Palo Alto Networks 防火墙 zero-day 被利用近一个月
Source: Bleeping Computer
摘要
Palo Alto Networks 警告客户,疑似国家支持的黑客已利用一个严重级别的 PAN‑OS 防火墙零日漏洞近一个月。
该漏洞被追踪为 CVE‑2026‑0300,是一种远程代码执行缺陷,出现在 PAN‑OS User‑ID Authentication Portal(亦称 Captive Portal)中,源于缓冲区溢出,允许未认证的攻击者在面向互联网的 PA‑Series 和 VM‑Series 防火墙上以 root 权限执行任意代码。
“我们目前仅发现 CVE‑2026‑0300 的有限利用。Unit 42 正在追踪 CL‑STA‑1132,这是一组可能由国家支持的威胁活动,利用 CVE‑2026‑0300。该活动背后的攻击者利用 CVE‑2026‑0300 实现了对 PAN‑OS 软件的未认证远程代码执行(RCE)。”
— Palo Alto Networks (Unit 42)
“自 2026 年 4 月 9 日起,针对 PAN‑OS 设备出现了未成功的利用尝试。一周后,攻击者成功实现了对该设备的 RCE 并注入了 shellcode。妥协后,攻击者立即进行日志清理,通过清除崩溃内核信息、删除 nginx 崩溃条目和记录以及移除崩溃核心转储文件,以降低被检测的可能性。”
在获取受害者防火墙的控制权后,攻击者部署了开源的 Earthworm 和 ReverseSocks5 网络隧道工具,前者可用于在受感染设备上创建 SOCKS v5 服务器,后者可用于创建代理隧道。
- Earthworm 使威胁行为者能够在受限网络中建立隐蔽通信。
- ReverseSocks5 通过从目标机器向控制端发起出站连接,帮助其绕过 NAT 和防火墙。
相关威胁活动
Earthworm 之前已在以下攻击中使用:
- CL‑STA‑0046
- Volt Typhoon
- UAT‑8337
- APT41(中文语言的威胁组织)
互联网威胁监测机构 Shadowserver 目前追踪到 超过 5,400 台在互联网上暴露的 PAN‑OS VM‑Series 防火墙,其中大部分位于亚洲(2,466 台)和北美(1,998 台)。
Palo Alto Networks 昨日告诉 BleepingComputer,该缺陷 不影响 Cloud NGFW 或 Panorama 设备,且公司仍在准备补丁,首批预计将在下周三 5 月 13 日 推出。
在安全更新可用之前,公司“强烈”建议客户通过以下方式 保护 PAN‑OS User‑ID Authentication Portal 的访问:
- 仅限可信区域访问,或
- 如无法实现,则禁用该门户。
上述两项措施均可降低此问题的风险。
快速验证
管理员可以快速检查其防火墙是否已在 用户 ID 身份验证门户设置 页面中配置使用易受攻击的服务,路径如下:
Device → User Identification → Authentication Portal Settings → Enable Authentication Portal(有关详细信息,请参阅官方文档。)
本周三,美国 网络安全与基础设施安全局 (CISA) 还 将 CVE‑2026‑0300 零日漏洞 加入 其 已知被利用漏洞 (KEV) 目录,并要求联邦民用行政部门(FCEB)机构在 5 月 9 日星期六午夜 前对易受攻击的防火墙进行加固。
这些 CVE‑2026‑0300 攻击是更广泛趋势的一部分,即威胁组织针对 边缘网络设备(如防火墙、虚拟机监控程序、路由器、VPN 软件),这些设备往往缺乏保护终端的日志记录和安全软件。
今年二月,CISA 还 发布了《约束性运营指令 26‑02》,要求美国政府机构 移除不再收到制造商安全更新的网络边缘设备。
99% 的 Mythos 发现仍未修补。
AI 将四个零日漏洞串联成一次利用,绕过了渲染器和操作系统沙箱。新一波利用正在来临。
在 自主验证峰会(5 月 12 日 & 14 日),了解自主、上下文丰富的验证如何发现可利用点、证明控制有效,并闭合修复循环。