VPN网关漏洞遭主动利用,导致巴基斯坦企业发生数据泄露
TL;DR
VPN网关漏洞遭主动利用,导致巴基斯坦企业发生数据泄露
Palo Alto Networks 刚刚发布了一则重磅消息:其 PAN-OS GlobalProtect VPN 技术正面临严峻挑战。一个被追踪为 CVE-2026-0257 的关键身份验证绕过漏洞正遭到在野主动利用。该漏洞的 CVSS 评分为 7.8,绝非可以掉以轻心的次要漏洞,而是一把“万能钥匙”。未经授权的攻击者无需任何有效凭据,即可绕过身份验证协议直接进入企业网络。
该漏洞影响 PAN-OS 的门户和网关组件,且危害极大。通过伪造身份验证 Cookie,攻击者可以冒充任何人——甚至是本地管理员。一旦进入系统,他们便掌握了核心控制权。CISA 及其他安全机构已发出紧急警告:请立即修补系统,否则后果自负。
攻击机制解析
攻击者是如何做到的?这归结于“身份验证覆盖 Cookie”与证书重用之间存在的逻辑缺陷。在 HTTPS 和身份验证使用同一证书的环境中,系统会产生混淆。它停止检查 Cookie 的合法性,从而为任何懂得如何伪造会话的人敞开了大门。
据 Rapid7 报告,这并非理论上的威胁;他们早在 2026 年 5 月 17 日就发现了首次主动利用迹象。虽然目前尚不清楚幕后黑手是谁,但其精准的攻击手法表明这是一场针对企业环境的定向行动。

事态迅速升级。在确认未修补的设备确实遭到入侵后,Palo Alto Networks 将该漏洞的严重性从“中”提升至“高”。如果您的组织依赖 GlobalProtect,请务必立即停下手头工作,审计您的配置。
漏洞概览
| 特性 | 详情 |
|---|---|
| 漏洞 ID | CVE-2026-0257 |
| CVSS 评分 | 7.8 (高) |
| 主要组件 | PAN-OS GlobalProtect 门户/网关 |
| 利用日期 | 自 2026 年 5 月 17 日起被观察到 |
| CISA KEV 状态 | 2026 年 5 月 29 日加入 |
缓解措施:您需要做什么
解决问题的关键在于打补丁。Palo Alto Networks 已经发布了修复程序,这应成为您的首要任务。如果您因遗留系统限制或复杂的变更管理窗口而无法立即修补,则必须立即检查您的身份验证覆盖设置。
以下是您的风险控制检查清单:
- 立即修补: 安装最新的 PAN-OS 更新。不要等待下一个维护窗口。
- 审计设置: 深入检查 GlobalProtect 网关和门户设置。是否启用了“身份验证覆盖”?是否在 HTTPS 和身份验证中重复使用了证书?如果是,您正处于危险区域。
- 监控日志: 密切关注 VPN 日志。查找异常的身份验证模式或与典型用户行为不符的会话。
- 保持关注: 持续关注 The Hacker News 和供应商的 官方公告,以获取任何新的入侵指标。
虽然目前尚无证据表明攻击者正在网络中进行横向移动,但这并不能让人掉以轻心。拥有网关本地管理员权限的攻击者在您察觉之前,就能造成巨大的破坏。
CISA 于 2026 年 5 月 29 日将此漏洞列入其“已知被利用漏洞”(KEV)列表,足以说明其紧迫性。联邦机构正在紧急应对,私营企业也应采取同样行动。面向边缘的设备(如 VPN 网关)是您业务的“前门”;如果门没锁好,有人闯入也就不足为奇了。
安全团队需要保持警惕。由于此漏洞依赖于伪造 Cookie,如果底层的验证过程已失效,标准的双重身份验证(MFA)可能无法保护您。通过收紧这些特定的配置依赖项,您可以拒入侵者于门外,防止您的网络成为下一个受害者。