Palo Alto Networks 发布紧急安全补丁,应对身份验证绕过漏洞的活跃利用
TL;DR
Palo Alto Networks 发布紧急安全补丁,应对身份验证绕过漏洞的活跃利用
图片来源:The Hacker News
如果您正在运行 Palo Alto Networks 基础设施,请立即停下手中的工作并检查您的补丁日志。该公司刚刚发布了针对 PAN-OS 和 Prisma Access 的关键安全更新,这一次不仅仅是常规维护。我们正面临活跃的在野利用。
目前的情况主要集中在两个棘手问题上:一个严重的身份验证绕过漏洞(CVE-2026-0257),允许攻击者轻易进入您的 VPN;以及一个管理接口漏洞(CVE-2025-0108),黑客正将其与其他漏洞串联使用以获取立足点。Palo Alto Networks 已确认,尽管目前的利用范围有限,但攻击确实正在发生。未打补丁的设备基本上就是待宰的羔羊。
VPN 问题:CVE-2026-0257
首先谈谈最严重的问题。CVE-2026-0257 对于任何依赖 GlobalProtect 进行远程访问的企业来说,都是一个 CVSS 评分为 7.8 的噩梦。从本质上讲,该漏洞允许未经身份验证的攻击者绕过安全检查并启动 VPN 会话。这在数字层面等同于因为锁装反了,导致任何人都能直接走进您的前门。
该漏洞专门针对 GlobalProtect 门户或网关处于活动状态,且在证书设置和身份验证覆盖 Cookie 方面满足特定条件的配置。据 The Hacker News 报道,Palo Alto Networks 于 2026 年 5 月 13 日首次标记了此问题。到 5 月 29 日,已确认出现首批在野利用尝试。如果您尚未修补此漏洞,那么您已经严重落后了。
管理接口风险:CVE-2025-0108
虽然 VPN 绕过漏洞可能占据了头条,但千万不要忽视 CVE-2025-0108。这是一个影响 PAN-OS 管理 Web 接口的中等严重性问题(CVSS-BT 5.1),但不要被“中等”评级所迷惑。
该漏洞允许对管理接口具有网络访问权限的未经身份验证的攻击者触发特定的 PHP 脚本。此处的真正危险不在于漏洞本身,而在于攻击者如何利用它。我们已经看到证据表明,威胁行为者正在将此漏洞与两个旧漏洞(CVE-2024-9474 和 CVE-2025-0111)串联使用,以扩大其影响。这是一种典型的“积少成多”场景,多个较小的漏洞加在一起会导致整个系统被攻破。
漏洞影响摘要
| 漏洞 ID | 主要影响 | CVSS 评分 |
|---|---|---|
| CVE-2026-0257 | 未经授权的 VPN 访问 | 7.8 |
| CVE-2025-0108 | 管理接口绕过 | 5.1 |
如何加固您的环境
打补丁是不可妥协的第一步。如果您没有使用最新版本的 PAN-OS 或 Prisma Access,您就等于敞开了大门。但由于这些漏洞正被积极利用,您需要做的不仅仅是点击“更新”按钮。您需要加固您的配置。
- 立即更新: 将您的实例升级到供应商提供的最新版本。对于底层的代码缺陷,没有其他变通方法。
- 限制管理访问: 对于 CVE-2025-0108,最好的防御措施是禁止从公共互联网访问管理接口。仅将访问权限限制为受信任的内部 IP 地址。如果您需要了解如何执行此操作,请查看关于保护管理访问的官方指南。
- 审计 GlobalProtect: 仔细检查您的门户和网关设置。确保您的身份验证覆盖 Cookie 遵循安全最佳实践,并且您的证书配置不会造成意外的绕过向量。
- 监控日志: 您的安全团队应排查管理接口上异常的 PHP 脚本调用。如果您的环境中仍然存在 CVE-2024-9474 或 CVE-2025-0111 等遗留漏洞,那么您就是这些串联攻击的首要目标。
CVSS v4.0 框架 强调了此问题的严重性。当确认存在活跃利用时,时间就是生命。未经身份验证的访问与在管理接口上执行脚本的能力相结合,是导致整个基础设施崩溃的导火索。
请密切关注 Palo Alto Networks 安全门户。情况瞬息万变,随着对这些攻击活动的调查深入,可能会出现更多指导意见。不要等到收到违规通知才采取行动——现在就加固您的边界。
