导语：2026年5月6日，Palo Alto Networks 发布安全公告，披露其 PAN-OS 软件中存在一个编号为 CVE-2026-0300 的严重缓冲区溢出漏洞，CVSS 4.0 评分高达 9.3（严重级）。该漏洞允许未认证攻击者通过发送特制数据包直接获取 PA-Series 及 VM-Series 防火墙的 Root 权限。Unit 42 威胁情报团队已确认该漏洞正被疑似国家背景的黑客组织（追踪编号 CL-STA-1132）利用，攻击者成功获得 RCE 后部署隧道工具并清理入侵痕迹。

事件时间线

时间	事件
2026年4月9日	针对 PAN-OS 设备的首次探测性攻击尝试
2026年4月中旬	攻击者成功 RCE，注入 shellcode 至 nginx worker 进程
2026年4月20日前后	攻击者部署 EarthWorm 及 ReverseSocks5 隧道工具
2026年4月29日	SAML 泛洪攻击迫使另一台设备接管流量，攻击面扩大
2026年5月5日	Palo Alto 发布 Threat Prevention 签名（PAN-OS 11.1+）
2026年5月6日	Palo Alto 正式发布 CVE-2026-0300 安全公告
2026年5月13-28日	各分支修复版本陆续发布

漏洞根因分析

CVE-2026-0300 的根源位于 PAN-OS 的 User-ID™ Authentication Portal（即 Captive Portal）服务中。该服务用于在用户访问网络前进行身份认证和门户重定向。

漏洞类型为越界写入（CWE-787），属于典型的缓冲区溢出漏洞。攻击者无需任何身份凭证，仅需向暴露在互联网上或不可信网络中的 Captive Portal 接口发送精心构造的网络数据包，即可在目标防火墙上以 Root 权限执行任意代码。

关键特性：

攻击向量：网络（NETWORK）
攻击复杂度：低（Low）
所需权限：无（None）
用户交互：无（None）
漏洞成熟度：已确认被攻击（ATTACKED）

影响范围横跨 PAN-OS 10.2、11.1、11.2、12.1 四个主要分支，Prisma Access、Cloud NGFW 及 Panorama 管理平台不受影响。

受影响的 PAN-OS 版本

分支	修复版本	预计发布
PAN-OS 10.2	10.2.7-h34 / 10.2.10-h36 / 10.2.13-h21 / 10.2.16-h7 / 10.2.18-h6	2026-05-13
PAN-OS 11.1	11.1.4-h33 / 11.1.6-h32 / 11.1.7-h6 / 11.1.10-h25 / 11.1.13-h5 / 11.1.15	2026-05-20
PAN-OS 11.2	11.2.4-h17 / 11.2.7-h13 / 11.2.10-h6 / 11.2.12	2026-05-28
PAN-OS 12.1	12.1.4-h5 / 12.1.7	2026-05-20

攻击者画像：CL-STA-1132

Unit 42 将本次攻击行为追踪为 CL-STA-1132，一个疑似具有国家背景的黑客组织。

攻击链还原

第一阶段：初始访问（2026年4月9日） 攻击者首先向暴露在公网的 Captive Portal 接口发送探测性数据包，触发漏洞尝试。早期尝试未成功，但一周后攻击者优化了载荷，成功触发缓冲区溢出并在 nginx worker 进程中注入了 shellcode。

第二阶段：驻留与清理（1周内） 获得 RCE 后，攻击者立即进行了系统性日志清理：

清除 crash kernel 消息
删除 nginx crash 条目和崩溃记录
移除 core dump 文件

第三阶段：隧道部署（4天后） 攻击者部署了两个公开可用的隧道工具：

EarthWorm：跨平台 SOCKS v5 代理隧道工具，支持正向代理、反向代理、端口转发和多跳级联隧道。这款工具曾被 APT41（Earth Longzhi）、Volt Typhoon 及 Gelsemium 等多个著名 APT 组织使用。
ReverseSocks5：反向 SOCKS5 隧道工具，从目标机器主动连接攻击者控制器，绕过 NAT 和防火墙出站限制。

第四阶段：横向移动（部署工具后） 利用防火墙服务账户凭据，攻击者对 Active Directory 域根及 DomainDnsZones 进行枚举。Unit 42 报告未指明凭据获取方式，但可能来自防火墙上的本地凭据存储。

第五阶段：扩大攻击面（2026年4月29日） 攻击者对主设备发起 SAML 泛洪攻击，迫使高可用性备用设备接管主设备的互联网流量。随后在第二台设备上再次达成 RCE，并部署了同样的隧道工具组。

受影响范围评估

直接受影响

PA-Series 物理防火墙（Captive Portal 暴露至公网或不可信网络）
VM-Series 虚拟防火墙（同样条件）
企业边界网络（攻击成功后可直接进入内部网络）

不受影响

Prisma Access（云访问安全代理）
Cloud NGFW（下一代云防火墙）
Panorama 管理平台
仅限内部可信网络访问 Captive Portal 的部署

攻击者能力

一旦防火墙被攻陷，攻击者获得的权限等级为 Root，意味着完全控制权： ✅ 读取/修改所有网络流量 ✅ 修改防火墙策略和规则 ✅ 提取 VPN 凭据和证书 ✅ 横向移动至内部网络 ✅ 部署持久化后门 ✅ 销毁入侵证据

即时止损动作

重要提示：修复版本将在5月13日至28日间陆续发布，在此之前需依靠缓解措施。

最高优先级（立即执行）

识别暴露面：在 PAN-OS 管理界面中导航至 Device → User Identification → Authentication Portal Settings，检查 Captive Portal 是否暴露在不可信接口上。
限制访问：如果 Captive Portal 必须启用，将其访问限制在仅受信任的内部 IP 地址范围。登录 Palo Alto Live Community 查阅最佳实践指南。
禁用响应页面：在每个暴露于互联网或不可信区域的 L3 接口的 Interface Management Profile 中，禁用 Response Pages。仅在信任区域的内网接口上保持启用。

次优先级

安装 Threat Prevention 签名：针对 PAN-OS 11.1 及以上版本，2026年5月5日已发布检测签名，下载并确保 Threat Prevention 订阅有效。
监控告警：审查防火墙日志，检查是否存在异常登录、nginx 异常终止、crash dump 文件被删除记录、以及出站到未知地址的 SOCKS 流量。
评估服务账户权限：检查防火墙使用的 AD 服务账户是否具有不必要的域级别权限，实施最小权限原则。
部署补充检测：若已拥有 Cortex Xpanse，可利用其对暴露的 User-ID Authentication Portal 进行自动识别。

长线修复计划

优先级	行动项	截止建议
P0	按照版本对应关系安装修复补丁	补丁发布后24小时内
P0	审计防火墙日志，检查是否存在4月9日至今的异常活动	立即
P1	轮换所有在防火墙上存储的 AD 服务账户凭据	补丁安装后
P1	重新评估 Captive Portal 业务必要性，确认是否需要暴露至公网	本周内
P2	对已确认被攻陷的设备执行全量取证	立即
P2	建立防火墙版本更新内部 SLA，对 Critical 级 CVE 响应时间不超过48小时	下次安全治理会议
P3	审查所有公网暴露的管理接口和认证门户，实施全面网络分段	本季度