Zero‑day в Palo Alto: уязвимость в PAN‑OS ставит под угрозу тысячи брандмауэров

Тема всплыла в ветке r/cybersecurity на Reddit, где пост о «Palo Alto Firewall Zero‑Day Under Active Exploitation» собрал более четырёх тысяч голосов. Люди сразу ощутили, что речь идёт о их инфраструктуре, а не о далёкой лаборатории.

Как всё началось

9 апреля 2024 г. Palo Alto Networks объявила о критической уязвимости в модуле User‑ID Authentication Portal (CVE‑2026‑0300). Это переполнение буфера в портальном сервисе, позволяющее получить привилегированный доступ без аутентификации. По данным Unit 42, эксплойт использовался в «операции Lunar Peek» уже несколько недель, а патч появился только 13 мая.

В то же время в сети начали появляться сообщения о схожих уязвимостях у Fortinet и SonicWall, что усилило ощущение «все под угрозой». Но именно Palo Alto, как поставщик премиальных брандмауэров, оказался в центре внимания.

Что пишут в комментариях

«Why would Fortinet do this?», — bk8990

«But I thought Fortinet is the only security vendor with zero‑days!», — CBOW_IT

«yep, and no patch available too until the 13th», — Active_Sea4060

«I wake up and another zero‑day exploit is in the market», — No‑Psychology8543

«Quick someone deploy Mythos!», — pepe_acct

Почему это важно для всех

Брандмауэры Palo Alto защищают более двух тысяч корпоративных сетей по всему миру. Эксплойт позволяет злоумышленнику выполнить произвольный код на уровне ядра, установить бекдор и скрыть дальнейшее движение. Для компаний, полагающихся на один‑единственный продукт, это значит мгновенный переход от «защищённой» инфраструктуры к «компрометированной».

Кроме того, уязвимость раскрыта в публичных источниках (BleepingComputer, The Hacker News), а значит, любой с базовыми навыками может собрать эксплойт‑кит. Это уже не «целевой» атаку, а массовую угрозу.

Анализ рынка: что уже существует

В России

• Касперский Threat Intelligence — сервис мониторинга уязвимостей, ориентирован на антивирусные продукты, но покрытие брандмауэров ограничено.
• Positive Technologies PT AI — сканер уязвимостей, умеет проверять CVE‑базы, однако не предлагает автоматических рекомендаций по патч‑менеджменту для PAN‑OS.
• Group‑IB ThreatMap — визуализация атак, но без детального разбора эксплойтов в сетевых устройствах.

За рубежом

• Rapid7 InsightVM — сканер уязвимостей, умеет обнаруживать эксплойты в брандмауэрах, интегрируется с системами ticket‑ing.
• Unit 42 (Palo Alto) — аналитический центр, публикует подробные отчёты, но доступ к ним платный и ограничен.
• BleepingComputer — новостной ресурс, быстро сообщает о новых уязвимостях, но не предоставляет инструменты автоматизации.

Незакрытая ниша: в России нет SaaS‑сервиса, который в реальном времени собирает данные о эксплойтах в брандмауэрах, сопоставляет их с установленными версиями ПО у клиента и генерирует готовый план патчей с инструкциями.

Читайте также

• Крупный сбой в зоне .de: как DNSSEC оставил немцев без интернета
• Кибербезопасность: самый сложный аспект для изучения
• Утечка данных на сайте GTFOICE.org: что происходит и почему это важно