Palo Alto PAN-OS CVE-2026-0300 通过 Captive Portal 遭攻击

执行摘要

Palo Alto Networks 于 2026 年 5 月 5 日披露 CVE-2026-0300，这是 PAN-OS 中 User-ID Authentication Portal（也称 Captive Portal）的关键缓冲区溢出漏洞。该公司表示，未经认证的攻击者可发送特制数据包，在受影响的 PA-Series 和 VM-Series 防火墙上以 root 权限执行任意代码。

这不是纯理论风险。Palo Alto Networks 将该漏洞的利用成熟度标记为 “ATTACKED”，并称已经观察到针对暴露在不可信 IP 地址或公共互联网的 User-ID Authentication Portal 的有限利用。该公告给出的 CVSS 4.0 分数为 9.3，建议紧急程度为最高。

补丁时间是最关键的运营细节。Palo Alto 表示该问题将在后续 PAN-OS 版本中修复，首批列出的修复版本计划于 2026 年 5 月 13 日发布，其他分支计划于 2026 年 5 月 28 日发布。在相应修复版本可用并完成安装之前，实际缓解措施是：如果业务不需要 User-ID Authentication Portal，应禁用该功能；如果必须保留，应仅允许可信内部区域访问。

Prisma Access、Cloud NGFW 和 Panorama 设备不受该漏洞影响。暴露范围限于已配置使用 User-ID Authentication Portal 的 PA-Series 和 VM-Series 防火墙。

技术分析

CVE-2026-0300 是越界写入问题，Palo Alto Networks 将其映射到 CWE-787。由于易受攻击的服务可通过网络访问，且利用不需要认证或用户交互，面向互联网开放的门户是风险最高的部署形态。

受影响组件是 User-ID Authentication Portal 服务。在常见部署中，当防火墙需要显式认证来识别用户并执行策略时，该门户会参与用户识别流程。Palo Alto Networks 表示，只有启用该门户时才适用此问题。管理员可在 Device > User Identification > Authentication Portal Settings > Enable Authentication Portal 中确认配置。

受影响的 PAN-OS 版本线包括 12.1、11.2、11.1 和 10.2。Palo Alto 公告列出多个受影响维护分支，并计划在 2026 年 5 月 13 日和 5 月 28 日分批发布修复版本。截至 2026 年 5 月 6 日，运营上的关键点是：供应商表格列出的是即将发布的修复版本，而不是所有受支持分支都已有一个可立即升级的统一版本。如果该门户可从不可信网络访问，团队不应被动等待补丁窗口。

受影响版本范围包括：

• PAN-OS 12.1：早于 12.1.4-h5 以及早于 12.1.7 的版本。
• PAN-OS 11.2：早于 11.2.4-h17、11.2.7-h13、11.2.10-h6 和 11.2.12 的版本。
• PAN-OS 11.1：早于 11.1.4-h33、11.1.6-h32、11.1.7-h6、11.1.10-h25、11.1.13-h5 和 11.1.15 的版本。
• PAN-OS 10.2：早于 10.2.7-h34、10.2.10-h36、10.2.13-h21、10.2.16-h7 和 10.2.18-h6 的版本。

Palo Alto Networks 还表示，将在 2026 年 5 月 5 日前向运行 PAN-OS 11.1 及更高版本的客户提供 Threat Prevention 签名。该控制应被视为纵深防御，不能替代取消公网暴露或在修复版本可用后升级 PAN-OS。

缓解措施与建议

组织应首先确认 PA-Series 或 VM-Series 防火墙上是否启用了 User-ID Authentication Portal。如果已启用，应进一步确认该门户是否可从公共互联网、合作伙伴网络、访客网络或其他不可信区域访问。

优先行动：

• 如果业务不需要该功能，禁用 User-ID Authentication Portal。这是在修复版 PAN-OS 仍未发布时最直接的缓解措施。
• 如果必须保留该功能，仅允许可信内部 IP 地址和可信区域访问 User-ID Authentication Portal。
• 检查防火墙和上游日志，查找来自不可信来源的异常门户访问。
• 在 PAN-OS 11.1 及更高版本上部署可用的 Palo Alto Threat Prevention 签名。
• 持续跟踪供应商公告中计划于 2026 年 5 月发布的修复版本，并在对应分支发布后安排紧急维护。

鉴于已经观察到有限利用，任何暴露在互联网的门户都应被视为高风险。安全团队应排查异常管理活动、新增或变更账户、意外配置变化，以及相邻系统上的后续利用迹象。