Šta se desilo?

Palo Alto Networks je objavila podatke o kritičnoj ranjivosti u PAN-OS operativnom sistemu koja omogućava napadačima bez autentifikacije da izvršavaju proizvoljni kod ili prouzrokuju rušenje servisa slanjem posebno oblikovanih mrežnih paketa. Ranjivost je smeštena u komponenti User-ID Terminal Server Agent (TSA) i pogađa multiple grane operativnog sistema.

Koga pogađa?

Ugroženi su korisnici Palo Alto PAN-OS verzija 10.2, 11.1, 11.2 i 12.1 koji imaju konfigurisan Terminal Server Agent. Izuzetak su Cloud NGFW na AWS i Panorama platformi koje nisu pogađene ovom ranjivošću. Takođe su ugroženi korisnici Prisma Access verzija 10.2.0 i 11.2.0, mada sa nižom stepenom kritičnosti.

Kako se zaštititi?

  • Odmah primenite zakrpe za vašu verziju PAN-OS-a prema preporukama proizvođača
  • Ograničite pristup Terminal Server Agent komponenti samo na pouzdane interne IP adrese
  • Izbegavajte izlaganje TSA-a internetu ili nezaštićenim mrežama
  • Pratite notifications od Palo Alto Networks za dostupne zakrpe za vašu verziju
  • Za Prisma Access korisnike, koordinirajte sa podrškom oko primene zakrpi tokom održavanja sistema

Tehnički detalji

Ranjivost je registrovana kao CVE-2026-0288 sa CVSS skorom 9.2 (visoki nivo) kada je uređaj izložen internetu. Za uređaje sa ograničenim pristupom na interne IP adrese, CVSS skor je 7.2. Problem se nalazi u buffer overflow ranjivosti u TSA komponenti, što omogućava napadaču sa mrežnim pristupom da korumpira memoriju i izazove udaljeno izvršavanje koda bez potrebe za autentifikacijom. Proizvođač trenutno nije svestan aktivne eksploatacije ove ranjivosti u divljem svetu.

Zašto je važno za region

Palo Alto Networks zaštitni uređaji su široko primenjeni u kritičnoj infrastrukturi i poslovnim okruženjima po čitavom Zapadnom Balkanu. Zbog vysokog CVSS skora i jednostavnog vektora napada preko mreže, IT timovi i sistem administratori u organizacijama koje koriste PAN-OS trebaju brzo da reaguju. Ranjivost posebno predstavlja rizik za kompanije sa TSA komponentom dostupnom iz interneta, što je česta konfiguracija u distribuiranim mrežama.

Preporuka Sajber Radara

Organizacije trebaju urgentno da preglede svojoj PAN-OS konfiguraciju i primene dostupne sigurnosne zakrpe. Do primene zakrpi, preporučuje se ograničenje pristupa Terminal Server Agent komponenti samo na pouzdane interne IP adrese kao srednja mera zaštite.