Palo Alto Networks waarschuwt voor een kritieke zero-day kwetsbaarheid in PAN-OS die momenteel beperkt wordt uitgebuit tegen firewalls die blootstaan aan niet-vertrouwde netwerken of direct aan het internet. De kwetsbaarheid, vastgesteld als CVE-2026-0300, betreft de User-ID Authenticatieportal, ook bekend als Captive Portal, een functie die wordt gebruikt om gebruikers te authenticeren wanneer de firewall niet automatisch een identiteit aan een IP-adres kan koppelen.
De ernst van de situatie ligt in de combinatie van drie factoren: geen authenticatie vereist, kan worden geëxploiteerd via het netwerk, en stelt een aanvaller in staat om willekeurige code met root-privileges uit te voeren op PA-Series en VM-Series firewalls door middel van speciaal geprepareerde pakketten. Palo Alto Networks kent een CVSS-score van 9,3 toe en classifyert de urgentie als “hoogst”, de maximale categorie in hun veiligheidswaarschuwing.
Een kwetsbaarheid in een gevoelige firewallfunctie
De User-ID Authenticatieportal maakt deel uit van de gebruikersidentificatiemethoden van PAN-OS. In veel bedrijfsnetwerken beperkt de firewall zich niet alleen tot regels op basis van IP of poort, maar gebruikt ook identiteit, groep, applicatie of context. Wanneer het systeem niet automatisch een IP aan een gebruiker kan koppelen, kan deze functie authenticatie vereisen om die koppeling te voltooien.
Dit ontwerp is nuttig in bedrijfsomgevingen, maar wordt gevaarlijk als de portal toegankelijk is vanaf het internet of niet-vertrouwde zones. Palo Alto Networks benadrukt dat het risico aanzienlijk afneemt wanneer best practices worden gevolgd en de toegang tot dergelijke gevoelige portals wordt beperkt tot interne, vertrouwde netwerken. Het bedrijf bevestigt dat er beperkte exploits plaatsvinden, gericht op portals die toegankelijk zijn vanaf niet-vertrouwde IP’s of het publieke internet.
De kwetsbaarheid betreft een buffer overflow, specifiek een out-of-bounds write, gecategoriseerd als CWE-787. In de praktijk zou een onbevoegde, remote aanvaller speciale pakketten kunnen sturen die code-uitvoering met root-privileges veroorzaken. Dit is zeer ernstig voor een perimeterfirewall: het apparaat dat de netwerkbeveiliging moet waarborgen, zou zelf een ingangsroute kunnen worden voor aanvallen.
Palo Alto Networks maakt duidelijk dat Prisma Access, Cloud NGFW en Panorama niet door deze kwetsbaarheid worden getroffen. De aanval is beperkt tot PA-Series en VM-Series firewalls die geconfigureerd zijn om de User-ID Authenticatieportal te gebruiken onder specifieke blootstellingscondities.
Welke versies zijn getroffen en hoe de blootstelling te controleren
Palo Alto Networks heeft een tabel gepubliceerd met getroffen versies en verwachte fix-versies voor PAN-OS 12.1, 11.2, 11.1 en 10.2. De eerste updates worden verwacht op 13/05/2026 op verschillende takken, met andere versies die volgen op 28/05/2026, volgens het officiële schema. NHS England raadt het toepassen van patches zodra ze beschikbaar zijn aan.
Het apparaat is blootgesteld als aan twee voorwaarden wordt voldaan: Ten eerste is de User-ID Authenticatieportal ingeschakeld onder Device > User Identification > Authentication Portal Settings > Enable Authentication Portal. Ten tweede moet er een interfacebeheerprofiel bestaan met Response Pages ingeschakeld, gekoppeld aan een externe interface of een die vanaf het internet bereikbaar is.
Totdat de patches beschikbaar zijn, wordt aanbevolen om de toegang tot de User-ID Authenticatieportal te beperken tot vertrouwde zones en Response Pages uit te schakelen in interfacebeheerprofielen die verbonden zijn met zones waar verkeer niet-vertrouwd binnenkomt. Indien de portal niet nodig is, raadt Palo Alto Networks aan om deze uit te schakelen.
Daarnaast wordt voor klanten met Threat Prevention-abonnementen geadviseerd Threat ID 510019 in te schakelen vanaf de inhoudsversie Applications and Threats 9097-10022. Ondersteuning voor deze identifier vereist PAN-OS 11.1 of hoger, vanwege mogelijkheden tot decodering. Deze maatregel helpt bij het blokkeren van exploitpogingen maar vervangt geen definitieve patch zodra die beschikbaar is.
| Sleutelpunten | Details |
|---|---|
| CVE | CVE-2026-0300 |
| Gechte product | PAN-OS op PA-Series en VM-Series |
| Kwetsbare functie | User-ID Authentication Portal / Captive Portal |
| Type kwetsbaarheid | Buffer overflow / out-of-bounds write |
| Impact | Remote code execution with root privileges |
| Authenticatie vereist | Nee |
| Geobserveerde exploitatie | Ja, beperkt en gericht op blootgestelde portals |
| Directe mitigatie | Beperk toegang tot vertrouwde zones of deactiveren van de portal |
| Niet getroffen | Prisma Access, Cloud NGFW en Panorama |
Blootgestelde firewalls en een delicate risicogolf
Het feit dat er actieve exploits worden waargenomen, zij het beperkt, verscherpt de prioriteit voor reactie. Het betreft geen louter theoretisch probleem of een fout die kan worden uitgesteld tot een volgend onderhoudscyclus. CERT-EU heeft aanbevolen om mitigaties toe te passen zolang patches ontbreken, en de getroffen systemen te updaten zodra de nieuwe versies uitkomen.
BleepingComputer citeert Shadowserver-gegevens die aangeven dat meer dan 5.800 PAN-OS VM-Series firewalls blootstaan op internet, waarvan de meeste in Azië (2.466) en Noord-Amerika (1.998). Deze cijfers betekenen niet automatisch dat al deze systemen kwetsbaar zijn volgens CVE-2026-0300, omdat dit afhankelijk is van de configuratie van de Authenticatieportal en Response Pages, maar geven wel een indicatie van de potentiele oppervlakte aan blootstelling.
Firewalls vormen vooral aantrekkelijke doelen voor aanvallers, vanwege hun positie aan de netgrens en de vaak hoge mate van privileges die ze beheren. Een compromitteer op dit niveau kan blijvende toegang, laterale bewegingen, interceptie van verkeer, manipulatie van regels of doorbraak in interne systemen mogelijk maken. Daarom worden hardware en software aan de rand van het netwerk snel geëxploiteerd, vooral als authenticatie niet vereist of gemakkelijk te omzeilen is.
Het recente verleden biedt bevestiging: PAN-OS firewalls zijn regelmatig doelwit van campagnes die zero-day exploits of kwetsbare interfaces uitbuiten. BleepingComputer herinnert aan eerdere aanvallen tegen Palo Alto Networks-apparaten, inclusief ketens van exploits en misbruik van internetgebonden beheersinterfaces.
Voor beheerders is het duidelijk: controleer onmiddellijk of de User-ID Authenticatieportal actief is, onderzoek welke interfaces verkeer van buitenaf ontvangen, schakel indien mogelijk de portal uit en beperk de toegang tot interne zones. Log het verkeer, zoek naar verdachte activiteiten en plan een update zodra patchen mogelijk is.
In grote omgevingen vormt niet altijd het hoofdapparaat de grootste bedreiging, maar kunnen secundaire apparaten, testomgevingen, legacy systemen en virtuele implementaties in kleine vestigingen mogelijk juist de kwetsbaarste schakel vormen. Een snel overzicht van PA-Series en VM-Series, hun PAN-OS-versies en actieve functies kan het verschil maken tussen gerichte mitigaties en noodmaatregelen.
De belangrijkste les blijft hetzelfde: elke beheers-, authenticatie- of portalservice op het netwerkperimeter moet worden gereduceerd tot een kritische oppervlakte. Zelfs functies met een legitiem doel mogen niet onbedoeld een directe ingangsroute vormen voor aanvallen. Totdat patches op alle systemen beschikbaar zijn, is de beste verdediging het beperken van blootstelling.
Veelgestelde vragen
Wat is CVE-2026-0300?
Het is een kritieke buffer-overflow kwetsbaarheid in het User-ID Authenticatieportal van PAN-OS, die exploitatie op afstand mogelijk maakt voor het uitvoeren van code met root-privileges op bepaalde PA-Series en VM-Series firewalls.
Geldt dit voor alle Palo Alto Networks-firewalls?
Nee. Het betreft alleen PA-Series en VM-Series apparaten met PAN-OS die zijn geconfigureerd met de User-ID Authenticatieportal en blootstaan aan niet-vertrouwde netwerken of het internet, onder de door de fabrikant geschetste omstandigheden.
Is er al een patch beschikbaar?
Palo Alto Networks heeft aangegeven dat de kwetsbaarheid zal worden verholpen in toekomstige PAN-OS-versies, met updates gepland voor 13/05/2026 en 28/05/2026. Tot die tijd moeten mitigaties worden toegepast.
Wat moeten beheerders nu doen?
Deactiveer de User-ID Authenticatieportal indien niet nodig, beperk deze tot interne zones indien nodig, controleer Response Pages op blootgestelde interfaces, activeer indien van toepassing Threat ID 510019, en bereid een update voor zodra deze beschikbaar is.