Palo Alto Networks 发布紧急补丁,修复企业 VPN 网关漏洞的在野利用
TL;DR
Palo Alto Networks 发布紧急补丁,修复企业 VPN 网关漏洞的在野利用
如果您正在运行 Palo Alto Networks 的 GlobalProtect VPN,请立即停下手中的工作并检查补丁状态。立刻。
Palo Alto Networks 已正式确认,攻击者正在利用一个关键的身份验证绕过漏洞,编号为 CVE-2026-0257。这并非理论上的“假设”场景,而是正在发生的现实。该漏洞允许远程、未经身份验证的攻击者伪造有效的会话 Cookie,从而通过 GlobalProtect 门户和网关获取企业内部网络的访问权限。
局势迅速恶化。2026 年 5 月 29 日,美国网络安全与基础设施安全局 (CISA) 将该漏洞列入其“已知被利用漏洞”(KEV) 目录,这明确表明威胁严重且影响广泛。安全研究人员和供应商的建议高度一致:立即打补丁。该漏洞利用方式极其简单,且自 5 月中旬以来已在野外被发现。
严重程度的迅速升级
当该漏洞于 2026 年 5 月 13 日首次出现时,其被标记为中等严重性。但这一评估并未持续太久。随着 Rapid7 等公司从 5 月 17 日起开始记录在野利用尝试,Palo Alto Networks 不得不将其评级提升为“关键”。
该漏洞专门针对启用了“身份验证覆盖”(authentication override) Cookie 并配合特定证书配置的防火墙。这是“简单即是安全之敌”的典型案例。由于该漏洞利用了设备自身公开的 TLS 证书来伪造身份验证 Cookie,攻击者无需高超技术即可绕过登录页面。一旦进入,VPN 网关就成了通往您最敏感内部环境的敞开大门。
问题范围
这不仅限于特定版本的 PAN-OS,而是所有使用 GlobalProtect VPN 配置的用户面临的广泛风险。我们看到多个威胁集群正在扫描未打补丁的设备,将其视为唾手可得的目标。虽然这些攻击者的长期目标尚在调查中,但眼前的现实是边界防御的全面失守。
以下是情况概述:
| 属性 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-0257 |
| 漏洞类型 | 身份验证绕过 |
| 受影响组件 | GlobalProtect 门户/网关 |
| 利用状态 | 在野利用(已确认) |
| CISA KEV 添加日期 | 2026 年 5 月 29 日 |
缓解措施:您需要做什么
不要等待几周后的维护窗口。请前往 Palo Alto Networks 安全公告 门户查找适用于您版本的特定补丁。
在操作的同时,请采取以下步骤加固您的边界:
- 审计配置: 检查您的 GlobalProtect 设置。是否启用了“身份验证覆盖”Cookie?如果不需要,请将其关闭。
- 打补丁,打补丁,打补丁: 从 Palo Alto Networks 支持 门户获取最新更新。
- 监控日志: 密切关注您的 VPN 网关日志。寻找不符合典型用户行为的身份验证模式,特别是那些似乎绕过了标准流程的会话请求。
- 保持知情: 订阅 Palo Alto Networks RSS 源。您需要实时接收这些警报。
如果您发现可疑情况,供应商设有 漏洞赏金计划 以进行负责任的披露。这是确保您的发现能传达给相关人员的最佳方式。
企业防御的新现实
CVE-2026-0257 严重程度的升级严峻地提醒我们,威胁行为者的行动速度有多快。他们不再需要复杂的多阶段攻击。由于该漏洞仅需一个 HTTP 请求即可触发,其准入门槛几乎为零。这使得您未打补丁的防火墙成为任何拥有脚本和互联网连接的人眼中极具吸引力的目标。
证据表明,这不仅仅是一个流氓攻击者所为;该漏洞已被纳入多个威胁组织的标准化工具包中。只要我们依赖 VPN 网关进行远程访问,身份验证过程的完整性就是阻挡攻击者与您的数据之间的唯一防线。
Palo Alto Networks 正在其 安全报告门户 上实时更新技术细节和缓解策略。请经常查看。局势瞬息万变,您必须确保防御态势基于最新情报,而非昨天的假设。
到目前为止,没有证据表明禁用了“身份验证覆盖”的系统存在风险。这是好消息。但如果您尚未审计您的 PAN-OS 环境,请务必今天就做。您可能存在遗留配置,这实际上是在邀请攻击者伪造 Cookie 并长驱直入。
随着 CISA 的警告和在野利用的确认,没有任何犹豫的余地。IT 和安全团队必须紧急行动。修补软件、收紧配置并密切关注日志。威胁环境不会等您跟上,在这种情况下,行动缓慢的代价太高了。保持警惕——随着本周的进展,这个故事可能会有更多更新。
