Palo Alto Networks 揭露，威脅行為者可能早在 2026 年 4 月 9 日就試圖利用最近揭露的一個嚴重安全漏洞，但未成功。

這次涉及的漏洞是CVE-2026-0300（CVSS 評分：9.3/8.7），它是 Palo Alto Networks PAN-OS 軟體的使用者 ID 驗證入口網站服務中的一個緩衝區溢位漏洞，未經驗證的攻擊者可以透過發送特製的資料包以 root 權限執行任意程式碼。

雖然預計從 2026 年 5 月 13 日起將發布修復程序，但建議客戶通過限制對受信任區域的存取來保護對 PAN-OS 用戶 ID 身份驗證門戶的存取，或者如果未使用，則完全禁用它。

作為額外的緩解措施，該公司建議各組織停用介面管理設定檔中所有可能引入不受信任流量或網路流量的 L3 介面的回應頁面。擁有進階威脅防護功能的客戶還可以透過啟用「應用程式和威脅」內容版本 9097-10022 中的威脅 ID 510019 來阻止攻擊嘗試。

Palo Alto Networks  Unit 42表示：「這次攻擊背後的攻擊者利用了 CVE-2026-0300 漏洞，在 PAN-OS 軟體中實現了未經身份驗證的遠端程式碼執行 (RCE)。成功利用該漏洞後，攻擊者能夠將 shellcode 注入到 nginx 工作進程中。」

在過去的五年裡，從事網路間諜活動的國家級威脅行為者越來越將精力集中在邊緣網路技術資產上，包括防火牆、路由器、物聯網設備、虛擬機管理程式和各種 VPN 解決方案，這些資產提供高權限存取權限，但通常缺乏標準終端上存在的強大的日誌記錄和安全代理。CL-STA-1132 背後的攻擊者依賴開源工具而非專有惡意軟體，這最大限度地降低了基於特徵碼的檢測，並實現了與環境的無縫集成。這種技術選擇，再加上在數週時間內有條不紊地進行間歇性交互，有意地將攻擊行為控制在大多數自動警報系統的行為閾值。

資料來源：https://thehackernews.com/2026/05/pan-os-rce-exploit-under-active-use.html