Palo Alto Networks 发布紧急安全补丁,修复 PAN-OS 和 Prisma 网关中的严重漏洞
TL;DR
Palo Alto Networks 发布紧急安全补丁,修复 PAN-OS 和 Prisma 网关中的严重漏洞
如果您正在使用 Palo Alto Networks 的设备,请立即停下手中的工作并检查日志。该公司已确认,一个严重的身份验证绕过漏洞(追踪编号为 CVE-2026-0257)目前正遭到在野利用。这并非理论上的“假设”场景;攻击者正积极利用此漏洞绕过安全门禁,建立未经授权的 VPN 连接进入企业网络。
该漏洞影响 PAN-OS 和 Prisma Access 中的 GlobalProtect 门户和网关配置。通过绕过主要的身份验证层,远程攻击者可以像合法授权用户一样大摇大摆地进入您的网络。对于任何依赖这些平台进行远程访问的企业来说,这是最糟糕的情况。
这种情况的严重性不言而喻。虽然早期估计的 CVSS 评分为 7.8,但深入分析后,在许多环境中该数字已升至 9.1 的严重级别。新加坡网络安全局 (CSA) 及其他全球监管机构已发出警报。随着 Palo Alto 在 2026 年 5 月 29 日确认该漏洞正被主动利用,修补漏洞的窗口期实际上已经关闭。
漏洞攻击机制
这究竟是如何发生的?这不仅仅是点击一个按钮那么简单。根据 RedLegg 的技术分析,该漏洞的利用需要满足特定的“完美风暴”配置条件。
要使环境易受攻击,通常需要满足以下三个条件:
- 必须启用 GlobalProtect 门户或网关。
- 必须激活“身份验证覆盖”(Authentication Override) Cookie。
- 系统必须使用特定的、易受攻击的证书配置。
当这些条件同时满足时,攻击者就可以操纵身份验证握手。由于他们有效地劫持了由这些覆盖 Cookie 建立的信任,系统会直接放行。他们不需要您的密码,也不需要您的 MFA 令牌,只需要利用这个绕过漏洞即可。
谁面临风险?
该漏洞的影响范围是特定的,因此如果您没有运行受影响的版本,不必惊慌,但请务必进行核实。Panorama 和 Cloud NGFW 实例目前是安全的。但是,如果您运行的是下表所列的版本,则需要立即采取行动。
| 产品 | 受影响版本 |
|---|---|
| PAN-OS | 10.2, 11.1, 11.2, 12.1 |
| Prisma Access | 10.2, 11.2 |
国家漏洞数据库 (NVD) 已正式收录该问题。更重要的是,它已被列入“已知被利用漏洞”(KEV) 目录。这是行业内的缩写,意味着“自动化扫描程序已经在寻找此漏洞”。如果您尚未打补丁,您很可能已经成为攻击者的目标。
如何锁定您的基础设施
Palo Alto Networks 已经发布了补丁。如果您可以更新,请立即执行。不要等到周末。如果您处于无法立即重启或打补丁的情况,则需要实施“权宜之计”来堵住漏洞。
- 禁用覆盖: 如果您的业务模式允许,请在 GlobalProtect 设置中禁用“身份验证覆盖”。这是切断攻击者主要攻击路径的最有效方法。
- 审计您的证书: 检查您的证书配置,并将其与 Palo Alto 发布的安全公告进行对比。如果您使用的是易受攻击的设置,请立即更改。
- 监控日志: 提高 VPN 日志的详细程度。您需要寻找异常的身份验证模式、来自员工所在地之外的登录,或者看起来不正常的连接。
- 分层防御: 由于此漏洞绕过了主要身份验证,您的边界实际上是完全开放的。如果您将 MFA 与基于 Cookie 的覆盖绑定,它在这里可能无效。请寻找实施非基于 Cookie 的二次验证的方法。
该漏洞的现实情况是,标准的边界防御很可能会漏掉入侵,因为在系统看来,攻击者看起来就像合法用户。您寻找的不是暴力破解攻击,而是系统中的“幽灵”。
请密切关注 Palo Alto Networks 的官方安全门户。情况瞬息万变,随着更多研究人员深入挖掘该漏洞,我们可能会了解到更多关于如何检测和减轻后果的信息。目前,请假设威胁是真实的,假设您的环境正在被扫描,并据此优先进行修复。谨慎行事的时代已经过去,现在是采取行动的时候了。
