Palo Alto Networks 發布緊急修補程式,應對企業 VPN 閘道漏洞的活躍攻擊
TL;DR
Palo Alto Networks 發布緊急修補程式,應對企業 VPN 閘道漏洞的活躍攻擊
如果您正在使用 Palo Alto Networks 的 GlobalProtect VPN,請立刻停下手邊的工作,檢查您的修補程式狀態。現在就檢查。
Palo Alto Networks 已正式確認,攻擊者正積極利用一個編號為 CVE-2026-0257 的嚴重身分驗證繞過漏洞。這不是理論上的「假設」情境,而是正在發生的現實。該漏洞有效地允許遠端、未經身分驗證的攻擊者偽造有效的連線 Cookie,透過 GlobalProtect 入口網站和閘道取得您企業內部網路的存取權限。
情況迅速惡化。2026 年 5 月 29 日,美國網路安全與基礎設施安全局 (CISA) 將此漏洞列入其「已知被利用漏洞」(KEV) 目錄中,這清楚表明該威脅既嚴重又廣泛。安全研究人員與廠商的建議一致:立即修補。該漏洞的利用方式極其簡單,且自 5 月中旬以來已在野外被發現。
迅速升級的嚴重性
當此漏洞於 2026 年 5 月 13 日首次出現時,它被標記為中等嚴重性。但該評估並未持續太久。一旦像 Rapid7 這樣的公司開始記錄自 5 月 17 日起出現的活躍攻擊嘗試,Palo Alto Networks 就別無選擇,只能將其評級提升為嚴重。
該錯誤特別針對啟用了「身分驗證覆寫」(authentication override) Cookie 以及特定憑證設定的防火牆。這是「簡單即是安全之敵」的經典案例。由於該漏洞利用設備本身公開可用的 TLS 憑證來偽造驗證 Cookie,攻擊者無需高超技術即可繞過您的登入頁面。一旦進入,VPN 閘道就成了通往您最敏感內部環境的門戶,方便攻擊者進行橫向移動。
問題範圍
這不僅限於特定版本的 PAN-OS,對於任何使用 GlobalProtect VPN 設定的用戶來說,這都是廣泛的風險。我們看到多個威脅群組正在掃描未修補的設備,將其視為唾手可得的目標。雖然這些攻擊者的長期目標仍在調查中,但眼前的現實是邊界防禦的全面崩潰。
以下是情況分析:
| 屬性 | 詳細資訊 |
|---|---|
| CVE 編號 | CVE-2026-0257 |
| 漏洞類型 | 身分驗證繞過 |
| 受影響組件 | GlobalProtect 入口網站/閘道 |
| 利用狀態 | 活躍(已確認) |
| CISA KEV 加入日期 | 2026 年 5 月 29 日 |
緩解措施:您需要做什麼
不要等待幾週後的維護視窗。請前往 Palo Alto Networks 安全公告 入口網站,尋找適合您版本的特定修補程式。
在進行修補的同時,請採取以下步驟來加強您的邊界防禦:
- 稽核您的設定: 檢查您的 GlobalProtect 設定。是否啟用了「身分驗證覆寫」Cookie?如果不需要,請將其關閉。
- 修補、修補、再修補: 從 Palo Alto Networks 支援 入口網站獲取最新更新。
- 監控日誌: 密切關注您的 VPN 閘道日誌。尋找不符合典型使用者行為的驗證模式,特別是那些似乎繞過標準流程的連線請求。
- 保持資訊同步: 訂閱 Palo Alto Networks RSS 摘要。您需要即時接收這些警報。
如果您發現任何可疑情況,該廠商設有 漏洞懸賞計畫,鼓勵負責任的揭露。這是確保您的發現能傳達給正確人員的最佳方式。
企業防禦的新現實
CVE-2026-0257 嚴重性的提升,嚴峻地提醒了我們威脅行為者的行動速度有多快。他們不再需要複雜的多階段攻擊。由於此錯誤僅需單一 HTTP 請求即可觸發,進入門檻幾乎為零。這使得您未修補的防火牆成為任何擁有腳本和網路連線的人眼中極具吸引力的目標。
證據顯示,這不僅僅是一個流氓攻擊者的行為;該漏洞已被納入多個威脅群組的標準工具包中。只要我們依賴 VPN 閘道進行遠端存取,驗證過程的完整性就是阻擋攻擊者存取您資料的唯一防線。
Palo Alto Networks 在其 安全報告入口網站 上持續更新技術細節和緩解策略。請務必經常查看。情況瞬息萬變,您必須確保您的防禦態勢是基於最新情報,而非昨天的假設。
到目前為止,沒有證據顯示停用「身分驗證覆寫」的系統面臨風險。這是好消息。但如果您尚未稽核您的 PAN-OS 環境,請務必今天就執行。您可能存有遺留的設定,這實際上是在邀請攻擊者偽造 Cookie 並長驅直入。
隨著 CISA 發出警告且已確認存在活躍攻擊,我們沒有猶豫的空間。IT 和安全團隊必須採取緊急行動。修補您的軟體、收緊您的設定,並密切關注日誌。威脅環境不會等您跟上,在這種情況下,反應遲緩的代價實在太高。請保持警惕——隨著本週的進展,這個故事可能會有更多更新。
