Se ha emitido una alerta de máxima urgencia tras la confirmación por parte de Palo Alto Networks de una vulnerabilidad crítica de desbordamiento de búfer (CWE-787: Out-of-bounds Write) en el servicio User-ID™ Authentication Portal (también conocido como Captive Portal) de su software PAN-OS. Esta falla permite a un atacante remoto y no autenticado ejecutar código arbitrario con los máximos privilegios (root) enviando paquetes de red especialmente diseñados. Se ha observado explotación limitada en la naturaleza dirigida a portales expuestos a Internet.
Anatomía de la Vulnerabilidad (Requisitos de Exposición)
La vulnerabilidad afecta exclusivamente a los firewalls físicos PA-Series y virtuales VM-Series. (Las soluciones Prisma Access, Cloud NGFW y Panorama no están afectadas). Para que un dispositivo sea vulnerable, se deben cumplir dos condiciones de configuración simultáneas:
- Portal Habilitado: El User-ID™ Authentication Portal debe estar configurado y activado (aplicable tanto en modo transparente como de redirección).
- Exposición Externa: Un perfil de administración de interfaz (Interface Management Profile) debe tener habilitadas las páginas de respuesta (response pages) y estar asociado a una interfaz accesible desde el exterior o la Internet pública.
Nota de Severidad: Si el portal está expuesto a la Internet pública, la vulnerabilidad alcanza una puntuación CVSS de 9.3 (Crítica). Si el acceso está restringido únicamente a redes internas confiables, el riesgo disminuye a CVSS 8.7 (Alta).
Impacto
- Compromiso Total del Perímetro: La ejecución de código como root permite al atacante tomar el control absoluto del firewall. Desde este punto estratégico, puede desactivar las políticas de seguridad, interceptar tráfico en texto plano, y establecer túneles VPN o rutas ocultas hacia la red interna corporativa.
- Vector de Acceso Inicial para Ransomware: Dado que la vulnerabilidad no requiere autenticación previa, se convierte en el vector ideal para que Corredores de Acceso Inicial (IABs) comprometan la red y vendan el acceso a operadores de ransomware.
Recomendaciones y Mitigación
Los parches oficiales de PAN-OS están programados para ser liberados escalonadamente a partir del 13 y 28 de mayo de 2026. Hasta entonces, los equipos de red y SOC deben implementar mitigaciones obligatorias:
- Restricción de Superficie (Mitigación Primaria): Restringir inmediatamente el acceso al User-ID™ Authentication Portal. Se deben deshabilitar las páginas de respuesta en el perfil de administración de interfaz adjunto a cualquier interfaz de Capa 3 en zonas donde ingrese tráfico de Internet no confiable (WAN). Mantenerlas habilitadas solo en zonas de confianza (LAN) donde ingresen los navegadores de los usuarios legítimos corporativos.
- Desactivación del Servicio: Si la organización no requiere activamente el User-ID™ Authentication Portal para sus operaciones diarias, la recomendación de seguridad es desactivar la función por completo.
- Bloqueo por Firmas (Threat Prevention): Los clientes que cuenten con una suscripción activa de Threat Prevention y utilicen PAN-OS 11.1 o superior (debido a las capacidades del decodificador) pueden bloquear proactivamente los intentos de explotación habilitando el Threat ID 510019 (disponible a partir de la versión de contenido 9097-10022).
- Auditoría de Logs: Monitorear activamente los registros del firewall en busca de caídas inusuales de los procesos vinculados al portal de autenticación o tráfico anómalo de salida originado desde las interfaces de gestión del propio dispositivo.
