Palo Alto Networks、GlobalProtect VPNの脆弱性が悪用され緊急セキュリティパッチを公開
TL;DR
Palo Alto Networks、GlobalProtect VPNの脆弱性が悪用され緊急セキュリティパッチを公開
画像提供: The Hacker News
Palo Alto Networksは、深刻な認証バイパスの脆弱性(追跡番号:CVE-2026-0257)に対する緊急パッチを公開しました。この欠陥はPAN-OSソフトウェアのGlobalProtectポータルおよびゲートウェイコンポーネントに影響を及ぼすもので、放置できる問題ではありません。簡単に言えば、認証されていない攻撃者が標準的なログインプロトコルを回避し、不正なVPN接続を確立できてしまうというものです。これらのゲートウェイに依存する企業にとって、極めて重大なセキュリティ上の脅威となります。
事態は急速に悪化しました。当初は標準的な脆弱性報告でしたが、攻撃者が実際に悪用していることが確認されたため、優先度の高いインシデントへと引き上げられました。これを受け、米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、本件を「悪用が確認された脆弱性(KEV)」カタログに正式に追加しました。まだパッチを適用していない場合は、直ちに対応する必要があります。
エクスプロイトの仕組み
問題の根本は、PAN-OSが認証オーバーライドクッキーを処理する方法にあります。GlobalProtectポータルやゲートウェイで、利便性向上のためにこのクッキーを受け入れる設定にしている場合、システムがセッションを適切に検証できていません。これは実質的に「ドアの鍵が開けっ放し」の状態です。特にCloud Authentication Service (CAS) が無効になっている環境では、システムが内部メカニズムに依存せざるを得ず、操作に対して無防備な状態となります。
技術的な仕組みは驚くほど単純です。特定の要求を作成することで、攻撃者は有効な資格情報なしで認証を完全に回避できます。実質的に正当なユーザーになりすますことが可能です。Rapid7の研究者は、2026年5月17日にこの活動を初めて確認しました。初期の調査では、VultrやDromatics Systemsなどのプロバイダーでホストされたインフラからのアクセスが確認されており、単なるランダムな不具合ではなく、露出したVPNゲートウェイを狙った組織的な攻撃であることが判明しています。
Palo Alto Networksは当初、リスクを中程度と評価していましたが、実際の悪用が確認されたため、CVSSv4スコアを7.8に引き上げました。これは「高」の深刻度評価であり、攻撃の容易さと、侵入後の被害の大きさを考慮したものです。
インフラは脆弱か?
すべてのPAN-OS環境が危険にさらされているわけではありません。この脆弱性は、ユーザーがセッションタイムアウトのたびに再ログインしなくて済むように設計された「認証オーバーライド」機能が有効になっているシステムを標的としています。
管理インターフェースで以下の点を確認してください:
- NetworkタブからGlobalProtectを選択します。
- GatewaysおよびAgent設定を確認します。
- **「Accept cookie for authentication override(認証オーバーライド用のクッキーを受け入れる)」**のチェックボックスを確認します。
- Cloud Authentication Service (CAS) が無効になっているか確認します。チェックが入っており、かつCASが無効であれば、攻撃を受ける可能性が高い状態です。
パッチ適用と緩和策
Palo Alto Networksは2026年5月13日にアドバイザリを公開し、同月末までに悪用が確認されました。唯一の根本的な解決策は、ベンダーが提供するパッチを適用することです。これはクッキーの生成と検証に関するロジックの欠陥であるため、アップデートによってセッション処理の方法が根本的に変更されます。
| アクション | 結果 |
|---|---|
| セキュリティパッチの適用 | 認証バイパスロジックを修正 |
| 再認証 | すべてのGlobalProtectユーザーに一度限りのログインを強制 |
| Prisma Access | 標準のメンテナンススケジュールで自動更新 |
パッチを適用すると、すべてのユーザーに対して一度限りの再認証が強制されます。手間はかかりますが、必要な措置です。パッチにより、システムはより安全な暗号化手法を使用して認証クッキーを再生成するようになり、既存の侵害された可能性のあるセッションを無効化します。
Prisma Accessを利用している場合、Palo Alto Networksが自動的に更新を処理するため、管理コンソールでメンテナンス通知を確認してください。
全体像
理論上のバグから実際に悪用される脆弱性への変化は、状況を一変させます。攻撃者は商用ホスティングプロバイダーを利用して攻撃を拡大しており、彼らが非常に積極的で十分なリソースを持っていることを示しています。
セキュリティチームは警戒を強める必要があります。異常な認証パターンや、不審なIP範囲からのVPN接続がないかログを確認してください。このエクスプロイトはログイン画面を回避するため、標準的な資格情報ベースのアラートが作動しない可能性があります。ログインイベントを伴わないVPNセッションの成功がないかを探すことが、決定的な証拠を見つける鍵となります。
The Hacker Newsが指摘するように、この危険性は、攻撃者がポータルを突破すると、実質的に「信頼されたユーザー」として振る舞える点にあります。彼らは内部ネットワークをスキャンし、横方向に移動し、誰にも気づかれることなくペイロードを配置することができます。
直ちにパッチを適用できない場合は、「認証オーバーライド用のクッキーを受け入れる」機能を無効にしてください。ユーザーからログイン頻度に関する不満が出るかもしれませんが、アップデートを適用するまでの間、ネットワークを保護するための小さな代償です。Palo Alto Networksのセキュリティアドバイザリポータルを注視してください。状況は流動的であり、今後さらなるガイダンスが提供される可能性があります。