漏洞利用详情

Palo Alto Networks警告称，疑似国家支持的黑客组织近一个月来持续利用PAN-OS关键0Day漏洞（CVE-2026-0300）。攻击者利用该漏洞后，部署了EarthWorm和ReverseSocks5等隧道工具，使用窃取的凭证探测Active Directory，并通过删除日志和其他证据来掩盖入侵痕迹。

网络安全厂商在公告中指出："目前我们仅观察到CVE-2026-0300被有限利用。Unit 42正在追踪CL-STA-1132攻击集群，该集群疑似由国家支持，专门利用CVE-2026-0300。攻击者通过该漏洞实现了PAN-OS软件中的未认证远程代码执行（RCE），成功利用后能够将shellcode注入nginx工作进程。后续攻击活动包括部署公开可用的隧道工具（EarthWorm、ReverseSocks5）、使用可能从防火墙获取的凭证枚举Active Directory，以及系统性清除日志和其他入侵证据。"

技术分析与影响范围

该漏洞是User-ID身份验证门户服务中的缓冲区溢出漏洞，当该门户暴露在互联网时，允许未认证攻击者通过特制数据包在PA系列和VM系列防火墙上以root权限执行任意代码。Palo Alto Networks强调，若按照最佳实践指南将User-ID身份验证门户访问限制在可信内部IP地址，可大幅降低风险。

受影响产品版本如下：

攻击工具分析

EarthWorm是一款用C语言编写的开源隧道工具，支持Windows、Linux、macOS和ARM/MIPS平台。该工具可作为SOCKS5代理和端口转发实用程序，使攻击者能够创建隐蔽通信通道、绕过网络限制并在受感染环境中横向移动。其功能包括正向和反向SOCKS5隧道、端口桥接、流量转发以及RDP和SSH等多协议跳转。该工具此前与Volt Typhoon和APT41等威胁组织有关联。

ReverseSocks5是另一款开源网络工具，通过从受感染系统建立到攻击者控制服务器的出站连接来绕过防火墙和NAT保护。连接后，它会建立SOCKS5代理隧道，允许远程访问内部网络。虽然管理员常将其用于合法的远程管理，但威胁行为者也滥用该工具进行隐蔽渗透和入侵后操作。

攻击特征与防御建议

Palo Alto Networks分析指出："CL-STA-1132背后的攻击者依赖开源工具而非专有恶意软件，最小化了基于签名的检测，实现了与环境的无缝集成。这种技术选择，加上数周内间歇性交互会话的严格操作节奏，使其行为始终低于大多数自动化警报系统的阈值。横向移动技术优先滥用身份信任而非传统的网络层渗透，有效减少了攻击痕迹。因此，此次攻击活动表明，操作克制——特别是使用非持续性访问窗口——是在边缘基础设施上保持长期驻留的主要因素。"

该漏洞目前仍未修复，预计从2026年5月13日开始发布补丁。主要影响使用User-ID身份验证门户的PA系列和VM系列防火墙。Palo Alto Networks强调，遵循最佳实践（如仅限可信内部网络访问）的企业面临的风险要低得多。

文章转载自“51CTO”官方网站。