Palo Alto Networks 於5 月 7 日確認,旗下 PAN-OS 防火牆軟體存在一項嚴重零時差(Zero-day)漏洞,編號 CVE-2026-0300,CVSS評分達 9.3,已遭疑似國家級駭客組織積極利用逾三週。美國網路安全暨基礎設施安全局(CISA)已將此漏洞列入已知遭利用漏洞(KEV)目錄,並要求聯邦民事行政機關(FCEB)於美東時間 5 月 9 日午夜前完成緊急緩解措施,惟官方修補程式預計最快於 5 月 13 日釋出。
緩衝區溢位漏洞允許未認證攻擊者取得 root 存取權
CVE-2026-0300 源於 PAN-OS 軟體中使用者身分識別驗證入口(Captive Portal)服務的緩衝區溢位問題。此入口功能負責對未知流量進行使用者身分對應,當防火牆無法自動將 IP 位址對應至特定使用者時便會啟用。
攻擊者無需任何身分驗證,僅需向受影響設備發送特製封包,即可觸發漏洞,進而在 PA-Series 及 VM-Series 防火牆上以 root 最高權限執行任意程式碼(RCE)。Palo Alto Networks 指出,此漏洞可被自動化利用,大幅降低攻擊技術門檻。Prisma Access、Cloud NGFW 及 Panorama 設備則不受此漏洞影響。
攻擊最早可追溯至 4 月 9 日,疑為國家級間諜行動
根據 Palo Alto Networks 旗下威脅情報部門 Unit 42 的調查報告,此波攻擊最早可追溯至 2026 年 4 月 9 日。攻擊者起初利用嘗試宣告失敗,約一週後成功取得遠端程式碼執行能力,並向受害設備的 nginx 工作程序注入 shellcode。
取得初始存取權後,攻擊者立即展開反偵測操作,清除崩潰核心訊息、刪除 nginx 崩潰記錄與核心傾印檔案,藉此掩蓋入侵蹤跡。後滲透活動包含對AD進行枚舉,並於 4 月 29 日向第二台設備部署開源網路隱道工具 EarthWorm 及 ReverseSocks5。
此兩項工具過去曾出現於 Volt Typhoon、APT41 等多個具中國背景的駭客組織攻擊行動中。
Unit 42 將此威脅叢集標記為 CL-STA-1132,Palo Alto Networks 表示,幕後行為者極可能為國家級行為者。Unit 42 指出,攻擊者選用開源工具而非自製惡意程式,有效規避基於特徵碼的偵測機制,並透過多週期間間歇性的互動工作階段,刻意壓低觸發自動警報系統的行為特徵門檻。
全球逾 5,400 台設備暴露在網際網路,亞洲佔近半數
Shadowserver 目前追蹤到全球超過 5,400 台 PAN-OS VM-Series 防火牆暴露於網際網路,其中亞洲地區達 2,466 台,北美地區為 1,998 台,暴露規模不容忽視。
Palo Alto Networks 表示,官方修補程式將分兩批釋出:第一批包含 PAN-OS 版本 12.1.4-h5、11.2.7-h13、11.1.4-h33、10.2.10-h36 等,預計於 5 月 13 日前後釋出;第二批包含版本 12.1.7、11.2.12、11.1.15、10.2.16-h7 等,預計於 5 月 28 日前後釋出。
在修補程式尚未就緒的空窗期內,Palo Alto Networks 強烈建議客戶立即採取以下緩解措施:
- 限制存取來源:僅允許受信任的內部網路或特定 IP 位址連線至 User-ID Authentication Portal,禁止對外部網際網路開放
- 停用驗證入口:若此功能並非業務必要,立即予以停用(路徑:Device > User Identification > Authentication Portal Settings → Disable Authentication Portal)
- 封鎖已知利用嘗試:已訂閱進階威脅防護的客戶,可啟用 Threat ID 510019(來自 Applications and Threats 內容版本 9097-10022)封鎖已知攻擊特徵
- 修補後持續限制存取:官方修補程式釋出後應盡快套用,完成更新後仍應維持驗證入口僅對受信任內部 IP 開放的存取控制原則
Palo Alto Networks 強調,遵循標準資安最佳實務、將敏感管理入口限制於受信任內部網路的客戶,遭受利用的風險將大幅降低。企業資安團隊可透過
Device > User Identification > Authentication Portal Settings 頁面,快速確認防火牆是否啟用了此項易受攻擊的服務。