技術的な説明
Palo Alto Networks PAN-OSソフトウェアのUser-ID Authentication Portal(キャプティブポータル)サービスの重大なバッファオーバーフロー脆弱性により、認証されていない攻撃者は特別に細工されたパケットを介してPA-SeriesおよびVM-Seriesファイアウォール上でルート権限で任意のコードを実行できます。CISAは信頼されていないIPアドレスおよび公開インターネットに公開されているポータルを標的とするアクティブな悪用を確認し、連邦機関向けの2026年5月9日の修復期限を設定して、この脆弱性を既知の悪用される脆弱性カタログに追加しました。
攻撃経路
User-ID Authentication Portalへの細工されたパケットを介した認証なしのリモートコード実行。ユーザーのやり取りは不要です。ポータルがインターネット公開の場合のCVSSスコアは9.3、信頼されたネットワークに限定されている場合は8.7です。
影響を受けるシステム
User-ID Authentication Portalが有効に設定されているPA-SeriesおよびVM-Seriesファイアウォール上のPAN-OSバージョン10.2、11.1、11.2、および12.1。Shadowserverスキャンによると、現在5,800以上のPAN-OS VM-seriesファイアウォールがオンラインで公開されています。
緩和策
Palo Alto Networksは2026年5月13日から段階的にパッチをリリースし、5月28日までに完全にロールアウトします。即座の対策:User-ID Authentication Portalアクセスを信頼されたゾーンのみに制限するか、運用上必要でない場合はポータルを完全に無効にしてください。PAN-OS 11.1+用の脅威防止署名は2026年5月5日にリリースされました。