Palo Alto advierte que una falla RCE en PAN-OS está siendo explotada activamente

Palo Alto Networks advirtió a sus clientes que los atacantes ya están explotando una vulnerabilidad crítica de PAN-OS, identificada como CVE-2026-0300, que puede permitir remote code execution sin autenticación y con privilegios de root en firewalls expuestos. La falla afecta al User-ID Authentication Portal, también conocido como Captive Portal, en equipos PA-Series y VM-Series.

Este es el tipo de incidente de seguridad que sube de inmediato al primer lugar de la cola de patching empresarial, incluso antes de que exista un patch. Un fallo explotable de forma remota en software de firewall perimetral ya es grave por sí solo. El hecho de que Palo Alto confirme explotación en curso lo convierte en una revisión urgente de exposición, en el mismo día, para cualquier organización con sistemas afectados y el portal accesible desde internet pública o desde otra red no confiable.

Según Palo Alto y la cobertura posterior de BleepingComputer, la vulnerabilidad es un buffer overflow en el servicio Authentication Portal. La compañía señala que un atacante no autenticado puede ejecutar código arbitrario como root enviando packet especialmente manipulados a instancias expuestas. BleepingComputer también destacó que Shadowserver rastreaba más de 5.800 firewalls PAN-OS VM-Series expuestos a internet en el momento del informe, una cifra que da una idea de cuántos entornos pueden requerir revisión inmediata.

El riesgo inmediato depende en gran medida de la configuración. Palo Alto indica que los sistemas de mayor riesgo son aquellos con el User-ID Authentication Portal expuesto a direcciones IP no confiables o a internet abierta. Las organizaciones que no usan el portal, o que ya lo han restringido a redes internas de confianza, están en mejor posición. Aun así, este es exactamente el tipo de función que puede quedar habilitada más tiempo del que los equipos creen, sobre todo en plantillas de firewall heredadas o despliegues antiguos en sucursales.

El detalle más incómodo es que la falla sigue sin patch mientras la explotación ya está en marcha. Eso significa que los defensores no cuentan con la secuencia habitual de advisory, ventana de patch y rollout ordenado. En cambio, primero deben identificar la exposición y mitigar mediante restricciones de acceso o desactivación de la función. La recomendación de Palo Alto es limitar el Authentication Portal solo a zonas de confianza, o deshabilitarlo por completo si no es necesario.

Esto también pone en evidencia un patrón de seguridad más amplio. El riesgo del firewall ya no se limita al packet filtering o a las interfaces de administración. Los appliances de seguridad ahora incorporan servicios de identidad, captive portals, componentes de remote access y funciones de workflow que amplían la superficie de ataque alrededor del propio dispositivo. Cuando uno de esos servicios resulta vulnerable, el firewall puede convertirse en el punto de entrada en lugar de la barrera.

Para los equipos defensivos, la respuesta debe ser operativamente simple y urgente. Inventariar los dispositivos PAN-OS, confirmar si el Authentication Portal está habilitado, comprobar si es accesible desde el exterior, restringir el acceso de inmediato y prepararse para desplegar los fixes de Palo Alto en cuanto estén disponibles. Los equipos de seguridad también deberían revisar logs y network telemetry en busca de solicitudes inusuales dirigidas al portal, especialmente en appliances expuestos a internet.

No toda advisory crítica de seguridad merece una nota aparte. Esta sí, porque combina tres elementos que rara vez permanecen contenidos por mucho tiempo: infraestructura perimetral expuesta, remote code execution sin autenticación y explotación activa confirmada. Para las organizaciones que utilizan configuraciones afectadas de PAN-OS, no se trata de un riesgo de fondo. Es un problema real de prevención de incidentes.