Palo Alto GlobalProtect 面臨威脅：身分驗證繞過漏洞被列入 CISA KEV 清單

Palo Alto GlobalProtect 面臨威脅：身分驗證繞過漏洞被列入 CISA KEV 清單

Palo Alto Networks 已證實最壞的情況：一個編號為 CVE-2026-0257 的高風險身分驗證繞過漏洞，目前正遭到駭客積極利用。這不僅僅是一個理論上的漏洞，它直接影響了 PAN-OS 的 GlobalProtect 入口網站與閘道元件。對於攻擊者而言，這意味著他們可以偽造驗證 Cookie，無需密碼即可直接繞過 VPN 的防護門檻。

情況迅速升級。在出現針對性攻擊的報告後，美國網路安全與基礎設施安全局（CISA）已將該漏洞列入其「已知被利用漏洞」（KEV）目錄。如果您正在使用受影響的防火牆配置，請務必提高警覺。未經授權存取網路的風險極高，修補漏洞已非選項，而是維持邊界安全的唯一途徑。

漏洞機制解析

攻擊者是如何做到的？這歸根結底是 PAN-OS 處理「身分驗證覆寫」（Authentication Override）Cookie 時存在根本性缺陷。當 GlobalProtect 入口網站或閘道啟用此特定功能時，系統便容易受到偽造輸入的攻擊。

根據 Palo Alto Networks 的官方安全公告，該漏洞正是因為啟用了覆寫機制而觸發。這是一個典型的信任錯誤資料案例。Rapid7 在 觀察到該漏洞的積極利用情況 後，識別出兩波明顯的攻擊：第一波發生於 2026 年 5 月 17 日，第二波則在 5 月 21 日更為猛烈。這些不僅僅是探測，而是成功建立未經授權 VPN 連線的攻擊行為。

業界已注意到此危險性。儘管初步影響評估較為保守，但 CVE-2026-0257 的更新版 CVSSv4 評分 目前為 7.8 分。這是一個高嚴重性評級，反映了威脅的現實：它易於利用、無需使用者互動，且目前正被現實中的攻擊者所使用。

您的環境是否暴露於風險中？

並非所有 PAN-OS 部署都面臨風險。此漏洞嚴格與「身分驗證覆寫」配置相關。如果您未啟用該功能，則暫無風險，但請務必親自確認設定。

若要檢查您的系統是否處於風險中，請進入 PAN-OS 管理介面並依照以下路徑操作：

• 導航路徑： Network > GlobalProtect > Gateways > Agent > Client Settings
• 目標設定： "Accept cookie for authentication override"

如果該選項已被勾選，則您處於易受攻擊狀態。Palo Alto 的 詳細威脅簡報 對於任何試圖理解 Unit 42 所追蹤之特定攻擊模式的安全團隊來說，都值得一讀。這讓人深刻體認到這些繞過漏洞被武器化的速度有多快。

修補與緩解措施

修復方法很直接，但會帶來一些不便。由於漏洞根源於防火牆處理加密 Cookie 的方式，您必須中斷舊的循環以啟動新的機制。

當您套用修補程式時，系統將開始使用更穩健、更安全的機制來產生 Cookie。直接的副作用是：所有現有的 GlobalProtect 使用者連線將被中斷，並被迫重新驗證。這確實會造成困擾，但卻是必要的。這是確保目前網路上任何偽造 Cookie 失效的唯一方法。

對於使用 Prisma Access 的用戶，您可以稍微放心。Palo Alto 正在其雲端託管基礎設施中處理這些繁重的工作。這些環境會根據標準維護排程自動更新，這意味著您無需採取任何行動。

保持警惕

該漏洞正被積極利用的事實，嚴正提醒我們邊緣設備是防禦的第一道防線，也往往是首要目標。由於此漏洞允許未經授權的存取，在您修補之前，攻擊者的機會之窗是完全敞開的。

安全團隊現在需要檢查 VPN 日誌。是否有異常的驗證模式？是否有在奇怪時間或從非預期地點建立的連線？如果您發現任何不符合常規的跡象，請立即進行調查。

隨著該漏洞正式列入 CISA KEV 目錄，壓力隨之而來。聯邦機構已開始進行修補，私人組織也應立即跟進。即使您不在受監管的行業，考慮到積極利用的情況與高嚴重性評級，也應將此列為優先處理事項。

轉換至更安全的 Cookie 產生方式是關鍵的一步，但這並非故事的終點。請密切關注您的 GlobalProtect 閘道日誌。即使在修補後，您仍需尋找是否有任何殘留跡象，顯示在您鎖門之前是否有人試圖闖入。在網路安全領域，主動出擊是保持領先的唯一方法。請保持系統更新、確保日誌整潔，且不要因為尚未看到警報就假設自己是安全的。