開場:今日 IT Security 界好唔得閒
今日同大家跟進下 IT 安全界最新狀況。呢幾日連續爆出幾單重大漏洞同攻擊事件,影響範圍由企業 firewall、全球最常用嘅 web server,以至 Windows 內建功能都中招。IT 管理員真係要即刻 check 下自己有冇受影響。
以下揀咗 3 條最值得關注嘅消息詳細分析。
🔥 Palo Alto PAN-OS 零日漏洞(CVE-2026-0300)— 9.3 分,正被主動攻擊!
發生咩事:Palo Alto Networks 喺 2026 年 5 月 6 日正式發出安全公告,確認 PAN-OS 嘅 User-ID Authentication Portal(即係 Captive Portal)存在一個 critical buffer overflow 漏洞,編號 CVE-2026-0300,CVSS 評分高達 9.3 分(如 Portal 對外開放)。
漏洞細節:未經身份驗證嘅攻擊者可以透過發送特製網絡封包,喺 PA-Series 同 VM-Series firewall 上面以 root 權限執行任意程式碼(Remote Code Execution)。目前呢個漏洞已經被證實喺野外受到「有限度嘅主動攻擊」。
受影響版本:
- PAN-OS 12.1:< 12.1.4-h5, < 12.1.7
- PAN-OS 11.2:< 11.2.4-h17, < 11.2.7-h13, < 11.2.10-h6, < 11.2.12
- PAN-OS 11.1:< 11.1.4-h33, < 11.1.6-h32, < 11.1.7-h6, < 11.1.10-h25, < 11.1.13-h5, < 11.1.15
- PAN-OS 10.2:< 10.2.7-h34, < 10.2.10-h36, < 10.2.13-h21, < 10.2.16-h7, < 10.2.18-h6
暫時解決方案(未有正式 patch):Palo Alto Networks 預計 5 月 13 日先會推出修補程式。在此之前,強烈建議採取以下 mitigation:
- 限制 User-ID Authentication Portal 只能由信任嘅內部 IP 存取(咁樣 CVSS 會降到 8.7,但依然高危)
- 如果唔需要用 Authentication Portal,直接 disable 佢
- 檢查 firewall log 有冇可疑嘅 Portal 存取記錄
影響分析:Palo Alto 嘅 firewall 喺企業市場佔有率極高,特別係金融、政府、大型企業。如果呢個漏洞被大規模 weaponize,後果可以好嚴重——攻擊者可以直接喺 firewall 層面取得 root access,基本上成個網絡嘅防線就崩潰咗。
來源:Palo Alto Networks 官方安全公告、BleepingComputer、The Hacker News
💀 Apache HTTP/2 雙重釋放漏洞(CVE-2026-23918)— 8.8 分,DoS + RCE
發生咩事:Apache Software Foundation 喺 5 月 5 日發布咗 Apache HTTP Server 嘅安全更新,修補咗一個極之嚴重嘅漏洞 CVE-2026-23918(CVSS 8.8)。漏洞位於 mod_http2 模組,係一個 double-free(雙重釋放記憶體)問題。
技術細節:由 Striga.ai 共同創辦人 Bartlomiej Dmitruk 同 ISEC.pl 研究員 Stanislaw Strzalkowski 發現。當客戶端發送一個 HTTP/2 HEADERS frame,然後立即喺同一個 stream 上發送 RST_STREAM 帶 non-zero error code,喺 multiplexer 仲未 register 個 stream 之前,兩個 nghttp2 callback(on_frame_recv_cb 同 on_stream_close_cb)會先後觸發,結果係同一個 h2_stream pointer 被 push 入 purge array 兩次,導致 double-free。
雙重風險:
- DoS(拒絕服務):極易觸發,一個 TCP connection、兩個 frame、無需認證、唔需要特定 URL,worker process 即刻 crash。Apache 雖然會自動 respawn,但攻擊者可以持續發送令服務不斷中斷
- RCE(遠端代碼執行):研究人員已經喺 x86_64 平台上建立咗 working proof of concept。要 exploit RCE 需要 APR(Apache Portable Runtime)使用 mmap allocator,而呢個係 Debian 系系統同官方 httpd Docker image 嘅預設配置
受影響版本同修復:
- 受影響:Apache HTTP Server 2.4.66
- 修復版本:2.4.67
影響分析:Apache HTTP Server 係全球最多人用嘅 web server,市佔率超過 30%。任何行緊 mod_http2 嘅 Apache server(即係絕大部分提供 HTTPS 服務嘅網站)理論上都受影響。特別係 Debian/Ubuntu 系嘅 server 同使用官方 Docker image 嘅 container 環境,仲要面對 RCE 風險。
來源:Apache Software Foundation、The Hacker News
🕵️ CloudZ RAT 利用 Windows Phone Link 偷 Credential 同 OTP
發生咩事:Cisco Talos 研究人員喺 5 月 5 日公開咗一個新嘅攻擊活動詳情。攻擊者使用一個名為 CloudZ RAT 嘅遠端存取木馬,配合一個新發現嘅 plugin Pheno,透過劫持 Windows 內建嘅 Phone Link 應用程式嚟竊取憑證同一次性密碼(OTP)。
攻擊手法分析:
- 攻擊者經由未知 initial access 方法取得 foothold,投放偽裝成 ConnectWise ScreenConnect 嘅 dropper
- Dropper 內嵌 PowerShell script 建立 scheduled task 做 persistence
- 透過 .NET loader 進行環境檢查(逃避沙盒分析),然後部署 CloudZ RAT
- Pheno plugin 專門監視 Phone Link process,存取 Phone Link 用嚟儲存同步手機資料嘅 SQLite database 檔案
- 關鍵位:攻擊者唔需要喺手機上面裝任何 malware!佢只係利用 PC 同手機之間嘅合法同步功能,就可以讀取 SMS、OTP 等敏感資料
呢個攻擊嘅聰明之處:傳統要 bypass 2FA 通常要喺手機裝惡意 app、做 SIM swapping 或者 phishing。但呢個攻擊完全繞過咗手機嗰層——只要電腦中咗招,而電腦同手機用 Phone Link 連接住,所有同步過嚟嘅資料(包括 SMS OTP)就赤裸裸咁曝露咗。
受影響範圍:所有使用 Windows 10/11 Phone Link 功能連接 Android 或 iPhone 嘅用戶,理論上都係潛在目標。攻擊活動最早可追溯到 2026 年 1 月。目前未有歸因到任何已知威脅組織。
影響分析:呢單嘢最令人擔心嘅係佢揭示咗一個根本性嘅安全問題——cross-device sync 功能雖然方便,但同時創造咗一條原本唔存在嘅攻擊路徑。Phone Link 令 PC 變成手機資料嘅一個 mirror,而你嘅 PC security posture 可能遠比手機弱(尤其係個人電腦)。對於企業環境入面容許 BYOD 或者用 Phone Link 嘅員工,呢個係一個好大嘅提醒。
來源:Cisco Talos、The Hacker News
總結:今日要即刻做嘅事
如果你係 IT admin,以下係今日嘅 action items:
- Check 你啲 Palo Alto firewall——PAN-OS version 係咪受影響?Authentication Portal 有冇對外?有嘅話立即 restrict 或 disable
- Check Apache server——係咪行緊 2.4.66 + mod_http2?係就 plan upgrade 去 2.4.67
- Review Phone Link policy——企業環境入面係咪需要容許 Phone Link?如果需要,確保 endpoint protection 到位
- 留意 5 月 13 日——Palo Alto 出 patch 嗰日要第一時間部署
記住:安全係一場冇終點嘅馬拉松,而唔係衝刺。Stay safe!🛡️
