← 返回博客
安全简报5 分钟阅读2026-05-07

安全简报,2026年5月7日:PAN-OS 零日、vm2 沙箱逃逸、MuddyWater 伪装行动与微软 AiTM 钓鱼

今天早上的模式很一致:攻击者正在滥用系统外层的“可信层”——防火墙门户、沙箱封装、协作流程,以及用户以为熟悉的登录页面。


一句话:立即限制 PAN-OS Captive Portal 暴露面,凡是运行不受信任代码的地方立刻修补 vm2,把基于 Teams 的远程访问与勒索事件按间谍活动重新审视,并将云端合规主题钓鱼视为令牌窃取,而不只是密码窃取。


1. PAN-OS Captive Portal 是今天最紧急的互联网边界风险

Palo Alto 表示,CVE-2026-0300 是 User-ID Authentication Portal 中的严重缓冲区溢出漏洞,可让未认证攻击者在暴露的 PA-Series 和 VM-Series 防火墙上以 root 权限执行代码。有限利用已经发生;只要该门户可被不可信 IP 访问,风险就是当前态。


2. vm2 再次证明“被沙箱包裹的”JavaScript 本身不是安全边界

vm2 漏洞 CVE-2026-26956 允许攻击者逃逸沙箱并在宿主机上执行代码,公开 PoC 已经出现。确认影响集中在特定 Node.js 25 环境,但更大的教训是:如果你的产品运行用户提供的 JavaScript,那么封装层本身就在爆炸半径内。


3. MuddyWater 正在用勒索软件戏码掩盖间谍行动

与 Rapid7 相关的报告指出,MuddyWater 使用 Microsoft Teams 社工、屏幕共享、凭证窃取、AnyDesk、DWAgent 和勒索邮件,但从未真正部署文件加密。Chaos 只是伪装;真正的目标是访问、持久化和数据窃取。


4. 微软 conduct-review 钓鱼活动的核心是实时窃取令牌

微软观察到约 13,000 家组织遭遇超过 35,000 次尝试,攻击使用伪造内部通知、PDF 诱饵、Cloudflare CAPTCHA,以及代理微软登录的 adversary-in-the-middle 页面。关键在于,AiTM 钓鱼绕过弱 MFA 的方式不是偷密码,而是截获会话令牌。


安全团队午饭前该做什么

  1. 优先关闭或限制暴露的 PAN-OS Captive Portal 面。
  2. 修补 vm2,并审查所有客户或员工可在共享主机上运行 JavaScript 的路径。
  3. 把 Teams 社工纳入与邮件钓鱼和语音钓鱼同一级别的响应手册。
  4. 更新钓鱼响应流程,优先做令牌撤销和会话审查,而不只是重置密码。

来源


结论:今天的模式是“信任反转”。当团队把外层包装当成真正控制时,暴露的门户、沙箱运行时、协作工具和熟悉的登录页面都会变成攻击面。

审计攻击者真正利用的信任边界

KENSAI 帮助团队发现暴露门户、脆弱沙箱、高风险远程访问路径,以及在真实钓鱼压力下会失效的身份流。

开始免费扫描 →

保持锋利。

🗡️ KENSAI Security Team