7 mei 2026 14:49

Kritieke zeroday in Palo Alto Networks-firewalls bijna maandlang misbruikt

Een zerodaykwetsbaarheid (CVE-2026-0300) in PAN-OS, het besturingssysteem op de firewalls van Palo Alto Networks, is bijna een maandlang misbruikt. Het is inmiddels bevestigd dat de kwetsbaarheid firewalls in de PA- en VM-series treft.

De kritieke kwetsbaarheid (CVE-2026-0300) in PAN-OS bevindt zich in het zogeheten User-ID Authentication Portaal. Dit legt Palo Alto uit in een incidentrapport. Concreet kampt dit Captive Portal met een bufferoverflow-bug. Hierdoor kunnen hackers willekeurige code uitvoeren met volledige root-toegang tot PA- en VM-systemen. Voor de goede orde: enkel systemen die direct met het internet verbonden zijn, lopen risico.

Spionage door staatshackers

Cybersecuritybedrijf Unit 42 kwam de kwetsbaarheid op het spoor. Volgens hun onderzoek wordt de bug waarschijnlijk misbruikt door een cluster van door de staat gesponsorde hackersgroepen. De tools die na de inbraak worden ingezet, wijzen naar bekende groeperingen zoals CL-STA-0046, Volt Typhoon, UAT-8337 en APT41. Dit zijn groepen die erom bekendstaan vanuit China te opereren.

Uit de rapportage van Palo Alto Networks blijkt dat de operatie begin april is gestart. Op 9 april ontving het bedrijf de eerste melding van pogingen om binnen te dringen bij een PAN-OS-toestel, al waren die op dat moment nog niet succesvol. Een week later lukte het de aanvallers wél om shellcode te injecteren.

Eenmaal binnen activeerden de hackers tools als EarthWorm en ReverseSocks5. Dit zijn programma’s waarmee SOCKS V5-servers en proxy-tunnels kunnen worden opgezet. EarthWorm maakt het bovendien mogelijk om geheime communicatie op te zetten tussen de hackers en het beveiligde netwerk. ReverseSocks5 kan op zijn beurt NAT en firewalls omzeilen om de verbinding tussen een doelsysteem en de controller van de hacker te herstellen.

Sporen worden direct gewist

Om zo lang mogelijk onopvallend te blijven, verwijderen de hackers direct hun logs, waaronder ook de nginx-crashrapporten die naar de inbraak wijzen. Voor systeembeheerders is de aanval hierdoor ontzettend lastig te herkennen.

Volgens beveiligingsonderzoekers van Shadowserver zijn er wereldwijd zo’n 5.484 Palo Alto VM-firewalls via het internet toegankelijk. Al deze systemen zijn in theorie kwetsbaar voor dit lek. Palo Alto Networks laat voorlopig in het midden hoe de hackers de aanval precies hebben kunnen uitvoeren.

Het is momenteel ook wachten op een definitieve fix vanuit Palo Alto. De eerste software-update wordt op woensdag 13 mei verwacht. Tot die tijd adviseert het bedrijf IT-beheerders om de toegang tot het Captive Portal strikt te beperken tot vertrouwde zones. Het volledig uitschakelen van het portaal lost het probleem voorlopig ook op.

Uitgelicht artikel

‘Duizenden klanten van netwerkbedrijf F5 in gevaar na hack’

Schrijf je in op onze nieuwsbrief en ontvang elke werkdag het beste uit de techwereld in je mailbox.

Voeg TechPulse.be toe als favoriete bron op Google!

Beveiliging business palo alto networks

Jeffrey van de Velde

Als hoofdredacteur van TechPulse brengt Jeffrey acht jaar expertise mee in mobiele technologie, IT en telecom. Hij houdt niet alleen die sectoren scherp in de gaten, maar heeft ook een uitgesproken passie voor e-bikes, en duikt met evenveel enthousiasme in elke nieuwe innovatie die de techwereld te bieden heeft.