VPN 閘道漏洞遭積極利用,導致巴基斯坦企業發生數據外洩
TL;DR
VPN 閘道漏洞遭積極利用,導致巴基斯坦企業發生數據外洩
Palo Alto Networks 最近發布了一項重大警示:其 PAN-OS GlobalProtect VPN 技術正受到攻擊。一個被追蹤為 CVE-2026-0257 的嚴重身份驗證繞過漏洞正被廣泛利用。該漏洞的 CVSS 評分為 7.8,絕非可以擱置一旁的小問題,而是一把「萬能鑰匙」。未經授權的攻擊者無需任何有效的憑證,即可直接繞過身份驗證協議進入企業網絡。
該漏洞影響了 PAN-OS 的入口網站(Portal)和閘道(Gateway)組件。攻擊者只需偽造身份驗證 Cookie,即可冒充任何人,甚至是本地管理員。一旦進入系統,他們便掌握了網絡的最高控制權。CISA 及其他安全機構已發出緊急警告:請立即修補系統,否則後果自負。
漏洞攻擊機制
攻擊者是如何做到的?這歸結於「身份驗證覆蓋 Cookie」(authentication override cookies)與憑證重複使用之間的問題。在 HTTPS 和身份驗證使用相同憑證的環境中,系統會發生混淆。它會停止檢查 Cookie 的合法性,從而為任何懂得如何製作偽造會話的人敞開大門。
根據 Rapid7 的報告,這不僅僅是理論上的威脅;他們早在 2026 年 5 月 17 日就發現了首次積極利用的跡象。雖然目前尚不清楚幕後黑手是誰,但其精確度顯示這是一場針對企業環境的定向攻擊。

情況迅速升級。在確認未修補的設備確實遭到入侵後,Palo Alto Networks 將該漏洞的嚴重性從「中等」提升至「高」。如果您的組織依賴 GlobalProtect,請立即停下手邊工作並審核您的配置。
漏洞概覽
| 特徵 | 詳細資訊 |
|---|---|
| 漏洞 ID | CVE-2026-0257 |
| CVSS 評分 | 7.8 (高) |
| 主要組件 | PAN-OS GlobalProtect 入口網站/閘道 |
| 利用日期 | 自 2026 年 5 月 17 日起觀察到 |
| CISA KEV 狀態 | 2026 年 5 月 29 日加入 |
緩解措施:您需要做什麼
解決問題的關鍵在於修補程式。Palo Alto Networks 已經發布了修復程式,這必須是您的首要任務。如果您因舊系統限制或複雜的變更管理窗口而無法立即修補,則需要立即檢查您的身份驗證覆蓋設定。
以下是您的損害控制清單:
- 修補、修補、再修補: 安裝最新的 PAN-OS 更新。不要等待下一個維護窗口。
- 審核您的設定: 深入檢查您的 GlobalProtect 閘道和入口網站設定。是否啟用了「身份驗證覆蓋」?您是否在 HTTPS 和身份驗證中重複使用憑證?如果是,您正處於危險區域。
- 監控日誌: 密切關注您的 VPN 日誌。尋找異常的身份驗證模式或與典型用戶行為不符的會話。
- 保持資訊更新: 關注 The Hacker News 和供應商的 官方公告,以獲取任何新的入侵指標。
雖然目前沒有直接證據顯示攻擊者正在網絡中進行橫向移動,但這並不能讓人掉以輕心。擁有閘道本地管理員權限的攻擊者在您察覺之前,就能造成巨大的破壞。
CISA 於 2026 年 5 月 29 日將此漏洞列入「已知被利用漏洞」(KEV)清單,這足以說明其緊迫性。聯邦機構正忙於應對,私人企業也應採取同樣行動。面向外部的設備(如 VPN 閘道)是您業務的門戶;如果您不鎖門,就別驚訝有人會闖入。
安全團隊需要保持警惕。由於此漏洞依賴於偽造的 Cookie,如果底層驗證過程已損壞,標準的多重身份驗證(MFA)可能無法保護您。透過收緊這些特定的配置依賴關係,您可以將入侵者拒之門外,防止您的網絡成為下一個受害者。