Palo Alto Networks 发布紧急安全补丁,应对 GlobalProtect VPN 漏洞的活跃攻击
TL;DR
Palo Alto Networks 发布紧急安全补丁,应对 GlobalProtect VPN 漏洞的活跃攻击
图片来源:The Hacker News
Palo Alto Networks 刚刚发布了一个针对严重身份验证绕过漏洞的紧急补丁,该漏洞编号为 CVE-2026-0257。此漏洞影响其 PAN-OS 软件的 GlobalProtect 门户和网关组件,情况十分紧迫。简而言之,它允许未经身份验证的攻击者直接绕过标准登录协议,建立未经授权的 VPN 连接。对于任何依赖这些网关的企业来说,这是一个巨大的安全隐患。
局势迅速升级。最初只是一个标准的漏洞报告,但在研究人员确认攻击者已经在野外利用该漏洞后,它演变成了一个高优先级事件。因此,美国网络安全与基础设施安全局 (CISA) 已正式将其列入“已知被利用漏洞”(KEV) 目录。如果您尚未修补,请务必立即采取行动。
漏洞利用原理
问题的根源在于 PAN-OS 处理身份验证覆盖 (authentication override) Cookie 的方式。如果您将 GlobalProtect 门户或网关配置为接受这些 Cookie(这是一种常见的便捷功能),系统将无法正确验证会话。这本质上相当于敞开了大门。在禁用云身份验证服务 (CAS) 的环境中,这种情况尤其危险,因为它迫使系统依赖目前极易被操纵的内部机制。
其技术机制非常直接:通过构造特定的请求,攻击者可以完全绕过对有效凭据的需求。他们实际上是在冒充合法用户。 Rapid7 的研究人员于 2026 年 5 月 17 日首次发现了这一活动。最初的探测追踪到了托管在 Vultr 和 Dromatics Systems 等提供商的基础设施上,这表明这不仅仅是一个随机故障,而是一次针对暴露的 VPN 网关的协调攻击。
Palo Alto Networks 最初将风险定为中等,但活跃攻击的现实迫使他们将 CVSSv4 评分提高到了 7.8。这是一个“高”严重性评级,反映了该漏洞的易利用性以及攻击者进入隧道后可能造成的破坏程度。
您的基础设施是否易受攻击?
并非所有 PAN-OS 部署都面临风险。它专门针对启用了“身份验证覆盖”功能的系统——该功能旨在让用户保持连接,而无需在会话超时后反复登录。
要查看您是否处于危险之中,请检查您的管理界面:
- 前往 Network(网络)选项卡并选择 GlobalProtect。
- 深入查看您的 Gateways(网关)和 Agent(代理)设置。
- 查找 “Accept cookie for authentication override”(接受身份验证覆盖的 Cookie)复选框。
- 检查您的云身份验证服务 (CAS) 是否已禁用。如果该框被勾选且 CAS 已关闭,则您很可能处于暴露状态。
修补与缓解措施
Palo Alto Networks 于 2026 年 5 月 13 日发布了公告,并确认在当月底出现了活跃攻击。唯一的真正修复方法是应用供应商提供的补丁。由于这是 Cookie 生成和验证逻辑上的缺陷,更新从根本上改变了系统处理会话的方式。
| 操作 | 结果 |
|---|---|
| 应用安全补丁 | 修复身份验证绕过逻辑。 |
| 重新身份验证 | 强制所有 GlobalProtect 用户进行一次性登录。 |
| Prisma Access | 通过标准维护计划自动更新。 |
应用补丁将强制所有用户进行一次性重新身份验证。这确实会带来不便,但却是必要的。补丁强制系统使用更安全的加密方法重新生成身份验证 Cookie,从而有效终止任何现有的、可能已受损的会话。
对于运行 Prisma Access 的用户,您很幸运——Palo Alto Networks 会自动处理更新。只需留意管理控制台中的任何维护通知即可。
更广泛的影响
从理论漏洞到被积极利用的转变改变了一切。攻击者正在利用商业托管服务提供商来扩大其攻击规模,这意味着他们不仅积极主动,而且资源充足。
安全团队需要保持警惕。检查您的日志,查看是否存在异常的身份验证模式或来自不明 IP 段的 VPN 连接。由于此漏洞绕过了登录屏幕,您标准的基于凭据的警报可能不会触发。您需要寻找缺乏相应登录事件的成功 VPN 会话——这就是关键线索。
正如 The Hacker News 所指出的,这里的危险在于,一旦攻击者绕过门户,他们本质上就成为了受信任的用户。他们可以扫描您的内部网络、进行横向移动并投放有效载荷,而无人察觉。
如果您无法立即修补,请务必禁用“Accept cookie for authentication override”功能。您的用户可能会抱怨需要更频繁地登录,但这与保持网络安全相比,代价微不足道。请持续关注 Palo Alto Networks 安全公告门户——局势仍在变化,后续可能会有进一步的指导。