2026年5月6日,网络安全龙头企业Palo Alto Networks(派拓网络)发布紧急安全公告,确认其防火墙操作系统PAN-OS的“用户身份验证门户”存在一个严重等级的零日漏洞(CVE-2026-0300)。该漏洞允许未经身份验证的攻击者在受影响的PA系列和VM系列防火墙上,以最高root权限远程执行任意代码。目前,官方已监测到针对该漏洞的“有限度“攻击活动,厂商正紧急制作修补程序,并强烈建议客户立即对该门户采取访问限制或直接禁用的措施。
此次安全公告已于2026年5月5日在Palo Alto Networks官方安全咨询页面正式发布。事态一经公布,新加坡网络安全局(CSA)、台湾TWCERT/CC、香港HKCERT等地区及多国的网络应急响应机构均在第一时间发布了紧急预警通报,敦旗下客户和受影响单位立刻核实并落实临时加固方案,以防漏洞被进一步大规模利用。
一、事件概述
CVE-2026-0300是一个位于PAN-OS“用户身份验证门户(User-ID Authentication Portal)”服务中的高危缓冲区溢出漏洞。该门户又被称为“强制门户(Captive Portal)”,是Palo Alto防火墙中一项用于用户身份识别与认证的功能,主要用于对防火墙无法自动映射身份的用户进行身份验证。
受影响产品范围
以下版本的PAN-OS均确认受影响:
-
PAN-OS 10.2:10.2.7-h34、10.2.10-h36、10.2.13-h21、10.2.16-h7、10.2.18-h6以前版本
-
PAN-OS 11.1:11.1.4-h33、11.1.6-h32、11.1.7-h6、11.1.10-h25、11.1.13-h5、11.1.15以前版本
-
PAN-OS 11.2:11.2.4-h17、11.2.7-h13、11.2.10-h6、11.2.12以前版本
-
PAN-OS 12.1:12.1.4-h5、12.1.7以前版本
值得注意的是,Palo Alto Networks明确表示,以下产品不受此漏洞影响:
-
Prisma Access(SASE云交付平台)
-
Cloud NGFW(云原生下一代防火墙)
-
Panorama(集中式安全管理平台)
此外,该漏洞仅影响PA系列和VM系列防火墙也即实体设备和虚拟化形态产品,且仅在用户主动启用并配置了用户身份验证门户的情况下才存在风险。
厂商身份与行业地位
Palo Alto Networks是全球网络安全的领军企业之一,在Gartner魔力象限中被长期评为网络防火墙领域的领导者之一,其NGFW(下一代防火墙)产品广泛部署于全球各大跨国企业、政府机构、关键信息基础设施及云服务提供商网络出入口。防火墙作为网络边界的核心节点,一旦被入侵,攻击者便可借此进行横向移动、流量劫持、凭据窃取甚至实现对整个内网环境的全面控制。
Palo Alto的防火墙产品近年来也屡次成为攻击者的重点目标。在2024年,多达7个影响其设备的安全漏洞被披露并遭到在野利用;2025年相关情况相对平稳,仅为2个,但本次CVE-2026-0300的零日漏洞性质与高严重等级依然引发了业界的强烈关注。
二、技术分析
CVE-2026-0300的技术本质是一个越界写入(Out-of-Bounds Write)导致的缓冲区溢出(CWE-787)。漏洞存在于用户身份验证门户服务的HTTP/S请求处理逻辑中。
攻击者无需任何身份凭据,也无需与用户交互,只需向目标防火墙上开启的用户身份验证门户发送精心构造的网络数据包,即可触发内存破坏,实现远程任意代码执行。由于缺乏对用户输入数据长度的有效边界控制,攻击者可以覆盖内存中的关键指针,进而分支到恶意代码执行路径。
从攻击复杂度与可操作性评估来看,该漏洞的自动化利用攻击门槛较低:
-
攻击向量(Network):远程可利用,无需本地访问
-
攻击复杂度(Low):无需特殊条件
-
权限要求(None):完全匿名利用
-
用户交互(None):零交互要求
-
自动化(Yes):攻击过程可完全自动化
Palo Alto官方CVSS v4.0评分为9.3(满分10),如果门户暴露于外部互联网,评分即为这一数值;即使门户限定在相邻网络的可信域内,评分依然高达8.7。
三、利用情报
▌零日(Zero-day)
指软件厂商已发现漏洞但尚未发布官方补丁的安全缺陷。“零日漏洞之所以危险,正是在于攻击者可以在补丁公布前抢先利用空白窗口发动攻击。”
根据官方安全公告,该漏洞的利用活动已被确认为“in the wild”(在野外活跃利用)。Palo Alto在其公告中使用了“ATTACKED”一词来描述漏洞的实际利用状态。攻击者主要针对那些面向外部公网或不受信任IP地址的用户身份验证门户发起攻击。
目前Palo Alto Networks尚未公布攻击手法与攻击者身份的进一步细节。但根据行业惯例,这类“有限度利用”通常意味着漏洞正被高水平的威胁行为体所掌控,例如国家级背景的APT组织、专业勒索软件团伙,或者高度自动化的网络犯罪活动。
即使是“有限度”的攻击,考虑到Palo Alto防火墙在全球数以万计的关键网络边界上部署的现实,任何一个入侵成功都可能造成严重的数据泄露、网络劫持乃至更大范围的连锁性系统失陷。
ShadowServer从公开网络扫描中发现,当前有5,800余台Palo Alto的VM系列防火墙暴露在互联网上,其中以部署在亚洲(2,466台)和北美地区(1,998台)数量最多。
四、应急处置与官方应对
1. 官方修补进度
Palo Alto Networks已明确将分两轮陆续发布安全补丁,覆盖所有受影响分支:
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
首批修补程序预计于2026年5月13日(下周三)前后发布;第二轮修补程序将在5月28日前后发布。在所有补丁完整覆盖前,设备管理员必须依赖临时化解措施来阻止可能的攻击。
2. 🔧 临时缓解措施与操作指南
▌ 系统管理员警告
以下操作涉及防火墙的关键业务安全设置,需要在确保不影响现有网络连接与主要业务功能的前提下谨慎进行。建议在生产变更窗口内执行。
由于补丁尚未全面到位,Palo Alto Networks建议在以下两种方案中择一执行:
方案一:将用户身份验证门户的访问来源限定至可信内部IP地址
-
登录PAN-OS Web图形化管理界面
-
导航至 Device > User Identification > Authentication Portal Settings
-
在“Enable Authentication Portal”配置中找到访问控制列表(ACL)设置
-
仅允许来自企业内网可信管理段的IP地址访问该服务
-
保存配置并执行commit操作
方案二:完全禁用用户身份验证门户
如果当前环境中无需使用该门户功能(即未必需依赖该门户进行例外用户身份认证),可直接停用该功能,以完全规避攻击面:
在“Enable Authentication Portal”复选框内取消勾选,commit使更改生效。
3. 检测与监控
5月5日,Palo Alto已向拥有入侵防御许可的用户发布了一个威胁防御签名(针对PAN-OS 11.1以后版本的防火墙),用于检测和阻断利用该漏洞的尝试。建议管理员立即确认该特征库已推送并处于启用状态。
对于已暴露门户但暂无法立即应用缓解措施的设备,建议将相关日志重定向至安全信息和事件管理系统(SIEM),持续监控异常HTTP请求及可能的异常系统进程行为。
五、延展分析
1. 🔄 相似的攻击路径:历史回顾
Palo Alto Networks的防火墙在近年屡次成为前沿APT攻击和网络犯罪活动所追逐的目标。回顾2024年、2025年的数据可得出清晰的趋趋势线。
-
2024年:共7例针对Palo Alto设备的安全漏洞被披露,部分为国家支持的APT组织所利用。
-
2024年11月:SecurityWeek等外媒报道指威胁行为体通过组合利用两个Palo Alto防火墙零日漏洞发动攻击。
-
2025年2月:攻击者又转向滥用三个PAN-OS相关漏洞,尝试入侵防火墙。
-
2025年底至2026年:攻防对抗持续升级,CVE-2026-0300的出现使Palo Alto设备再次站上风口。
美国网络安全和基础设施安全局(CISA)的已知被利用漏洞目录中目前收录的Palo Alto产品相关漏洞达到13项。此CVE-2026-0300虽尚在初期评估阶段,但根据漏洞利用的事实,很可能会在近期正式列名于KEV目录内。
2. 攻击趋势洞察
本次Palo Alto零日漏洞的发展方向有几个值得关注的信号:
-
自动化可能性:由于无需身份验证,攻击过程安全自动化,且已经存在在滥用迹象,工具化利用的脚本或模块可能已在暗网和私有攻击工具包中被整合,中大规模扫描和利用入侵的风险属于较高水平。
-
零日使用的精准性:当前“有限度利用与有限数量的目标攻击”不能削弱企业对潜在漏洞利用工具蔓延扩散的警讯。对暂时无法修补但门户暴露在互联网上的设备,应立即采取行动限制访问。
-
补丁分发滞后带来的风险:某些PAN-OS分支的修补程序需等待至5月末才可使用,而非统一在5月13日交付,这意味着在攻击窗口期内,部分版本的配置需依赖于管理员采用临时的安全策略予以弥补。
3. 结语
CVE-2026-0300 零日漏洞在已知已存在攻击活动且CVSS评分高居9.3的情况下,展现出危险性高、利用门槛低的全面威胁态势。这既考验企业安全运维人员的快速反应力和对临时缓解措施的执行力,也再度对“网络安全合规”与“安全最佳实践”的价值和优先级提出了拷问。
Palo Alto Networks此次虽然快速响应并确认了攻击活动,但依然难以摆脱大型防火墙产品屡次曝出零日的被动局面。对于安全团队而言,关闭非必要服务、收紧管理面向的访问规则、保持对威胁情报源的关注,并尽早着手更新补丁的测试与部署,依然是应对此类事件最直接且不可替代的最佳策略。
披露声明
本报告综合参考了Palo Alto Networks官方安全公告(2026年5月5日发布)、CVE-2026-0300漏洞详情页、BleepingComputer、SecurityWeek、The Hacker News、新加坡CSA(Gov.sg)机构警报、台湾TWCERT及香港HKCERT等应急响应组织发布的漏洞公告、以及Tenable与Cybersecurity Help技术漏洞分析等可靠来源。本文内容仅限于网络安全事件报道与技术分析,不构成商业法律或具体对抗操作建议,各单位在采取具体响应动作前应参考厂商正式方案并与内部安全团队核实环境适用性。
暂无评论内容