Palo Alto Networks 发布紧急补丁，应对企业 VPN 网关漏洞的活跃利用

Palo Alto Networks 发布紧急补丁，应对企业 VPN 网关漏洞的活跃利用

如果您正在运行 Palo Alto Networks VPN，请立即停止阅读并检查您的日志。该公司刚刚确认，CVE-2026-0257（一个严重的身份验证绕过漏洞）已不再是理论上的威胁，目前正处于活跃利用状态。

这不仅仅是一次常规更新。该漏洞影响了 PAN-OS 和 Prisma Access 中的 GlobalProtect 门户和网关配置。简单来说，攻击者正在寻找无需有效密码即可潜入企业内部网络的方法。

当该漏洞于 2026 年 5 月 13 日首次出现时，其 CVSS 评分为 7.8。起初，它被认为是一个“中等严重性”的麻烦。但随着活跃利用报告的出现，情况发生了变化。现在，从联邦机构到独立安全研究人员，各方都在敲响警钟。攻击者已经掌握了伪造身份验证 Cookie 的方法，从而有效地冒充合法员工。一旦进入，他们就如同网络中的幽灵。

漏洞攻击机制

他们是如何做到的？该漏洞存在于 GlobalProtect 网关处理身份验证覆盖（authentication override）Cookie 的方式中。如果您启用了这些 Cookie，并且证书配置以特定方式设置，系统基本上会忽略对会话合法性的检查。

这是一个典型的“前门未锁”场景。通过操纵这些会话令牌，攻击者可以获得与被冒充用户完全相同的权限。如果他们劫持了高级管理员的会话，就等于拿到了通往核心系统的钥匙。

时间线非常紧迫。Rapid7 的研究人员早在 2026 年 5 月 17 日就发现了野外的利用尝试。从最初的公告到第一波现实攻击之间的时间窗口极短。对于许多 IT 团队来说，“补丁周期”现在变成了一场与时间的赛跑。

2026 年 5 月 29 日，随着美国网络安全与基础设施安全局 (CISA) 将该漏洞列入其“已知被利用漏洞”(KEV) 目录，局势进一步升级。当 CISA 采取此类行动时，这向所有联邦机构和私营部门发出了明确信号：威胁是真实、当前且危险的。

风险现实

如果您想知道自己是否处于危险之中，请检查您的 GlobalProtect 设置。该漏洞专门针对使用身份验证覆盖功能的环境。如果您的证书或覆盖设置不符合供应商的安全要求，您就成了待宰的羔羊。Palo Alto Networks 已经发布了 CVE-2026-0257 的官方安全公告，这是所有管理员的必读内容。

不要被“中等”的 CVSS 评分所迷惑。由于此漏洞依赖于伪造的 Cookie，您的标准边界防御可能根本无法察觉。如果攻击者掌握了您的网关配置详情，他们就已经成功了一半。关闭此漏洞的唯一真正方法是应用供应商提供的补丁。没有捷径可走。

您现在应该做什么？

行业共识很明确：将其视为紧急演习。正如 The Hacker News 所指出的，攻击者的准入门槛非常低。对于任何希望在企业网络中建立隐蔽、持久立足点的人来说，这是一个极具价值的目标。

Rapid7 的威胁情报团队 一直在跟踪这些尝试，并指出它们显然旨在绕过 VPN 层，以促进横向移动和数据窃取。一旦他们进入内部，作为第一道防线的 VPN 反而成了累赘。

正如 The Register 正确指出的那样，该漏洞已从“保持关注”的公告升级为“全员戒备”的紧急事件。

您的立即行动计划：

• 审计配置： 检查您的 GlobalProtect 门户和网关设置。是否启用了身份验证覆盖 Cookie？如果是，请立即采取行动。
• 版本检查： 将您当前的 PAN-OS 和 Prisma Access 版本与供应商的要求进行对比。
• 立即打补丁： 不要等待下一个维护窗口。立即应用更新。
• 日志审查： 仔细检查您的 VPN 日志，寻找任何异常情况。查找与典型用户行为不符的会话活动，特别是来自意外地理位置或您不识别的设备的登录。
• 保持关注： 在浏览器中保持 Palo Alto Networks 官方安全门户 的开启状态。情况发展迅速，他们会随着信息的更新而更新指导建议。

这是一个动态的情况。由于漏洞利用模拟了合法用户，您不能仅仅寻找“恶意”流量，而必须寻找“异常”流量。员工是否从新城市登录？会话是否保持了异常长的时间？

该漏洞被列入 CISA KEV 目录证实了这不仅仅是少数孤立事件，而是一种趋势。Palo Alto Networks 正在努力帮助客户锁定系统，但繁重的工作必须由您自己完成。如果您还没有审计网关配置，请务必今天完成。领先于此漏洞的时间窗口正在关闭，而攻击者并未放慢脚步。