewalls, routers, IoT-apparaten, hypervisors en verschillende VPN-oplossingen, die toegang met hoge privileges bieden, terwijl ze vaak de robuuste log- en beveiligingsagenten ontberen die op standaard eindpunten te vinden zijn”, aldus Unit 42.
“Het vertrouwen van de aanvallers achter CL-STA-1132 op open-source tools, in plaats van bedrijfseigen malware, minimaliseerde op handtekeningen gebaseerde detectie en maakte een naadloze omgevingsintegratie mogelijk. Deze technische keuze, gecombineerd met een gedisciplineerde operationele cadans van intermitterende interactieve sessies over een periode van meerdere weken, bleef opzettelijk onder de gedragsdrempels van de meeste geautomatiseerde waarschuwingssystemen.”
