Threat Brief: Exploitation of PAN-OS Captive Portal Zero-Day for Unauthenticated Remote Code Execution

A buffer overflow vulnerability in the User-ID Authentication Portal of PAN-OS software allows unauthenticated attackers to execute arbitrary code with root privileges on PA-Series and VM-Series firewalls. Limited exploitation has been observed starting April 9, 2026, by a likely state-sponsored threat cluster. Attackers successfully achieved remote code execution by injecting shellcode into nginx worker processes. Post-exploitation activities included deployment of EarthWorm and ReverseSocks5 tunneling tools, Active Directory enumeration using compromised firewall credentials, and systematic log destruction to evade detection. The attackers demonstrated operational discipline with intermittent interactive sessions over multiple weeks, using open-source tools instead of proprietary malware to minimize detection. The vulnerability poses elevated risk when the portal is exposed to untrusted networks or the public internet.

Pulse ID: 69fc45baaffc99649cda5385
Pulse Link: https://otx.alienvault.com/pulse/69fc45baaffc99649cda5385
Pulse Author: AlienVault
Created: 2026-05-07 07:56:42

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#CyberSecurity #InfoSec #Malware #Nginx #Nim #OTX #OpenThreatExchange #RAT #RCE #RemoteCodeExecution #Rust #ShellCode #Vulnerability #Worm #ZeroDay #bot #socks5 #AlienVault

Have the practice of bookmarking content for future processing and currently working on a script that uses various services to hijack endpoints via #curl. The content is hosted on #Instagram as reels.

One service downloads the reel while the other transcribes it.

Now that the transcription service has a daily limit, I am wondering which approach I will take to overcome this obstacle.

Either one can #SOCKS5 through curl onto the #Tor network to create a new connection after hitting the daily limit again.

Or one can #whisperCpp over the downloaded reel.

Как запустить VLESS + Reality на старом Intel iMac с macOS Catalina 10.15.8

На старых Intel Mac установка proxy-клиента часто превращается в странный квест: если приложение ставится, подписка импортируется, серверы вроде бы появляются, но рабочего подключения всё равно нет. На macOS Catalina 10.15.8 эта проблема ощущается особенно остро: часть современных клиентов уже не поддерживает систему, часть формально запускается, но ломается на встроенном core, а автоматический импорт VLESS/Reality-конфигов может создавать пустую заглушку вместо рабочего профиля. Эта инструкция написана не экспертом по сетям, а обычным пользователем для таких же обычных пользователей. Я собрал в одном месте весь путь, который реально сработал у меня на старом Intel iMac: как понять, какая версия клиента вообще подходит для Catalina, где брать старые релизы, как распознать сломанный импорт, как вручную собрать рабочий config и почему Telegram Desktop может не заработать, даже когда браузер уже работает.

https://habr.com/ru/articles/1027620/

#macOS_Catalina #Intel_iMac #V2RayXS #VLESS #Reality #Xray #proxy #Telegram_Desktop #SOCKS5 #JSON

graftcp: I just found and now love this little security tool for forwarding all TCP traffic from a process tree over socks5 proxy.

I start a socks5 proxy using ssh. Then, I start zsh using graphtcp. Then, I run librewolf from zsh, and all librewolf traffic goes through the socks5 proxy.

I don't totally understand how it works, but it doesn't use LD_PRELOAD, so it doesn't require dynamic linking of networking libraries. It apparently works with any network access code independent of how its linked, so it works with Go programs, for example.

https://github.com/hmgle/graftcp

#security #privacy #socks5 #vpn #proxy #graftcp

Из-за критической уязвимости VLESS клиентов скоро все ваши VPN будут заблокированы

Вскоре после нахождения шпионского модуля в Max я обнаружил критическую уязвимость во всех известных VLESS клиентах. Эта уязвимость позволяет обходить per-app split tunneling и приватные пространства (Knox/Shelter/Island/etc) и гарантированно обнаруживать выходной ip прокси, который вы используете. При этом один из клиентов уязвим настолько, что позволяет дампить ваши конфиги и, в худшем случае, расшифровать весь ваш трафик. Я сообщил об этом разработчикам этих клиентов, но они это проигнорировали. На днях минцифры разослала методичку, из которой ясно что они либо знают, либо скоро узнаю об этой уязвимости. Я решил, что ждать больше нельзя и нужно публиковать статью об этом чтобы у вас всех был хотя бы шанс. Но сейчас защиты от этого нет.

https://habr.com/ru/articles/1020080/?utm_source=habrahabr&utm_medium=rss&utm_campaign=1020080

#прокси #socks5 #обход_блокировок #xray #singbox #слежка #spyware #роскомнадзор #тспу #vpn

Из-за критической уязвимости VLESS клиентов скоро все ваши VPN будут заблокированы

Вскоре после нахождения шпионского модуля в Max я обнаружил критическую уязвимость во всех известных VLESS клиентах. Эта уязвимость позволяет обходить per-app split tunneling и приватные пространства (Knox/Shelter/Island/etc) и гарантированно обнаруживать выходной ip прокси, который вы используете. При этом один из клиентов уязвим настолько, что позволяет дампить ваши конфиги и, в худшем случае, расшифровать весь ваш трафик. Я сообщил об этом разработчикам этих клиентов, но они это проигнорировали. На днях минцифры разослала методичку, из которой ясно что они либо знают, либо скоро узнаю об этой уязвимости. Я решил, что ждать больше нельзя и нужно публиковать статью об этом чтобы у вас всех был хотя бы шанс. Но сейчас защиты от этого нет.

https://habr.com/ru/articles/1020080/

#прокси #socks5 #обход_блокировок #xray #singbox #слежка #spyware #роскомнадзор #тспу #vpn

Чиним доступ к Telegram, GPT и другим API из России

Если вы работаете с Telegram-ботами и внезапно начали ловить таймауты и нестабильные ответы — пора ставить прокси. Для API и ботов достаточно обычного HTTP/SOCKS-прокси. В статье покажу, как за пару команд поднять прокси на VDS и сразу использовать его в коде в том числе с помощью CLI, который я написал, чтобы не возиться с конфигами вручную.

https://habr.com/ru/articles/1016568/

#прокси #проксисервер #telegram #telegrambot #socks5 #vps #cli #vds #vdsхостинг #mtproto

Mesa, Arizona is now live 🇺🇸

Clean residential IPs with:
• static & dedicated sessions
• HTTP / SOCKS5
• Shadowsocks / Trojan
• WireGuard VPN

Built for stable identity and consistent US-based workflows.

#proxies #vpn #wireguard #socks5 #arizona