Palo Alto Networks 發布緊急修補程式，應對企業 VPN 閘道漏洞遭主動利用

Palo Alto Networks 發布緊急修補程式，應對企業 VPN 閘道漏洞遭主動利用

如果您正在使用 Palo Alto Networks VPN，請立即停止閱讀並檢查您的日誌。該公司剛證實 CVE-2026-0257（一個嚴重的身分驗證繞過漏洞）已不再是理論上的威脅，目前正遭到駭客在野外主動利用。

這並非一般的例行更新。該漏洞影響 PAN-OS 和 Prisma Access 中的 GlobalProtect 入口網站與閘道設定。簡單來說，攻擊者無需有效的密碼，就能長驅直入企業內部網路。

當該漏洞於 2026 年 5 月 13 日首次出現時，其 CVSS 評分為 7.8。起初，這被視為「中等嚴重性」的困擾，但隨著主動利用的報告傳出，情況隨即惡化。現在，從聯邦機構到獨立安全研究人員，各方皆已發出警報。攻擊者已掌握偽造身分驗證 Cookie 的方法，能有效地冒充合法員工。一旦進入系統，他們便如同隱形人一般在網路中穿梭。

攻擊機制

他們是如何做到的？該漏洞存在於 GlobalProtect 閘道處理「身分驗證覆寫 (authentication override)」Cookie 的方式中。如果您啟用了這些 Cookie，且憑證設定以特定方式配置，系統基本上會忽略對工作階段是否合法的檢查。

這是一個經典的「門戶大開」場景。透過操縱這些工作階段權杖 (session tokens)，攻擊者能獲得與被冒充使用者完全相同的權限。如果他們劫持了高階管理員的工作階段，就等於掌握了整個網路的控制權。

時間線非常緊迫。Rapid7 的研究人員早在 2026 年 5 月 17 日就發現了在野外的攻擊嘗試。從初步公告到第一波實際攻擊之間的時間極短。對於許多 IT 團隊來說，「修補週期」現在變成了一場與時間的賽跑。

2026 年 5 月 29 日，美國網路安全與基礎設施安全局 (CISA) 將此漏洞列入其「已知被利用漏洞」(KEV) 目錄，情況進一步升級。當 CISA 採取此類行動時，這是一個巨大的警示訊號，告知所有聯邦機構及私營企業：威脅是真實、當前且危險的。

風險現實

如果您想知道自己是否身處險境，請檢查您的 GlobalProtect 設定。該漏洞專門針對使用「身分驗證覆寫」功能的環境。如果您的憑證或覆寫設定不符合供應商的安全要求，您就成了待宰羔羊。Palo Alto Networks 已發布 CVE-2026-0257 的官方安全公告，這是所有管理員必讀的內容。

別被「中等」的 CVSS 評分所誤導。由於此漏洞依賴偽造 Cookie，您標準的邊界防禦措施可能毫無察覺。如果攻擊者掌握了您的閘道設定細節，他們就已經成功了一半。唯一能徹底解決問題的方法就是安裝供應商提供的修補程式。這沒有捷徑。

您現在該做什麼？

業界共識很明確：將此視為消防演習。正如 The Hacker News 所指出的，攻擊者的進入門檻極低。對於任何希望在企業網路中建立安靜、持久立足點的人來說，這是一個極具價值的目標。

Rapid7 的威脅情報團隊 一直在追蹤這些嘗試，並指出它們顯然旨在繞過 VPN 層，以促進橫向移動和資料竊取。一旦他們進入內部，作為第一道防線的 VPN 反而成了負擔。

正如 The Register 正確指出的，此漏洞已從「密切關注」的公告升級為「全員戒備」的緊急事件。

以下是您的立即行動計畫：

• 審核您的設定： 檢查您的 GlobalProtect 入口網站和閘道設定。是否啟用了身分驗證覆寫 Cookie？如果是，請立即採取行動。
• 檢查版本： 將您目前的 PAN-OS 和 Prisma Access 版本與供應商的要求進行比對。
• 立即修補： 不要等待下一個維護視窗，現在就套用更新。
• 審查日誌： 仔細檢查您的 VPN 日誌，尋找任何異常情況。留意與典型使用者行為不符的工作階段活動，特別是來自意外地理位置或您無法識別的裝置的登入。
• 保持資訊同步： 將 Palo Alto Networks 官方安全入口網站 保持在瀏覽器分頁中。情況發展迅速，他們會隨著資訊更新提供指導。

這是一個動態的情況。由於攻擊模仿了合法使用者，您不能只尋找「惡意」流量，而必須尋找「異常」流量。是否有員工從新的城市登入？工作階段是否保持了異常長的時間？

此漏洞被納入 CISA KEV 目錄證實了這並非孤立事件，而是一種趨勢。Palo Alto Networks 正努力協助客戶加強防禦，但關鍵工作仍需由您完成。如果您尚未審核閘道設定，請務必今天就執行。領先於攻擊者的時間窗口正在縮小，而攻擊者並未放慢腳步。