企业网络的第一道防线,正在变成攻击者的后门。

Palo Alto Networks的PAN-OS系统最近曝出一个编号CVE-2026-0300的零日漏洞,CVSS评分9.3,属于最高危级别。攻击者无需任何认证,就能通过User-ID认证门户(Captive Portal)执行任意代码,直接拿到防火墙的root权限。

打开网易新闻 查看精彩图片

更麻烦的是,这个漏洞已经被发现存在有限的野外利用,尤其是那些把认证服务暴露在互联网上的企业,风险最高。

漏洞是怎么工作的

问题的根源是一个缓冲区溢出漏洞(CWE-787),位于认证门户组件中。攻击者只需发送特制的数据包,就能触发溢出,进而控制受影响的PA-Series硬件防火墙和VM-Series虚拟防火墙。

由于这些设备通常部署在网络边界,一旦失守,意味着整个内网可能完全沦陷。

哪些情况会中招

并非所有部署都会暴露风险。必须同时满足以下条件,攻击才可能发生:

1. User-ID认证门户处于启用状态(透明模式或重定向模式均可)
2. 某个接口绑定了管理接口配置文件,且"响应页面"功能开启
3. 该接口面向不可信网络或互联网开放

这三个条件叠加,就创造了一个可从外部触发的攻击面。Palo Alto Networks在公告中确认,Prisma Access、Cloud NGFW和Panorama管理设备不受此漏洞影响。

受影响的具体版本

漏洞波及多个PAN-OS版本线:

• 10.2系列
• 11.1系列
• 11.2系列
• 12.1系列

上述版本的特定补丁之前的构建均存在风险。官方建议的修复版本包括PAN-OS 12.1.4-h5或12.1.7+、11.2.4-h17/11.2.7-h13/11.2.12+、11.1.4-h33/11.1.6-h32/11.1.15+、以及10.2.7-h34或10.2.18-h6+。

临时缓解措施

如果无法立即打补丁,可以采取以下应急方案:

• 将User-ID认证门户的访问限制在可信内网IP段
• 在面向不可信流量的接口上禁用响应页面
• 如果业务不需要,直接关闭认证门户
• 启用Threat ID 510019进行检测

Palo Alto Networks表示,更多补丁将在2026年5月28日前陆续发布。安全研究人员和厂商共同提醒:即使防火墙没有直接暴露在互联网上,相邻网络的攻击者仍可能利用此漏洞进行横向移动,降低攻击难度的场景同样值得警惕。

对于遵循最佳实践、将门户访问限制在可信内部地址的组织,实际风险会显著降低。但问题是,有多少企业的防火墙配置真正做到了这一点?