Palo Alto Networks 發布緊急安全修補程式,應對身分驗證繞過漏洞的活躍攻擊
TL;DR
Palo Alto Networks 發布緊急安全修補程式,應對身分驗證繞過漏洞的活躍攻擊
圖片來源:The Hacker News
如果您正在使用 Palo Alto Networks 的基礎設施,請暫停手邊工作並檢查您的修補程式日誌。該公司剛剛針對 PAN-OS 和 Prisma Access 發布了關鍵安全更新,這不僅僅是例行維護,因為我們正面臨活躍的野外攻擊(in-the-wild exploitation)。
目前的情況主要集中在兩個棘手的問題:一個是允許攻擊者輕易進入 VPN 的身分驗證繞過漏洞(CVE-2026-0257),另一個是駭客正將其與其他漏洞串聯以獲取系統存取權的管理介面漏洞(CVE-2025-0108)。Palo Alto Networks 已證實,儘管目前的攻擊範圍有限,但攻擊確實正在發生。未修補的設備基本上就是待宰的羔羊。
VPN 問題:CVE-2026-0257
首先談談最嚴重的問題。CVE-2026-0257 對於任何依賴 GlobalProtect 進行遠端存取的企業來說,是一個 CVSS 評分達 7.8 的噩夢。從本質上講,此漏洞允許未經身分驗證的攻擊者繞過安全檢查並啟動 VPN 連線。這在數位層面上,就像是因為鎖裝反了而讓某人直接走進您的前門一樣。
該漏洞特別針對 GlobalProtect 入口網站或閘道處於啟用狀態,且在憑證設定與身分驗證覆寫 Cookie 方面滿足特定條件的配置。據 The Hacker News 報導,Palo Alto Networks 於 2026 年 5 月 13 日首次標記此問題。到了 5 月 29 日,已確認出現首批攻擊嘗試。如果您尚未修補此漏洞,您的防禦進度已嚴重落後。
管理介面風險:CVE-2025-0108
雖然 VPN 繞過漏洞可能佔據了新聞頭條,但請勿忽視 CVE-2025-0108。這是一個影響 PAN-OS 管理網頁介面的中等嚴重性問題(CVSS-BT 5.1),但別被「中等」評級給騙了。
該漏洞允許對管理介面具有網路存取權的未經身分驗證攻擊者觸發特定的 PHP 指令碼。此處真正的危險不在於漏洞本身,而在於攻擊者如何利用它。我們已發現威脅行為者將此漏洞與兩個舊漏洞(CVE-2024-9474 和 CVE-2025-0111)串聯使用,以擴大其影響力。這是一個典型的「積少成多」場景,多個較小的漏洞加總起來,最終導致整個系統被入侵。
漏洞影響總結
| 漏洞 ID | 主要影響 | CVSS 評分 |
|---|---|---|
| CVE-2026-0257 | 未經授權的 VPN 存取 | 7.8 |
| CVE-2025-0108 | 管理介面繞過 | 5.1 |
如何加固您的環境
修補是不可妥協的第一步。如果您沒有使用最新版本的 PAN-OS 或 Prisma Access,就等於門戶大開。但由於這些漏洞正被積極利用,您需要做的不僅僅是點擊「更新」按鈕,還需要加固您的配置。
- 立即更新: 將您的執行個體更新至供應商提供的最新版本。對於底層程式碼缺陷,目前沒有其他替代方案。
- 限制管理存取: 對於 CVE-2025-0108,最好的防禦措施是禁止從公用網際網路存取管理介面。僅限制受信任的內部 IP 位址存取。如果您需要複習如何執行此操作,請參閱關於保護管理存取的官方指南。
- 審核 GlobalProtect: 仔細檢查您的入口網站和閘道設定。確保您的身分驗證覆寫 Cookie 遵循安全最佳實踐,並且您的憑證配置不會造成意外的繞過途徑。
- 監控日誌: 您的安全團隊應監控管理介面上是否有異常的 PHP 指令碼呼叫。如果您的環境中仍殘留 CVE-2024-9474 或 CVE-2025-0111 等舊漏洞,您將成為這些串聯攻擊的首要目標。
CVSS v4.0 框架 強調了此問題的嚴重性。當確認存在活躍攻擊時,時間就是一切。未經身分驗證的存取與在管理介面上執行指令碼的能力相結合,是導致基礎設施全面崩潰的導火線。
請密切關注 Palo Alto Networks 安全入口網站。情況隨時在變,隨著對這些攻擊活動調查的深入,未來可能會出現更多指導方針。不要等到收到入侵通知才採取行動,現在就加固您的邊界。
