2026-07-17

Luka w PAN-OS CVE-2026-0284 umożliwia zdalny XML Injection

Atakujący bez uwierzytelnienia wykorzystuje podatność XML Injection w funkcjonalności Large Scale VPN (LSVPN) oprogramowania PAN-OS. Luka oznaczona jako CVE-2026-0284 pozwala na zdalne wstrzyknięcie złośliwych danych XML, co umożliwia ujawnienie poufnych informacji oraz uszkodzenie danych satelitów LSVPN. Zagrożenie dotyczy całej infrastruktury VPN opartej na tym rozwiązaniu.

Opisane zdarzenie wymaga natychmiastowej reakcji po stronie administratorów, aby uniknąć poważnych naruszeń bezpieczeństwa i przestojów. Luka nie wymaga uwierzytelnienia i jest dostępna z sieci, co podnosi ryzyko ataku.

Jak działa ta podatność

Atakujący wysyła specjalnie spreparowane żądania XML do funkcjonalności LSVPN w PAN-OS. Mechanizm przetwarzania XML jest niewystarczająco zabezpieczony, co pozwala na wstrzyknięcie złośliwej struktury XML. System bez odpowiedniej weryfikacji poprawności danych wykonuje operacje na tych zainfekowanych danych.

Podatność sklasyfikowano jako XML Injection (CWE-91). CVSS score wynosi 9.9 (CRITICAL), uwzględniając brak wymogu uwierzytelnienia oraz zdalny charakter ataku (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H). Udany atak powoduje wyciek informacji i korupcję danych LSVPN.

Szczegółowy raport Palo Alto Networks potwierdza opis mechanizmu i zakres ataku: dokumentacja techniczna.

Podatne wersje i systemy

Podatność dotyczy PAN-OS w wersjach wcześniejszych niż ta z poprawką na CVE-2026-0284. Dokładne wersje podatne to głównie PAN-OS 12.x i 13.x przed poprawką, zwłaszcza w funkcjach Large Scale VPN.

Weryfikacja wersji PAN-OS odbywa się poleceniem CLI: show system info lub poprzez UI w sekcji Device > Dashboard > System Info.

Wersję oprogramowania należy skonfrontować z notą Palo Alto Networks publikującą poprawkę.

Stan eksploatacji

Do tej pory nie opublikowano publicznego exploitu dla CVE-2026-0284, co zmniejsza ryzyko natychmiastowego ataku. Luka nie jest klasyfikowana jako actively exploited vulnerability (KEV).

Mimo braku exploitów publicznych, zagrożenie pozostaje poważne z powodu możliwości pełnego zdalnego ataku bez uwierzytelnienia. W logach LSVPN należy monitorować nieprawidłowe i nietypowe żądania XML, które mogą wskazywać na próby wstrzyknięcia.

Analiza logów systemowych czy firewalli powinna koncentrować się na nagłych błędach w obsłudze XML oraz próbach dostępu do funkcji LSVPN spoza zaufanego zakresu IP.

Jak się zabezpieczyć

1. Natychmiast zaktualizować PAN-OS do wersji zawierającej poprawkę na CVE-2026-0284. Sprawdzić changelogi i potwierdzić instalację.

2. Ograniczyć dostęp do funkcjonalności LSVPN wyłącznie do znanych, zaufanych adresów IP na poziomie firewalli oraz routerów brzegowych.

3. Monitorować logi dostępu LSVPN pod kątem nietypowych żądań XML. Używać skryptów do analizy powtarzających się nieprawidłowości.

4. Jeśli funkcjonalność LSVPN nie jest krytyczna dla bieżącej działalności, rozważyć tymczasowe jej wyłączenie do czasu zaaplikowania poprawki.

5. Weryfikację skuteczności patcha przeprowadzić poprzez powtórne testy wewnętrzne ścieżek API LSVPN oraz monitoring błędów w logach po aktualizacji.

Skutki braku reakcji

Napastnik wysyła spreparowane żądania XML, które są przetwarzane przez LSVPN bez kontroli. W efekcie następuje wyciek poufnych danych uwierzytelniających i konfiguracji VPN do atakującego.

Dane dotyczące satelitów LSVPN ulegają uszkodzeniu lub korupcji, co prowadzi do niestabilności tuneli VPN i utraty integralności komunikacji.

Z perspektywy biznesowej atak powoduje przestoje infrastruktury VPN, utrudnia zdalny dostęp dla użytkowników i może skutkować sankcjami RODO za wyciek danych. W dalszej sekwencji możliwe jest wykorzystanie luki przez ransomware do przejęcia kontroli.

Rekomendacje dla administratorów

Administratorzy powinni traktować CVE-2026-0284 jako krytyczne zagrożenie wymagające natychmiastowej aktualizacji i audytu dostępu sieciowego.

Przydatne jest wykorzystanie artykułów BOIT o bezpieczeństwie IT dla zgłębienia metodyk wykrywania i zapobiegania XML Injection.

W przypadku zarządzania wieloma serwerami przyda się monitorowanie alertów i raportowanie opisane w aktualnościach BOIT.

MSP mogą wspomóc klientów w analizie logów, segmentacji dostępu oraz przeprowadzeniu aktualizacji w środowiskach produkcyjnych bez przestojów.

Źródła

Bartłomiej Ożóg
Bartłomiej Ożóg