資安圈近期高度關注的 CVE-2026-0300 漏洞,正讓全球大量使用 Palo Alto Networks PAN-OS 的企業面臨嚴峻風險。這項存在於 User-ID Authentication Portal(Captive Portal)中的緩衝區溢位漏洞,允許攻擊者在「無需驗證身分」的情況下,直接對暴露於網際網路的防火牆執行遠端程式碼(RCE),甚至取得 root 權限,等同於完全接管整台設備。
更值得警惕的是,Palo Alto Unit 42 已確認,自 2026 年 4 月起,就有疑似國家級背景的威脅組織持續利用此漏洞進行實際攻擊行動,並將其追蹤為 CL-STA-1132。攻擊者在成功入侵後,不僅快速植入 shellcode,更第一時間刪除 nginx crash logs、kernel 訊息與 core dump 等關鍵紀錄,顯示其具備高度成熟的反鑑識能力與長期潛伏意圖。
從目前揭露的攻擊鏈可發現,這已不是單純的「漏洞利用」,而是一場完整的內網滲透作戰。駭客利用防火牆中取得的服務帳號憑證,進一步對 Active Directory 執行枚舉,鎖定 Domain Root 與 DomainDnsZones 等核心資產,並透過 Earthworm、ReverseSocks5 等公開滲透工具建立 SOCKS5 通道與多層跳板,將防火牆直接轉變為進入企業內網的隱蔽入口。
特別值得注意的是,攻擊者幾乎完全使用公開開源工具,而非客製化惡意程式。這種手法近年在 APT 攻擊中越來越常見,因為公開工具更容易避開傳統簽章式偵測機制,同時也讓事件更難與特定組織直接關聯。過去 Earthworm 就曾出現在 Volt Typhoon、APT41 等中國背景威脅行動中,如今再次現身,也讓外界更加關注此次事件背後的國家級攻擊可能性。
美國 CISA 也已緊急將 CVE-2026-0300 納入 Known Exploited Vulnerabilities(KEV)目錄,並要求聯邦機構必須於 2026 年 5 月 9 日前完成風險緩解。由於目前正式修補程式尚未全面釋出,企業若仍將 Authentication Portal 對外開放,等同於持續暴露在高風險狀態之下。
從防禦角度來看,這起事件再次凸顯「邊界設備」早已成為現代攻擊者最優先的滲透目標。防火牆不再只是防禦設備,而是掌握整個企業網路流量、帳號驗證與內網通道的關鍵節點。一旦遭到接管,攻擊者甚至能繞過既有資安政策,直接從最核心的位置向內部環境橫向移動。
對企業而言,目前最重要的應變措施包括:
立即限制 User-ID Authentication Portal 僅允許內部可信區域存取、停用不必要的 Captive Portal 功能、關閉對外 Response Pages、全面檢查防火牆是否存在異常 shellcode 行為、未知 SOCKS 通道、異常 SAML 流量,以及可疑 AD 枚舉活動。同時也應密切關注 Palo Alto 官方更新,並在修補程式發布後第一時間完成更新。
這起事件再次提醒所有企業:當攻擊者開始瞄準防火牆與邊界設備時,代表真正的目標早已不只是單一設備,而是整個企業內網的控制權。