Palo Alto GlobalProtect 遭遇攻击：身份验证绕过漏洞被列入 CISA KEV 列表

Palo Alto GlobalProtect 遭遇攻击：身份验证绕过漏洞被列入 CISA KEV 列表

Palo Alto Networks 证实了一个糟糕的消息：一个被追踪为 CVE-2026-0257 的高危身份验证绕过漏洞正遭到在野积极利用。这个漏洞并非理论上的缺陷，而是 PAN-OS 的 GlobalProtect 门户和网关组件中存在的一个直接漏洞。对于攻击者而言，逻辑很简单——他们可以伪造身份验证 Cookie，无需密码即可直接绕过 VPN 的大门。

局势迅速升级。在出现针对性攻击的报告后，CISA 已将该漏洞列入其“已知被利用漏洞”（KEV）目录。如果您正在运行受影响的防火墙配置，请务必引起重视。未经授权的网络访问风险极高，打补丁已不再是可选项，而是保持边界安全的唯一途径。

漏洞机制

攻击者是如何做到的？这归结于 PAN-OS 处理“身份验证覆盖”（Authentication Override）Cookie 方式上的根本性弱点。当在 GlobalProtect 门户或网关上启用此特定功能时，系统就会变得容易受到伪造输入的影响。

根据 Palo Alto Networks 的官方安全公告，该漏洞正是在启用该覆盖机制时被触发的。这是一个典型的信任错误数据的案例。Rapid7 在 观察到该漏洞的积极利用 后，确定了两次明显的攻击浪潮：一次发生在 2026 年 5 月 17 日，第二次更具侵略性的攻击发生在 5 月 21 日。这些不仅仅是探测，而是成功建立未经授权 VPN 会话的尝试。

业界已经注意到了这一危险。虽然最初的影响评估较为保守，但 CVE-2026-0257 的更新版 CVSSv4 评分 目前为 7.8。这是一个高危评级，反映了威胁的现实：它易于利用，无需用户交互，且目前正被现实世界的攻击者所利用。

您的环境是否暴露？

并非所有的 PAN-OS 部署都面临风险。此漏洞严格绑定于“身份验证覆盖”（Authentication Override）配置。如果您没有启用该功能，则处于安全状态——但请务必自行核实。

要查看您是否处于风险之中，请进入 PAN-OS 管理界面并按照以下路径操作：

• 导航路径： Network > GlobalProtect > Gateways > Agent > Client Settings
• 目标设置： "Accept cookie for authentication override"

如果该选项被勾选，则您处于易受攻击状态。对于任何试图理解 Unit 42 所追踪的特定攻击模式的安全团队来说，Palo Alto 的 详细威胁简报 非常值得一读。它深刻揭示了这些绕过手段被武器化的速度有多快。

补丁与缓解措施

修复方法很简单，但会带来一些不便。由于该漏洞源于防火墙处理加密 Cookie 的方式，您必须打破旧的循环以开启新的循环。

应用补丁后，系统将开始使用更稳健、更安全的方法生成 Cookie。直接的副作用是：每个活跃的 GlobalProtect 用户都将被踢出并被迫重新进行身份验证。这确实很麻烦，但却是必要的。这是确保当前在野外流传的任何伪造 Cookie 失效的唯一方法。

对于使用 Prisma Access 的用户，您可以稍微放心一些。Palo Alto 正在其云管理基础设施中处理这些繁重的工作。这些环境将根据标准维护计划自动更新，这意味着您无需进行任何操作。

保持警惕

该漏洞正被积极利用的事实是一个严峻的提醒：边缘设备是第一道防线，也往往是首要攻击目标。由于此漏洞允许未经身份验证的访问，在您修复之前，攻击者的机会窗口是完全敞开的。

安全团队现在需要检查他们的 VPN 日志。是否存在异常的身份验证模式？是否有在奇怪时间或从意外位置建立的会话？如果您发现不符合模式的情况，请立即进行调查。

随着该漏洞正式列入 CISA KEV 目录，压力随之而来。联邦机构已经在抓紧时间打补丁，私营组织也应立即跟进。即使您不在受监管的行业，积极利用和高危评级的结合也足以将其列为优先事项。

过渡到更安全的 Cookie 生成方法是关键的一步，但这并不是故事的终点。请密切关注您的 GlobalProtect 网关日志。即使在打完补丁后，您也需要寻找任何残留迹象，以防有人在您锁定大门之前试图溜进来。在网络安全领域，主动出击是保持领先的唯一途径。保持系统更新，保持日志整洁，不要因为还没看到警报就认为自己是安全的。