Los atacantes están explotando activamente una vulnerabilidad de día cero que afecta los firewalls de algunos clientes de Palo Alto Networks, dijo el proveedor de seguridad en un consultivo Martes.

La vulnerabilidad crítica de corrupción de memoria: CVE-2026-0300 — afecta el portal de autenticación de PAN-OS y permite a atacantes no autenticados ejecutar código con privilegios de root en los firewalls PA-Series y VM-Series del proveedor, dijo la compañía.

Palo Alto Networks no dijo cuándo ni cómo tuvo conocimiento de la explotación activa, ni cuándo ocurrió la primera explotación conocida. La Agencia de Seguridad de Infraestructura y Ciberseguridad añadió el defecto a su catálogo de vulnerabilidades explotadas conocidas Miércoles.

La compañía no ha lanzado un parche para la vulnerabilidad ni ha descrito el alcance y el objetivo de los ataques confirmados.

«Esta vulnerabilidad es específica de un número limitado de clientes con su Portal de autenticación de ID de usuario (Portal cautivo) expuesto a la Internet pública o a direcciones IP que no son de confianza. Hemos observado una explotación limitada de este problema y estamos trabajando para publicar correcciones de software, y se espera que las primeras actualizaciones estén disponibles el 13 de mayo», dijo un portavoz de Palo Alto Networks a CyberScoop.

La compañía dijo que los firewalls expuestos a la vulnerabilidad de desbordamiento del búfer, que tiene una calificación CVSS de 9,3, están ampliamente expuestos en implementaciones del mundo real, y describió la complejidad del ataque como baja.

Los escaneos de Shadowserver encontraron más de 5.800 cortafuegos de la serie VM expuestos públicamente ejecutando PAN-OS a partir del martes, sin embargo, se desconoce cuántas de esas instancias han restringido el acceso de autenticación a direcciones IP internas confiables o han desactivado la función por completo.

«Hemos proporcionado una guía de mitigación clara a nuestros clientes para proteger sus entornos de inmediato. Este problema no afecta a los dispositivos Cloud NGFW o Panorama. Seguimos comprometidos con un enfoque transparente que priorice la seguridad para proteger nuestra base global de clientes», agregó el portavoz de Palo Alto Networks.

Benjamin Harris, director ejecutivo y fundador de watchTowr, señaló que Palo Alto Networks alertó proactivamente a los clientes sobre el día cero, un paso que permitió a los defensores tomar medidas en instancias potencialmente expuestas.

«En una mala situación, eso es lo mejor que pueden hacer de inmediato. Sin embargo, eso también alerta a todos sobre la existencia de una vulnerabilidad», dijo a CyberScoop.

A pesar del riesgo, Harris dijo que watchTowr espera que los ataques vinculados al exploit de día cero sean «muy limitados».

Palo Alto Networks y sus clientes afectados siguen siendo los únicos que han observado explotación en la naturaleza, pero los investigadores advierten que eso probablemente cambiará pronto.

«Es probable que las reglas también comiencen a aplicarse en organizaciones de terceros y honeypots en breve», dijo a CyberScoop Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck.

“Las interfaces de gestión, las páginas de inicio de sesión y los portales de autenticación han sido objetivos comunes de las campañas oportunistas y específicas en los últimos años”, añadió. «Con los ojos de los investigadores y la comunidad puestos en la vulnerabilidad, es probable que veamos exploits públicos y una explotación más amplia rápidamente, siempre que el problema no sea prohibitivamente difícil de explotar».

Palo Alto Networks aún tiene que atribuir los ataques a ningún grupo de amenazas conocido, publicar indicadores o compromisos, ni revelar el tipo de organizaciones que han sido atacadas y afectadas.

Los investigadores están buscando actividad maliciosa y aconsejan a los clientes que apliquen parches una vez lanzados.

Según investigadores de seguridad y proveedores de hosting, una grave vulnerabilidad de omisión de autenticación en cPanel, una de las plataformas de panel de control de alojamiento web más implementadas en Internet, está siendo explotada activamente en la naturaleza.

La vulnerabilidad, rastreada como CVE-2026-41940afecta a todas las versiones compatibles de cPanel y WebHost Manager (WHM) lanzadas después de la versión 11.40, así como a WP al cuadradoun panel de gestión de alojamiento de WordPress integrado en la plataforma cPanel. Escaneos de Internet realizados por la empresa de seguridad Rapid7 utilizando el motor de búsqueda Shodan identificados aproximadamente 1,5 millones Instancias de cPanel expuestas en línea, aunque se desconoce el número exacto de sistemas vulnerables.

cPanel lanzó un parche Martes. En ese momento, la explotación ya había comenzado. KnownHost, un proveedor de hosting que depende de cPanel, dijo a principios de esta semana que se habían observado exploits exitosos en la naturaleza antes de que cualquier solución estuviera disponible.

La Agencia de Seguridad de Infraestructura y Ciberseguridad agregó el CVE a su lista de vulnerabilidades explotadas conocidas (KEV) el jueves.

La empresa de ciberseguridad watchTowr proporcionó detalles técnicos en un blog publicado el miércoles: La falla surge del manejo inadecuado de la entrada del usuario durante el proceso de inicio de sesión. Cuando un usuario intenta iniciar sesión, cPanel escribe los datos de la solicitud en un archivo de sesión del lado del servidor antes de verificar la identidad del usuario. Un atacante puede aprovechar esto incorporando saltos de línea ocultos en el campo de contraseña de una solicitud de inicio de sesión (caracteres que cPanel no puede eliminar), lo que permite inyectar datos arbitrarios directamente en ese archivo.

A través de un paso secundario, que también involucra una solicitud deliberadamente mal formada, los datos inyectados se promueven al caché activo de la sesión, donde cPanel los lee como legítimos. Una vez que eso sucede, el sistema considera que la sesión ya está autenticada y omite por completo la verificación de la contraseña, otorgando acceso sin verificar las credenciales reales del usuario.

Panel c ha publicado un script de detección diseñado para escanear archivos de sesión en busca de indicadores de compromiso, incluidas sesiones que contienen marcas de tiempo de autenticación inyectadas, sesiones de autenticación previa con atributos autenticados y campos de contraseña que contienen nuevas líneas incrustadas. WatchTowr lanzado por separado un «generador de artefactos de detección» que los administradores pueden utilizar para verificar si sus instancias siguen siendo vulnerables.

Namecheap, un importante registrador de dominios y proveedor de alojamiento, tomó la medida de bloquear temporalmente las conexiones a los puertos 2083 y 2087 de cPanel y WHM antes de la disponibilidad del parche. citando la necesidad de proteger a los clientes mientras estaba pendiente una solución oficial. La compañía comenzó a aplicar el parche después del lanzamiento de cPanel a principios de esta semana.

Las versiones parcheadas de cPanel abordan el problema en siete ramas de versiones, desde 11.110.0 hasta 11.136.0, así como en la versión 11.136.1 de WP Squared. Las notas informativas de la empresa. que la solución garantiza que las entradas potencialmente peligrosas se eliminen automáticamente dentro del proceso principal de guardado de sesiones, en lugar de depender de que cada parte individual del código base lo haga por separado. El parche también agrega manejo para los casos en los que falta una clave de cifrado por sesión, una condición que el código original no tuvo en cuenta y que los atacantes pudieron aprovechar para evitar por completo la codificación de contraseñas.

El CVE recibió un 9,8 en la escala CVSS.

La inteligencia artificial puede estar potenciando las amenazas cibernéticas, pero el enfoque defensivo ante esos ataques amplificados por la IA sigue siendo el mismo, dijo el martes un alto funcionario del FBI.

«Hemos visto actores tanto criminales como de estados-nación, que están utilizando absolutamente la IA para su beneficio», dijo Jason Bilnoski, subdirector adjunto de la división cibernética del FBI. «Pero la forma en que se desarrollan los ataques no ha cambiado. Los ciberataques todavía siguen pasos básicos. Simplemente se vuelven a una velocidad increíble ahora».

La mejor manera de lidiar con esos ataques es implementar todas las defensas tradicionales, como las que el FBI ha estado enfatizando como parte de su campaña mediática Operación Winter SHIELD, dijo.

«No se preocupen por la velocidad y la capacidad» de los ataques de IA, dijo Biloski en una conferencia sobre ciberseguridad en Billington. «Si te concentras en lo básico, ayudarás a evitar que ocurra la intrusión real».

Es un mensaje que también compartió en la conferencia el director interino de la Agencia de Seguridad de Infraestructura y Ciberseguridad, Nick Andersen. Hay atacantes sofisticados por ahí, dijo, pero la reciente directiva operativa vinculante de la agencia para que las agencias federales se deshagan de los dispositivos periféricos no compatibles era una forma de apuntalar las vulnerabilidades básicas.

«Seguimos viendo que se siguen explotando días distintos de cero en este entorno», dijo. «Lo mínimo que podemos hacer es reforzar esa ventaja y hacer que sea un poco más difícil aprovechar esa ventaja en ese sentido».

Su consejo a los funcionarios estatales y locales fue adoptar un enfoque de “vuelta a lo básico”, como adoptar la autenticación multifactor.

Bilnoski también ofreció más advertencias sobre la amenaza.

«La identidad es el nuevo perímetro. Estás buscando tráfico legítimo en tu red», dijo. «Así que ya no vemos caer el malware. Ya no vemos estos TTP tan ruidosos [tactics, techniques and procedures]. Son credenciales legítimas que se mueven lateralmente por la red, como si fuera un usuario legítimo en la red. Necesitas cazar a los adversarios como si ya estuvieran en tu red, porque ese es el tipo de actividad que estás buscando”.