Ir para conteúdo

Alerta de Vulnerabilidade - Palo Alto Networks PAN-OS

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Palo Alto Networks PAN-OS
ECOSSISTEMA
PaloAlto
CVSS v4.0 - Resumo Técnico
Vetor CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L/E:U/AU:N/R:U/V:D/RE:M/U:Red
CVSS 7.2 / 10 Alto
Vetor de Ataque Rede Exploração remota via rede
Complexidade Baixa Fácil de explorar
Requisitos de Ataque Presentes Requer um Terminal Server Agent configurado e acessível
Privilégios Nenhum Sem autenticação
Interação Nenhuma Não requer intervenção do utilizador
Impacto no sistema vulnerável
(C/I/A)
Alta / Alta / Alta Comprometimento total da confidencialidade, integridade e disponibilidade
Impacto em sistemas subsequentes
(C/I/A)
Baixa / Baixa / Baixa Impacto limitado em sistemas subsequentes
Resumo Vulnerabilidade de severidade alta (CVSS 7.2) resultante de múltiplos buffer overflows no componente User-ID Terminal Server Agent (TSA) do PAN-OS. A exploração remota via rede permite que um atacante não autenticado provoque uma condição de negação de serviço (DoS) ou execute potencialmente código arbitrário, através do envio de tráfego de rede especialmente manipulado. Não requer autenticação nem interação do utilizador, mas exige que exista, pelo menos, uma entrada do Terminal Server Agent configurada. Exploração não reportada.

Descrição
Conjunto de vulnerabilidades críticas de buffer overflow (CWE-787), identificado como CVE-2026-0288/EUVD-2026-42388, no componente User-ID Terminal Server Agent (TSA) do software PAN-OS da Palo Alto Networks [1][2][3]. Um atacante remoto e não autenticado, com acesso de rede ao IP e porto do TSA, pode enviar tráfego de rede especialmente manipulado para corromper memória [3]. Encontram-se afetadas as versões PAN-OS 10.2, 11.1, 11.2 e 12.1 e o Prisma Access 10.2 e 11.2. O Palo Alto Panorama e o Cloud NGFW não são afetados. Apenas são afetados os dispositivos com, pelo menos, uma entrada de Terminal Server Agent configurada em Device > User Identification > Terminal Server Agents [3].

Impacto
A exploração pode conduzir a uma condição de negação de serviço (DoS) ou, potencialmente, à execução remota de código arbitrário (RCE) no dispositivo afetado [3]. O risco é mais elevado quando o acesso ao IP e porto do TSA está exposto à Internet ou a redes não confiáveis, sendo reduzido quando o acesso está restringido a endereços IP internos de confiança [3].

Resolução
Recomenda-se a atualização para as versões corrigidas do PAN-OS indicadas pelo fabricante [3]:
  • PAN-OS 12.1: 12.1.4-h8, 12.1.7-h2 ou 12.1.8;
  • PAN-OS 11.2: 11.2.4-h20, 11.2.7-h18, 11.2.10-h12 ou 11.2.13;
  • PAN-OS 11.1: 11.1.4-h35, 11.1.6-h35, 11.1.7-h8, 11.1.10-h30, 11.1.13-h9 ou 11.1.16;
  • PAN-OS 10.2: 10.2.7-h36, 10.2.10-h39, 10.2.13-h23, 10.2.16-h9 ou 10.2.18-h8.
Medida de mitigação adicionais: restringir a conectividade do User-ID Terminal Server Agent apenas a endereços IP internos de confiança e impedir a sua exposição à Internet, de acordo com as boas práticas de configuração do fabricante [3]. O Cloud NGFW não requer ação e para o Prisma Access o fabricante procede à atualização no ciclo de manutenção seguinte [3].

Referências
[1] - https://nvd.nist.gov/vuln/detail/CVE-2026-0288
[2] - https://euvd.enisa.europa.eu/vulnerability/CVE-2026-0288
[3] - https://security.paloaltonetworks.com/CVE-2026-0288
Última atualização em 07-09-2022