防火墻漏洞遭國家級黑客利用，4月已現攻擊痕跡

網絡安全公司Palo Alto Networks本周披露，一個評分高達9.3分的嚴重漏洞正被疑似國家支持的黑客組織積極利用。攻擊者最早在2026年4月9日就嘗試入侵，成功后可獲得設備最高權限并植入惡意代碼。

這個編號為CVE-2026-0300的漏洞位于PAN-OS系統的用戶身份認證門戶服務中，屬于緩沖區溢出類型。未經身份驗證的攻擊者只需發送特制數據包，就能以root權限執行任意代碼。CVSS評分顯示其嚴重性達到9.3分（部分評估為8.7分），屬于最高危級別。

時間線顯示攻擊活動早有預謀。Palo Alto Networks旗下Unit 42團隊在周三發布的公告中指出，4月9日首次監測到針對PAN-OS設備的未成功攻擊嘗試。一周后，攻擊者成功突破防線，實現了遠程代碼執行并注入shellcode到nginx工作進程中。

入侵得手后，攻擊者立即展開痕跡清理。他們清除內核崩潰信息、刪除nginx崩潰記錄和核心轉儲文件，試圖掩蓋入侵證據。4月29日，同一團伙對第二臺設備發動后續攻擊，進行Active Directory目錄枚舉，并投放EarthWorm和ReverseSocks5兩款工具。這兩款開源工具此前多次出現在與中國有關聯的黑客組織武器庫中。

Palo Alto Networks將這一系列活動追蹤為CL-STA-1132，其來源尚未確定，但疑似具有國家背景。值得注意的是，攻擊者刻意選擇開源工具而非專屬惡意軟件，這一技術決策有效避開了基于特征的檢測機制。配合數周內間歇性交互的謹慎操作節奏，整個攻擊過程始終低于多數自動化告警系統的行為閾值。

Unit 42分析師在報告中指出，過去五年間，從事網絡間諜活動的國家級別黑客越來越聚焦于邊緣網絡資產。防火墻、路由器、物聯網設備、虛擬化平臺和各類VPN解決方案成為重點目標——這些設備既能提供高權限訪問通道，又往往缺乏標準終端所具備的完善日志記錄和安全代理。

官方補丁預計從2026年5月13日開始推送。在補丁可用之前，Palo Alto Networks建議用戶采取臨時緩解措施：將PAN-OS用戶身份認證門戶的訪問限制在受信任區域，或在不使用的情況下直接禁用該服務。

這起事件再次暴露了一個長期存在的安全困境：網絡邊界設備承載著關鍵防護職能，卻常因架構特殊性成為防御鏈條中最薄弱的環節。攻擊者對開源工具的偏好和低頻操作模式，也反映出高級持續威脅（APT）組織正在主動適應并規避傳統安全監測手段。