最新活动
全部产品
  • 境内云服务器
  • 境外云服务器
  • 境内物理服务器
  • 境外物理服务器
  • 物理宿主机专区
单线专区
高防多线
三网畅通
超值高防
死扛超防
最优线路
强力防护
跨境首选
精品电信
深网优选
极速回国
网站资讯
渠道合作
解决方案
更多
登录
网站首页
    最新活动
      推广加盟 合作伙伴
      宝塔面板
      网站解决方案 金融解决方案 电商解决方案 移动解决方案 游戏解决方案
      公司简介 联系我们 电信增值许可证书
      新闻公告使用手机扫一扫查看
      < 返回

      Palo Alto关键0Day遭在野利用

      2026-05-08 16:18 作者:数掘云算 阅读量:33

      漏洞利用细节

      Palo Alto Networks近日发布警告称,一个疑似获得国家背景支持的黑客组织,过去一个月持续针对PAN-OS关键零日漏洞CVE-2026-0300发起攻击。攻击者利用该漏洞后,会进一步部署EarthWorm、ReverseSocks5等隧道工具,借助窃取的凭证对Active Directory进行探测,并通过清理日志等方式隐藏入侵痕迹。

      Palo Alto Networks旗下安全团队Unit 42表示,目前该漏洞仍处于“小范围定向利用”阶段。研究人员正在跟踪名为CL-STA-1132的攻击集群,该组织疑似具备国家级背景,专门针对CVE-2026-0300展开攻击活动。

      攻击链显示,攻击者首先通过该漏洞在PAN-OS系统中实现未认证远程代码执行(RCE),随后将shellcode注入nginx工作进程。成功入侵后,其后续操作包括:

      • 部署公开可获得的隧道工具EarthWorm与ReverseSocks5;

      • 利用疑似从防火墙中窃取的凭证枚举Active Directory;

      • 删除日志及其他取证痕迹,以降低被发现概率。

      技术分析与影响范围

      CVE-2026-0300本质上是User-ID身份认证门户中的缓冲区溢出漏洞。当该服务直接暴露于互联网时,未认证攻击者可通过构造恶意数据包,在PA系列及VM系列防火墙上以root权限执行任意代码。

      Palo Alto Networks强调,如果企业按照官方最佳实践,仅允许可信内部IP访问User-ID身份认证门户,可显著降低遭受攻击的风险。

      受影响版本

      PAN-OS版本 受影响版本 修复版本
      PAN-OS 12.1 < 12.1.4-h5< 12.1.7 >= 12.1.4-h5(预计05/13)>= 12.1.7(预计05/28)
      PAN-OS 11.2 < 11.2.4-h17< 11.2.7-h13< 11.2.10-h6< 11.2.12 >= 11.2.4-h17(预计05/28)>= 11.2.7-h13(预计05/13)>= 11.2.10-h6(预计05/13)>= 11.2.12(预计05/28)
      PAN-OS 11.1 < 11.1.4-h33< 11.1.6-h32< 11.1.7-h6< 11.1.10-h25< 11.1.13-h5< 11.1.15 >= 11.1.4-h33(预计05/13)>= 11.1.6-h32(预计05/13)>= 11.1.7-h6(预计05/28)>= 11.1.10-h25(预计05/13)>= 11.1.13-h5(预计05/13)>= 11.1.15(预计05/28)
      PAN-OS 10.2 < 10.2.7-h34< 10.2.10-h36< 10.2.13-h21< 10.2.16-h7< 10.2.18-h6 >= 10.2.7-h34(预计05/28)>= 10.2.10-h36(预计05/13)>= 10.2.13-h21(预计05/28)>= 10.2.16-h7(预计05/28)>= 10.2.18-h6(预计05/13)

      攻击工具分析

      EarthWorm

      EarthWorm是一款基于C语言开发的开源隧道工具,可运行于Windows、Linux、macOS以及ARM/MIPS等多种平台。该工具支持SOCKS5代理与端口转发功能,可帮助攻击者建立隐蔽通信通道、绕过网络限制并实施横向移动。

      其主要能力包括:

      • 正向与反向SOCKS5隧道;

      • 端口桥接与流量转发;

      • RDP、SSH等协议的跳板转发。

      此前,EarthWorm曾被关联至Volt Typhoon、APT41等高级威胁组织的攻击活动。

      ReverseSocks5

      ReverseSocks5同样是一款开源网络工具,其核心原理是由受感染主机主动向攻击者控制的服务器建立出站连接,从而绕过防火墙及NAT限制。

      连接建立后,攻击者即可通过SOCKS5代理远程访问内网资源。虽然该工具在合法场景中也可用于远程运维,但近年来已频繁被攻击者用于隐蔽渗透及后渗透阶段操作。

      攻击特点与防御建议

      Palo Alto Networks指出,CL-STA-1132攻击组织大量依赖公开开源工具,而非自研恶意软件。这种方式可以有效降低基于特征码的检测概率,使攻击行为更容易“融入”正常环境。

      此外,攻击者采用低频、间歇式操作方式,长时间维持低可见度活动,从而规避多数自动化告警系统的监测。其横向移动更侧重于滥用身份信任关系,而非传统网络层渗透,因此进一步减少了明显攻击痕迹。

      研究人员认为,这类“克制型”攻击模式——尤其是非持续性访问窗口——已成为攻击者在边界基础设施中实现长期驻留的重要策略。

      官方建议

      由于漏洞当前尚未完全修复,Palo Alto Networks建议企业立即采取以下缓解措施:

      • 禁止User-ID身份认证门户直接暴露互联网;

      • 仅允许可信内部IP访问相关服务;

      • 尽快升级至官方修复版本;

      • 检查是否存在异常SOCKS代理、隧道工具或可疑出站连接;

      • 审计Active Directory异常枚举行为;

      • 加强日志留存与防篡改措施。

      目前,相关补丁预计将于2026年5月13日起陆续发布,主要受影响对象为启用了User-ID身份认证门户的PA系列与VM系列防火墙设备。

      联系我们
      返回顶部