Palo Alto Networks 發布緊急修補程式，應對企業 VPN 閘道漏洞遭主動利用

Palo Alto Networks 發布緊急修補程式，應對企業 VPN 閘道漏洞遭主動利用

如果您正在使用 Palo Alto Networks 的 VPN，請先停下手邊工作，立即檢查您的系統日誌。該公司剛證實 CVE-2026-0257（一個嚴重的身分驗證繞過漏洞）已不再是理論上的威脅，目前正遭到駭客在野外主動利用。

這不僅僅是一次例行更新。該漏洞影響 PAN-OS 和 Prisma Access 中的 GlobalProtect 入口網站與閘道設定。簡單來說，攻擊者正設法在無需有效密碼的情況下，直接進入企業內部網路。

當該漏洞於 2026 年 5 月 13 日首次出現時，其 CVSS 評分為 7.8，起初被視為「中等嚴重性」的隱憂。然而，隨著主動利用的報告傳出，情況急轉直下。現在，從聯邦機構到獨立安全研究人員，各方皆已發出警告。攻擊者已掌握偽造驗證 Cookie 的方法，能有效地偽裝成合法員工。一旦進入系統，他們就如同隱形的幽靈。

漏洞運作機制

他們是如何做到的？該漏洞存在於 GlobalProtect 閘道處理「驗證覆寫 (authentication override)」Cookie 的方式中。如果您啟用了這些 Cookie，且憑證設定以特定方式配置，系統基本上會忽略檢查該工作階段是否合法。

這是一個經典的「前門未鎖」場景。透過操縱這些工作階段權杖 (session tokens)，攻擊者能獲得與被冒充使用者完全相同的權限。如果他們劫持了高階管理員的工作階段，就等於掌握了通往整個網路的鑰匙。

時間軸非常緊迫。Rapid7 的研究人員早在 2026 年 5 月 17 日就發現了在野外的攻擊嘗試。從初步公告到第一波實際攻擊之間的時間極短。對於許多 IT 團隊來說，「修補週期」現在變成了一場與時間的賽跑。

情況在 2026 年 5 月 29 日進一步升級，當時美國網路安全與基礎設施安全局 (CISA) 將此漏洞列入其「已知被利用漏洞 (KEV)」目錄。當 CISA 採取此類行動時，這就像是一個巨大的霓虹燈警示，告訴所有聯邦機構和私營部門，威脅是真實、當前且危險的。

風險現實

如果您想知道自己是否處於危險之中，請檢查您的 GlobalProtect 設定。該漏洞專門針對使用「驗證覆寫」功能的環境。如果您的憑證或覆寫設定不符合廠商的安全要求，您就成了待宰的羔羊。Palo Alto Networks 已發布 CVE-2026-0257 的官方安全公告，這是所有管理員必讀的資訊。

別被「中等」的 CVSS 評分給騙了。由於此漏洞依賴偽造的 Cookie，您標準的邊界防禦措施可能根本無法察覺。如果攻擊者掌握了您的閘道設定細節，他們就已經成功了一半。關閉此漏洞的唯一方法是套用廠商提供的修補程式，沒有捷徑可走。

您現在該做什麼？

業界共識很明確：將此視為緊急演習。正如 The Hacker News 所指出的，攻擊者的進入門檻極低。對於任何希望在企業網路中建立隱蔽、持久據點的人來說，這是一個極具價值的目標。

Rapid7 的威脅情報團隊一直在追蹤這些嘗試，並指出它們顯然旨在繞過 VPN 層，以利於橫向移動和資料竊取。一旦他們進入內部，作為第一道防線的 VPN 反而成了負擔。

正如 The Register 正確指出的，此漏洞已從「密切關注」的公告升級為「全員戒備」的緊急事件。

您的立即行動計畫：

• 稽核設定： 檢查您的 GlobalProtect 入口網站和閘道設定。是否啟用了驗證覆寫 Cookie？如果是，請立即採取行動。
• 版本檢查： 將您目前的 PAN-OS 和 Prisma Access 版本與廠商要求進行比對。
• 立即修補： 不要等待下一個維護視窗，現在就套用更新。
• 日誌審查： 仔細檢查您的 VPN 日誌，尋找任何異常活動。留意與典型使用者行為不符的工作階段，特別是來自意外地理位置或您不認識的裝置的登入。
• 保持資訊同步： 將 Palo Alto Networks 官方安全入口網站保持在瀏覽器分頁中。情況發展迅速，他們會隨時更新指導方針。

這是一個動態的情況。由於攻擊模仿了合法使用者，您不能只尋找「惡意」流量，必須尋找「異常」流量。是否有員工從新的城市登入？是否有工作階段保持開啟的時間異常長？

此漏洞被納入 CISA KEV 目錄證實了這並非單一孤立事件，而是一種趨勢。Palo Alto Networks 正努力協助客戶加強防護，但關鍵的防禦工作仍需由您完成。如果您尚未稽核閘道設定，請務必今天就執行。領先攻擊者的時間窗口正在關閉，而攻擊者並未放慢腳步。