PAN-OS RCE Exploit 正在活跃使用，实现 Root Access 与间谍行为

Source: The Hacker News

概述

Palo Alto Networks 透露，威胁行为者最早在 2026 年 4 月 9 日 就尝试利用 PAN‑OS 中的一个关键安全缺陷。该漏洞 CVE‑2026‑0300 是 User‑ID Authentication Portal 服务中的缓冲区溢出。攻击者无需身份验证即可通过发送特制数据包，以 root 权限执行任意代码。CVSS 评分报告为 9.3/8.7。

缓解措施

• 限制或禁用 PAN‑OS User‑ID Authentication Portal（如果不需要）。
• 在任何可能接收不受信任或互联网流量的 L3 接口的 Interface Management Profile 中 禁用 Response Pages。
  • 请参阅官方关于禁用 Response Pages 的指南：
  • Interface Management Profile 文档：
• 对于使用 Advanced Threat Prevention 的客户，启用 Threat ID 510019（Applications and Threats 内容版本 9097‑10022）以阻止利用尝试。

补丁预计将在 2026 年 5 月 13 日 起发布。

利用细节

• 该通报（周三发布）指出该缺陷已被有限利用，归属于 CL‑STA‑1132，一个疑似国家支持的威胁集群。
• 攻击者实现了无认证的远程代码执行（RCE），并向 nginx worker 进程 注入了 shellcode。
  来源：Palo Alto Networks Unit 42 –
• 初始利用尝试出现在 2026 年 4 月 9 日，一周后出现成功的 RCE。

后渗透活动

1. 清理 – 威胁行为者清除崩溃内核信息，删除 nginx 崩溃条目和 core dump 文件，以隐藏其存在。
2. 横向移动 – 进行 Active Directory 枚举并投放额外载荷：
   • EarthWorm –
   • ReverseSocks5 –

这些工具在 2026 年 4 月 29 日 被部署到第二台设备上，并已与中国关联的黑客组织关联。

威胁行为者归属

Unit 42 指出，在过去五年中，国家级行为者日益针对边缘网络资产（防火墙、路由器、IoT 设备、虚拟机监控程序、VPN 解决方案），因为这些资产提供高权限访问且日志记录有限。

CL‑STA‑1132 组织依赖 开源工具 而非专有恶意软件，降低了基于签名的检测概率，并能无缝融入被攻陷的环境。其作战节奏表现为多周的间歇性交互会话，保持在典型自动化警报阈值以下。

参考资料

• CVE‑2026‑0300 细节：
• Unit 42 通报：
• Response Pages 文档：
• Interface Management Profile 文档：
• EarthWorm 文章：
• ReverseSocks5 文章：