Vulnerabilidad Día Cero en Palo Alto PAN-OS

El día 5 de mayo del presente año, Palo Alto Networks publicó un aviso de seguridad sobre una vulnerabilidad “zero-day” en su software PAN-OS, específicamente en su portal de autenticación User-ID.
La vulnerabilidad, registrada como CVE-2026-0300, es considerada de severidad crítica, con una puntuación CVSS4.0 de 9.3, y se presenta cuando el portal de autenticación User-ID es accesible desde internet. Sin embargo, la puntuación CVSS4.0 baja a 8.7 cuando se restringe el acceso únicamente a direcciones IP confiables. Actualmente, Palo Alto no ha liberado las respectivas versiones corregidas, pero se estima que sean liberadas y aplicables a partir del 13 de mayo.

La explotación de la vulnerabilidad requiere el envío de paquetes especialmente diseñado hacia el portal expuesto, lo cual desencadena un desbordamiento que permite la ejecución de código arbitrario con privilegios de “root”, los más altos del sistema, en el sistema del firewall. Una vulnerabilidad de este tipo es especialmente peligrosa en firewalls debido a que esta clase de dispositivos (o máquinas virtuales) suelen estar expuestos a internet, y actúan como la barrera entre sistemas internos y/o el internet público, lo cual implica una posible modificación a reglas de seguridad, autenticación y acceso a cachés de credenciales que son almacenados por el servicio de User-ID.

Se ha observado explotación limitada hacia los portales de autenticación “User-ID” que están expuestos hacia direcciones IP no confiables o públicos hacia Internet. Los clientes que tengan mejores prácticas de seguridad aplicadas, como restringir portales sensibles para que solo puedan ser accedidos desde redes internas están reduciendo considerablemente el riesgo.
Acciones de Mitigación Inmediata
Dentro de las soluciones alternativas recomendadas por Palo Alto, se encuentran:

1. Deshabilitar completamente el portal cautivo mientras se tenga una versión afectada
2. O restringir la zona de acceso en la sección de User Identification dentro del portal cautivo para que solamente sea accesible desde una zona confiable, como una red LAN autorizada.

 

Versiones Afectadas

Productos	Versiones afectadas	Versiones corregidas
PAN-OS	Versiones anteriores a 12.1.4-h5	Versión 12.1.4-h5 o posteriores (ETA: 05/13)
	Versiones anteriores a  12.1.7	Versión 12.1.7 o posteriores (ETA: 05/28)
	Versiones anteriores a  11.2.4-h17	Versión 11.2.4-h17 o posteriores (ETA: 05/28)
	Versiones anteriores a  11.2.7-h13	Versión 11.2.7-h13 o posteriores (ETA: 05/13)
	Versiones anteriores a  11.2.10-h6	Versión 11.2.10-h6 o posteriores (ETA: 05/13)
	Versiones anteriores a  11.2.12	Versión 11.2.12 o posteriores (ETA: 05/28)
	Versiones anteriores a  11.1.4-h33	Versión 11.1.4-h33 o posteriores (ETA: 05/13)
	Versiones anteriores a  11.1.6-h32	Versión 11.1.6-h32 o posteriores (ETA: 05/13)
	Versiones anteriores a  11.1.7-h6	Versión 11.1.7-h6 o posteriores (ETA: 05/28)
	Versiones anteriores a  11.1.10-h25	Versión 11.1.10-h25 o posteriores (ETA: 05/13)
	Versiones anteriores a 11.1.13-h5	Versión 11.1.13-h5 o posteriores (ETA: 05/13)
	Versiones anteriores a  11.1.15	Versión 11.1.15 o posteriores (ETA: 05/28)
	Versiones anteriores a  10.2.7-h34	Versión 10.2.7-h34 o posteriores (ETA: 05/28)
	Versiones anteriores a  10.2.10-h36	Versión 10.2.10-h36 o posteriores (ETA: 05/13)
	Versiones anteriores a  10.2.13-h21	Versión 10.2.13-h21 o posteriores (ETA: 05/28)
	Versiones anteriores a  10.2.16-h7	Versión 10.2.16-h7 o posteriores (ETA: 05/28)
	Versiones anteriores a  10.2.18-h6	Versión 10.2.18-h6 o posteriores (ETA: 05/13)

Recomendaciones

• Restringir el Portal de Autenticación User-ID a zonas seguras, o deshabilitar por completo el portal si no está siendo utilizado.
• Actualizar inmediatamente los productos afectados.
• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
• Auditar herramientas de acceso remoto (NIST CSF, 2024).
• Revisar logs para de ejecución de software de acceso remoto (NIST CSF, 2024).
• Limitar estrictamente el uso de los protocolos SMB y RDP.
• Realizar auditorías de seguridad (NIST CSF, 2024).
• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque (NIST CSF, 2024).
• Tener filtros de correo electrónico y spam.
• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
• Realizar copias de seguridad, respaldos o back-ups constantemente.
• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
• Revisar continuamente los privilegios de los usuarios.
• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
• Habilitar la autenticación multifactorial.

Referencias

1. Doyle, A. (2026, mayo 6). Palo Alto CVE-2026-0300 Under Active Attack—Patch Due May 13. Daily Security Review. Recuperado el 06 de mayo de 2026, en:  https://dailysecurityreview.com/cyber-security/palo-alto-cve-2026-0300-under-active-attack-patch-due-may-13/
2. Gatlan, S. (2026, mayo 6). Palo Alto Networks warns of firewall RCE zero-day exploited in attacks. BleepingComputer. Recuperado el 06 de mayo de 2026, en: https://www.bleepingcomputer.com/news/security/palo-alto-networks-warns-of-actively-exploited-firewall-zero-day/
3. Lakshmanan, R. (2026, mayo 6). Palo Alto PAN-OS Flaw Under Active Exploitation Enables Remote Code Execution. The Hacker News. Recuperado el 06 de mayo de 2026, en: https://thehackernews.com/2026/05/palo-alto-pan-os-flaw-under-active.html

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios