网络安全公司Palo Alto Networks本周披露,一个评分高达9.3分的严重漏洞正被疑似国家支持的黑客组织积极利用。攻击者最早在2026年4月9日就尝试入侵,成功后可获得设备最高权限并植入恶意代码。
这个编号为CVE-2026-0300的漏洞位于PAN-OS系统的用户身份认证门户服务中,属于缓冲区溢出类型。未经身份验证的攻击者只需发送特制数据包,就能以root权限执行任意代码。CVSS评分显示其严重性达到9.3分(部分评估为8.7分),属于最高危级别。
时间线显示攻击活动早有预谋。Palo Alto Networks旗下Unit 42团队在周三发布的公告中指出,4月9日首次监测到针对PAN-OS设备的未成功攻击尝试。一周后,攻击者成功突破防线,实现了远程代码执行并注入shellcode到nginx工作进程中。
入侵得手后,攻击者立即展开痕迹清理。他们清除内核崩溃信息、删除nginx崩溃记录和核心转储文件,试图掩盖入侵证据。4月29日,同一团伙对第二台设备发动后续攻击,进行Active Directory目录枚举,并投放EarthWorm和ReverseSocks5两款工具。这两款开源工具此前多次出现在与中国有关联的黑客组织武器库中。
Palo Alto Networks将这一系列活动追踪为CL-STA-1132,其来源尚未确定,但疑似具有国家背景。值得注意的是,攻击者刻意选择开源工具而非专属恶意软件,这一技术决策有效避开了基于特征的检测机制。配合数周内间歇性交互的谨慎操作节奏,整个攻击过程始终低于多数自动化告警系统的行为阈值。
Unit 42分析师在报告中指出,过去五年间,从事网络间谍活动的国家级别黑客越来越聚焦于边缘网络资产。防火墙、路由器、物联网设备、虚拟化平台和各类VPN解决方案成为重点目标——这些设备既能提供高权限访问通道,又往往缺乏标准终端所具备的完善日志记录和安全代理。
官方补丁预计从2026年5月13日开始推送。在补丁可用之前,Palo Alto Networks建议用户采取临时缓解措施:将PAN-OS用户身份认证门户的访问限制在受信任区域,或在不使用的情况下直接禁用该服务。
这起事件再次暴露了一个长期存在的安全困境:网络边界设备承载着关键防护职能,却常因架构特殊性成为防御链条中最薄弱的环节。攻击者对开源工具的偏好和低频操作模式,也反映出高级持续威胁(APT)组织正在主动适应并规避传统安全监测手段。
热门跟贴