Palo Alto Networks防火牆作業系統零時差漏洞傳出遭國家級駭客利用

Palo Alto Networks威脅情報團隊Unit 42指出，他們從4月9日首度看到利用CVE-2026-0300的活動，不過當時並未得逞，一週後駭客於防火牆發動遠端程式碼執行（RCE）攻擊，並注入Shellcode，得逞後，為了避免留下作案痕跡，這些駭客隨即清除事件記錄，其中包含系統核心當機訊息、Nginx當機相關事件，此外，他們也移除核心當機傾印檔案。事隔數日，駭客部署多個具有root權限的工具，並利用防火牆服務帳號對AD進行偵察。4月29日，這些駭客發動SAML洪水攻擊，並對另一臺防火牆發動攻擊，然後下載網路隧道工具EarthWorm與ReverseSocks5。

對於攻擊者的身分，Unit 42表示他們取名為CL-STA-1132列管，並推測這是背後有國家資助的駭客團體。