【 資安警訊 】- Palo Alto Networks 防火牆作業系統零時差漏洞傳出遭國家級駭客利用
發布編號:OIS-CTI-2026-05-002
情資來源:iThome
事件類型:漏洞警訊公告
內容說明:
於已遭利用的防火牆零時差漏洞 CVE-2026-0300,資安公司 Palo Alto Networks 透過部落格文章公布駭客如何利用的細節,並指出攻擊者的身分,很有可能是國家級駭客。
圖片來源:iThome
5 月 6 日資安公司 Palo Alto Networks 揭露已被用於攻擊的零時差漏洞 CVE-2026-0300,此弱點存在於 User-ID 身分驗證入口網站,未經身分驗證的攻擊者能以 root 權限執行程式碼,CVSS v4.0 風險為 9.3 分,實體設備 PA 系列與虛擬版防火牆 VM 系列都可能受影響。究竟漏洞如何遭到利用?該公司透露更多細節。
Palo Alto Networks 威脅情報團隊 Unit 42 指出,他們 4 月 9 日開始觀察到利用 CVE-2026-0300的活動,但當時並未成功,一週後駭客對防火牆發動遠端程式碼執行(RCE)攻擊,並注入Shellcode,得逞後,為了避免留下作案痕跡,這些駭客隨即清除事件記錄,其中包含系統核心當機訊息、Nginx 當機相關事件,此外,他們也移除核心當機傾印檔案。事隔數日,駭客部署多個具有 root 權限的工具,並利用防火牆服務帳號對 AD 環境進行偵察。4 月 29 日,這些駭客發動SAML 洪水攻擊,並對另一臺防火牆發動攻擊,然後下載網路隧道工具 EarthWorm 與ReverseSocks5。
對於攻擊者的身分,Unit 42 表示他們取名為 CL-STA-1132 列管,並推測這是背後有國家資助的駭客團體。。
Palo Alto Networks 發布資安公告,揭露防火牆作業系統 PAN-OS 資安漏洞 CVE-2026-0300,此弱點存在於 User-ID 身分驗證入口網站,為記憶體緩衝區溢位漏洞,未經身分驗證的攻擊者透過特製封包,就能在防火牆系統當中以 root 權限執行任意程式碼,CVSS v4.0 風險評為 9.3 分(滿分 10 分),屬重大等級漏洞。值得留意的是,該漏洞已出現遭到利用的情況,但相關修補程式預計要一至三週後才會推出。
CVE-2026-0300 存在於防火牆系統的 User-ID 身分驗證入口網站,而且,無論實體設備 PA 系列或虛擬版防火牆 VM 系列,都會受到影響。不過,雲端版的 Cloud NGFW、SASE 平臺 Prisma Access,則不受影響。由於 Palo Alto Networks 尚未發布修補程式,該公司呼籲用戶應限縮能夠存取 User-ID 的來源,管制僅有受到信任的內部 IP 位址才能存取,並避免將 User-ID 入口網站曝露於網際網路上,如此一來,CVE-2026-0300 的風險值就會降為 8.7 分。如非必要,企業可先停用這些防火牆的 User-ID 身分驗證入口網站功能。
影響平台:
受此漏洞影響的版本包含:實體設備 PA 系列或虛擬版防火牆 VM 系列。
雲端版的 Cloud NGFW、SASE 平臺 Prisma Access,則不受影響。
建議措施:
強烈建議用戶應限縮能夠存取 User-ID 的來源,管制僅有受到信任的內部 IP 位址才能存取。
並避免將 User-ID 入口網站曝露於網際網路上。
可先停用這些防火牆的 User-ID 身分驗證入口網站功能。
參考連結 :
https://www.ithome.com.tw/news/175621