文章总结： 国家级黑客组织利用PaloAltoNetworks防火墙的CVE-2026-0300零日漏洞实现未认证远程代码执行，部署EarthWorm和ReverseSocks5隧道工具窃取凭证并探测ActiveDirectory。该漏洞影响暴露在互联网的User-ID身份验证门户，攻击者通过间歇性会话保持长期潜伏并清除日志。建议将门户访问限制在可信内部网络，补丁预计5月13日发布。 综合评分： 85 文章分类： 漏洞分析,威胁情报,网络安全,应急响应,恶意软件

国家级黑客利用Palo Alto零日漏洞长期潜伏，部署隧道工具窃取凭证

e安在线 e安在线

e安在线

2026年5月9日 09:40 北京

在小说阅读器读本章

去阅读

Palo Alto Networks警告称，疑似国家支持的黑客组织持续数周利用PAN-OS关键0Day漏洞（CVE-2026-0300）。攻击者利用该漏洞部署了EarthWorm和ReverseSocks5等隧道工具，使用窃取的凭证探测Active Directory，并通过删除日志和其他证据来掩盖入侵痕迹。

网络安全厂商在公告中指出：“目前我们仅观察到CVE-2026-0300被有限利用。Unit 42正在追踪CL-STA-1132攻击集群，该集群疑似由国家支持，专门利用CVE-2026-0300。攻击者通过该漏洞实现了PAN-OS软件中的未认证远程代码执行（RCE），成功利用后能够将shellcode注入nginx工作进程。后续攻击活动包括：部署公开可用的隧道工具（EarthWorm、ReverseSocks5）、使用可能从防火墙获取的凭证枚举Active Directory，以及系统性清除日志和其他入侵证据。”

技术分析与影响范围

该漏洞是User-ID身份验证门户服务中的缓冲区溢出漏洞。当该门户暴露于互联网时，未认证攻击者可通过特制数据包，在PA系列和VM系列防火墙上以root权限执行任意代码。Palo Alto Networks强调，若按照最佳实践指南将User-ID身份验证门户的访问限制在可信内部IP地址范围内，可大幅降低风险。

受影响产品版本如下：

技术分析与影响范围

EarthWorm是一款用C语言编写的开源隧道工具，支持Windows、Linux、macOS和ARM/MIPS平台。该工具可作为SOCKS5代理和端口转发实用程序，使攻击者能够创建隐蔽通信通道、绕过网络限制并在受感染环境中横向移动。其功能包括正向和反向SOCKS5隧道、端口桥接、流量转发以及RDP和SSH等多协议跳转。该工具此前与Volt Typhoon和APT41等威胁组织有关联。

ReverseSocks5是另一款开源网络工具，通过从受感染系统向攻击者控制的服务器建立出站连接，绕过防火墙和NAT保护。连接后，它会建立SOCKS5代理隧道，允许远程访问内部网络。虽然管理员常将其用于合法的远程管理，但威胁行为者也滥用该工具进行隐蔽渗透和入侵后操作。

攻击特征与防御建议

Palo Alto Networks分析指出：“CL-STA-1132背后的攻击者依赖开源工具而非专有恶意软件，最大程度减少了基于签名的检测，实现了与环境的无缝集成。这种技术选择，加上数周内间歇性交互会话的严格操作节奏，使其行为始终低于大多数自动化警报系统的阈值。横向移动技术优先滥用身份信任而非传统的网络层渗透，有效减少了攻击痕迹。因此，此次攻击活动表明，操作克制——特别是使用非持续性访问窗口——是在边缘基础设施上保持长期驻留的主要因素。”

该漏洞目前仍未修复，预计从2026年5月13日开始发布补丁。主要影响使用User-ID身份验证门户的PA系列和VM系列防火墙。Palo Alto Networks强调，遵循最佳实践（如仅限可信内部网络访问）的企业面临的风险要低得多。

声明：除发布的文章无法追溯到作者并获得授权外，我们均会注明作者和文章来源。如涉及版权问题请及时联系我们，我们会在第一时间删改，谢谢！文章来源：FreeBuf

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：e安在线 e安在线 e安在线《国家级黑客利用Palo Alto零日漏洞长期潜伏，部署隧道工具窃取凭证》