Lek in firewalls Palo Alto Networks sinds begin april misbruikt bij aanvallen

In dit artikel:

Palo Alto Networks meldt dat sinds begin april een kritieke kwetsbaarheid in zijn firewalls (CVE-2026-0300) actief misbruikt wordt. Het lek maakt het voor een niet-geauthenticeerde aanvaller mogelijk om op afstand willekeurige code met rootrechten uit te voeren. Updates om het probleem te verhelpen worden nog uitgebracht op 13 en 28 mei.

Volgens het bedrijf is het misbruik beperkt, maar concreet werden op 9 april en ongeveer een week later aanvallen gedetecteerd — de eerste poging mislukte, bij de tweede lukte het aanvallers shellcode te injecteren. Zij verwijderden crashdumps en logbestanden om sporen uit te wissen, gebruikten tunnelingtools zoals EarthWorm en ReverseSocks5 en voerden Active Directory-enumeratie uit met inloggegevens die vermoedelijk van de gehackte firewall afkomstig waren. Palo Alto vermoedt betrokkenheid van een statelijke actor.

Organisaties met getroffen apparaten wordt geadviseerd de uitgaande patches zo snel mogelijk te installeren, verdachte tunneling-activiteit en AD-bevragingen te monitoren en gecontroleerde isolatie van kwetsbare firewalls te overwegen tot de updates beschikbaar zijn.