北京
5月6日,美國網絡安全與基礎設施安全局(CISA)將編號CVE-2026-0300的漏洞列入"已知被利用漏洞目錄",向全球網絡管理員發出緊急防御警報。這不是一次普通的漏洞通報——該缺陷允許攻擊者在無需認證的情況下執行任意代碼,并直接獲取防火墻的Root權限。
問題出在PAN-OS的User-ID認證門戶,也就是大家熟悉的強制門戶(Captive Portal)服務。這是一個越界寫入漏洞(CWE-787),屬于內存損壞類缺陷:軟件向內存緩沖區邊界之外寫入數據時觸發。攻擊者只需向目標Captive Portal服務發送特制數據包,就能觸發漏洞。
一旦利用成功,攻擊者獲得的權限級別相當危險。Root權限意味著完全控制這臺安全設備:繞過既有安全策略、截獲敏感網絡流量、篡改配置文件,甚至把被攻陷的防火墻當作跳板,向企業內部網絡發起更深層的攻擊。物理形態的PA系列和虛擬化的VM系列防火墻,只要運行存在缺陷的PAN-OS版本,都在影響范圍內。
CISA將其列入主動利用目錄,等于確認該漏洞已在真實攻擊中被利用。不過安全研究人員表示,目前尚不清楚該漏洞是否被用于活躍的勒索軟件活動。但考慮到網絡邊緣設備對高級持續性威脅(APT)的價值——它們位于傳統內部安全邊界之外,是直通企業環境的門戶——無認證即可獲取Root訪問權限的嚴重性不言而喻。
美國聯邦民事行政部門機構面臨更緊迫的時間壓力。根據約束性操作指令(BOD)22-01,這些機構必須在2026年5月9日前完成系統加固。然而Palo Alto Networks的官方永久補丁尚未發布,組織只能立即部署臨時緩解措施。
具體做法很明確:立即限制對User-ID認證門戶的網絡訪問,確保該服務僅能從嚴格受信的內部區域訪問,絕不暴露于公網。安全團隊需保持高度警戒,密切關注廠商官方通告,一旦固件更新發布立即部署。在補丁到位之前,這道臨時防線可能是阻止入侵的最后屏障。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
