Yksi paketti, pääkäyttäjäoikeudet – Kyberturvallisuuskeskus varoittaa kriittisestä Palo Alto -aukosta
Suomalaisten pankkien, sairaaloiden ja virastojen verkkojen reunalla seisova palomuuri voi nyt olla auki todentamattomalle hyökkääjälle. Hyökkääjä voi sieltä lukea kaiken läpi kulkevan liikenteen, asentaa pysyvän takaoven tai siirtyä syvemmälle organisaation sisäverkkoon.
Tiivistelma
Kyberturvallisuuskeskus julkaisi 6.5.2026 kriittisen varoituksen Palo Alton PAN-OS-palomuurien haavoittuvuudesta CVE-2026-0300. Todentamaton hyökkääjä voi ottaa root-oikeudet User-ID Authentication Portal -palvelun kautta. Aktiivista hyväksikäyttöä on jo havaittu, ja ensimmäiset paikkaukset ilmestyvät 13.5.2026.
Pyörivätkö verkkopankkisi, työnantajasi etäyhteys ja terveyspalvelusi Suomessa Palo Alton palomuurien takana? Vastaus on todennäköisesti kyllä, ja juuri sen takia 6.5.2026 julkaistu varoitus koskettaa myös tavallista käyttäjää.
Kyberturvallisuuskeskus luokitteli haavoittuvuuden CVE-2026-0300 kriittiseksi tiedotteessaan Haavoittuvuus 11/2026. CVSS 4.0 -pisteet ovat 9,3 silloin kun haavoittuva palvelu on altistettu suoraan internetiin. Sisäverkkoon rajatulla portaalilla pisteet putoavat 8,7:ään, mutta keskus toteaa sen olevan edelleen vakavan luokan aukko.
Kyseessä on puskurin ylivuoto PAN-OS-ohjelmiston User-ID Authentication Portal -palvelussa, joka tunnetaan myös nimellä Captive Portal. Todentamaton hyökkääjä voi ajaa mielivaltaista koodia pääkäyttäjän eli root-oikeuksilla lähettämällä erityisesti muotoiltuja verkkopaketteja portaalin rajapintaan.
– Suosittelemme rajaamaan Authentication Portal -pääsyn luotettuihin sisäverkon IP-vyöhykkeisiin tai poistamaan portaalin kokonaan käytöstä, kunnes paikkaukset on asennettu, kertoo Kyberturvallisuuskeskus tiedotteessaan.
Palo Alto Networks vahvisti tilanteen vakavuuden omassa neuvonnassaan 5.5.2026. Yhtiö varoittaa rajallisesta mutta aktiivisesta hyväksikäytöstä julkiseen internetiin altistuneita portaaleja vastaan. Julkista uhkatoimijan attribuutiota ei ole annettu ainakaan vielä, ja yhtiö sanoo seuraavansa tilannetta tiiviisti.
Kuka on vaarassa
Haavoittuvuus koskee PA-sarjan ja VM-sarjan palomuureja, joilla User-ID Authentication Portal on käytössä. PAN-OS-versiot 10.2, 11.1, 11.2 ja 12.1 ovat alttiita. Pilvipohjaiset Prisma Access ja Cloud NGFW eivät ole haavoittuvia, eikä Panorama-hallintapalvelin.
Shadowserver seuraa globaalisti yli 5 800 PAN-OS VM-sarjan palomuuria, jotka ovat tavoitettavissa verkosta. Suomi-spesifistä lukua ei ole julkaistu, mutta Palo Alto on todella laajalti käytössä suomalaisissa pankeissa, terveydenhuollossa, telekommunikaatiossa ja julkishallinnossa.
Miltä tämä näyttää lukijan arjessa? Jos olet aamulla kirjautunut työpaikan VPN:ään, käyttänyt OmaKantaa tai siirtänyt rahaa verkkopankissa, liikenne kulkee usein palomuurin läpi. Hyvin todennäköisesti se on ohittanut myös jonkun alttiina olevan laitteen. Useimmissa organisaatioissa palomuuri on se ensimmäinen este, jonka tunkeutuja kohtaa.
Aikataulu paikkauksille
Ensimmäiset hotfix-paikkaukset alkavat ilmestyä 13.5.2026. Palo Alto lupaa kaikki korjaukset valmiiksi 28.5.2026 mennessä.
Siihen asti tilanne on käytännössä kilpajuoksu hyökkääjien ja ylläpitäjien välillä, ja jokainen päivä avoimena olevaa portaalia kasvattaa riskiä.
Tunnistusmerkit
Organisaation IT-ylläpidolle olennaiset tarkistettavat asiat:
- PAN-OS-versio 10.2, 11.1, 11.2 tai 12.1 käytössä
- User-ID Authentication Portal (Captive Portal) on aktivoitu
- Portaali tavoitettavissa internetistä tai luottamattomista verkoista
- Lokeissa tavanomaisesta poikkeavia paketteja portaalin rajapintaan
Mitä tehdä
- IT-vastaaville: Tarkista PAN-OS-versio heti. Asenna 13.5.2026 alkaen julkaistut hotfixit ilman viivettä. Sitä ennen rajaa portaali sisäverkon luotettuihin IP-osoitteisiin tai poista palvelu kokonaan käytöstä.
- Päättävässä asemassa olevalle pienyrittäjälle: Kysy IT-vastaavaltasi suoraan, onko CVE-2026-0300 tarkasteltu ja onko paikkausaikataulu olemassa. Jos vastaus on epämääräinen, se on itsessään varoitusmerkki.
- Tavalliselle lukijalle: Et voi tehdä asialle yksin paljoakaan, mutta voit kysyä työnantajaltasi tai palveluntarjoajaltasi, miten haavoittuvuuteen on reagoitu. Avoin kysymys ohjaa organisaatioita toimimaan ripeämmin.
- Ilmoittaminen: NIS2-sääntelyn alaiset toimijat eli energia, rahoitus, terveydenhuolto, telekommunikaatio ja julkishallinto kuuluvat Traficomin valvonnan piiriin. Niillä on lakisääteinen velvoite hallita tämän kaltainen riski ja ilmoittaa merkittävät häiriöt osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
Jää nähtäväksi, kuinka moni suomalainen organisaatio ehtii sulkea aukon ennen kuin laajempi hyväksikäyttöaalto käynnistyy. Tätä artikkelia kirjoitettaessa Palo Alto puhuu vain rajallisesta hyväksikäytöstä, mutta kriittisten haavoittuvuuksien historia opettaa, että ikkuna ehtii usein avautua varsin nopeasti.