Palo Alto Networks 近期披露,威脅行為者可能自 2026 年 4 月 9 日起,就曾嘗試利用一個新近披露的嚴重安全漏洞,但當時並未成功。
該漏洞為 CVE-2026-0300(CVSS 評分:9.3/8.7),是 Palo Alto Networks PAN-OS 軟體中 User-ID Authentication Portal 服務的緩衝區溢位漏洞,未經身份驗證的攻擊者可透過傳送特製封包,以 root 權限執行任意程式碼。
儘管預計將於 2026 年 5 月 13 日開始發布修補程式,但仍建議客戶透過限制對受信任區域的存取,或在不使用時將其完全禁用,來保護 PAN-OS User-ID Authentication Portal 的存取安全。
在這家網路安全公司週三發布的公告中表示,他們已知悉該漏洞受到有限度的利用。該公司正追蹤此活動,代號為 CL-STA-1132,這是一個疑似由國家支持、來源不明的威脅群組。
「此活動的幕後攻擊者利用 CVE-2026-0300 在 PAN-OS 軟體中實現了未經身份驗證的遠端程式碼執行(RCE)。成功利用後,攻擊者能夠將 shellcode 注入 nginx worker 進程中,」Palo Alto Networks Unit 42 表示。
這家網路安全公司表示,他們觀察到自 2026 年 4 月 9 日起,針對 PAN-OS 設備出現了未成功的利用嘗試,在一週後,攻擊者成功對該設備實現了遠端程式碼執行並注入了 shellcode。
在獲得初始存取權後,威脅行為者立即採取措施清除 crash kernel 訊息、刪除 nginx crash 條目和 nginx crash 記錄,並移除 crash core dump 檔案,試圖掩蓋其蹤跡。
在成功利用後,攻擊者於 2026 年 4 月 29 日針對第二台設備進行了 Active Directory (AD) 枚舉,並植入了 EarthWorm 和 ReverseSocks5 等額外載荷。這兩種工具先前已被與中國有關聯的各種駭客組織使用。
「在過去五年中,從事網路間諜活動的國家級威脅行為者越來越將注意力集中在邊緣網路技術資產上,包括防火牆、路由器、物聯網設備、hypervisors 和各種 VPN 解決方案,這些設備提供了高權限的存取,同時通常缺乏標準端點上常見的強健日誌記錄和安全代理,」Unit 42 表示。
「CL-STA-1132 背後的攻擊者依賴開源工具,而非專有惡意軟體,從而最小化了基於簽名的偵測,並促進了無縫的環境整合。這種技術選擇,加上在數週內間歇性互動會話的紀律性操作節奏,有意地保持在大多數自動警報系統的行為閾值之下。」
