Palo Alto Networks 發布緊急安全修補程式,應對 GlobalProtect VPN 漏洞遭主動利用

CVE-2026-0257 Palo Alto Networks vulnerability GlobalProtect VPN exploit PAN-OS security patch CISA KEV catalog
J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 
2026年6月28日
4 分鐘閱讀
Palo Alto Networks 發布緊急安全修補程式,應對 GlobalProtect VPN 漏洞遭主動利用

TL;DR

• Palo Alto Networks 針對 CVE-2026-0257 發布了緊急修補程式。 • 該漏洞允許攻擊者繞過 VPN 身份驗證協定。 • CISA 已將此漏洞加入其「已知被利用漏洞」(KEV) 目錄。 • 攻擊者目前正在野外主動利用此漏洞。 • 管理員必須立即更新 PAN-OS 以保護企業閘道。

Palo Alto Networks 發布緊急安全修補程式,應對 GlobalProtect VPN 漏洞遭主動利用

圖片來源:The Hacker News

Palo Alto Networks 剛發布了一個針對嚴重身份驗證繞過漏洞的緊急修補程式,該漏洞編號為 CVE-2026-0257。此漏洞影響其 PAN-OS 軟體中的 GlobalProtect 入口網站與閘道元件,情況不容忽視。簡而言之,它允許未經身份驗證的攻擊者直接繞過標準登入協定,建立未經授權的 VPN 連線。對於任何依賴這些閘道的企業來說,這是一個巨大的安全隱患。

事態升級迅速。原本只是一份標準的漏洞報告,在研究人員確認惡意行為者已在野外(in the wild)利用該漏洞後,隨即轉變為高優先級事件。因此,美國網路安全與基礎設施安全局 (CISA) 已正式將其列入「已知被利用漏洞」(KEV) 目錄。如果您尚未進行修補,請務必將此視為緊急警示。

漏洞運作原理

問題的核心在於 PAN-OS 處理身份驗證覆寫 (authentication override) Cookie 的方式。如果您將 GlobalProtect 入口網站或閘道設定為接受這些 Cookie(這是一種常見的便利功能),系統將無法正確驗證工作階段。這基本上等於門戶大開。在停用雲端身份驗證服務 (CAS) 的環境中,此漏洞尤其危險,因為它迫使系統依賴目前極易受到操縱的內部機制。

技術層面的運作方式相當直接:透過製作特定的請求,攻擊者可以完全繞過對有效憑證的需求,有效地偽裝成合法使用者。Rapid7 的研究人員於 2026 年 5 月 17 日首次發現此活動。最初的探測追蹤至託管於 Vultr 和 Dromatics Systems 等供應商的基礎設施,這表明這並非隨機故障,而是一場針對暴露的 VPN 閘道的協同攻擊。

雖然 Palo Alto Networks 最初將風險評估為中等,但實際的主動利用情況迫使他們將 CVSSv4 分數提高至 7.8。這屬於「高」嚴重性等級,考慮到此漏洞的利用難度以及攻擊者進入隧道後可能造成的損害,此評級相當合理。

您的基礎設施是否受到影響?

並非所有 PAN-OS 部署都面臨風險。它特別針對啟用了「身份驗證覆寫」功能的系統——該功能旨在讓使用者無需在工作階段逾時後重複登入。

若要檢查您是否處於風險中,請查看您的管理介面:

  • 前往 Network(網路)標籤並選擇 GlobalProtect
  • 深入查看您的 Gateways(閘道)與 Agent(代理)設定。
  • 尋找 「Accept cookie for authentication override」(接受身份驗證覆寫 Cookie)核取方塊。
  • 檢查您的雲端身份驗證服務 (CAS) 是否已停用。如果該選項已勾選且 CAS 已關閉,您很可能已暴露於風險之中。

修補與緩解措施

Palo Alto Networks 於 2026 年 5 月 13 日發布了諮詢公告,並於該月底確認了主動利用情況。唯一的真正解決方案是套用供應商提供的修補程式。由於這是 Cookie 生成與驗證邏輯上的缺陷,更新從根本上改變了系統處理工作階段的方式。

動作 結果
套用安全修補程式 修復身份驗證繞過邏輯。
重新身份驗證 強制所有 GlobalProtect 使用者進行一次性登入。
Prisma Access 透過標準維護排程自動更新。

套用修補程式將強制所有使用者進行一次性重新身份驗證。這雖然會造成不便,但卻是必要的。修補程式會強制系統使用更安全的加密方法重新生成身份驗證 Cookie,從而有效地終止任何現有且可能已遭入侵的工作階段。

對於使用 Prisma Access 的用戶,您很幸運——Palo Alto Networks 會自動處理更新。只需留意您的管理控制台是否有任何維護通知即可。

全局視野

從理論漏洞轉變為被主動利用的漏洞,情況已完全不同。攻擊者正在利用商業託管供應商來擴大其攻擊規模,這意味著他們具有侵略性且資源充足。

安全團隊必須保持警惕。請檢查您的日誌,查看是否有異常的身份驗證模式或來自不明 IP 範圍的 VPN 連線。由於此漏洞繞過了登入畫面,您標準的憑證式警報可能不會觸發。您需要尋找缺乏對應登入事件的成功 VPN 工作階段——這就是關鍵線索。

正如 The Hacker News 所指出的,此處的危險在於,一旦攻擊者越過入口網站,他們基本上就成為了受信任的使用者。他們可以掃描您的內部網路、進行橫向移動,並在無人察覺的情況下植入惡意程式碼。

如果您無法立即修補,請務必停用「Accept cookie for authentication override」功能。您的使用者可能會抱怨需要更頻繁地登入,但在您完成更新部署之前,這是保護網路安全所付出的微小代價。請持續關注 Palo Alto Networks 安全諮詢入口網站——情況仍在發展中,未來可能會發布進一步的指導方針。

J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 

James Okoro is a certified ethical hacker (CEH) and cybersecurity journalist with a background in military intelligence. After serving as a cyber operations analyst, he transitioned into the private sector, working as a threat intelligence consultant before finding his voice as a writer. James has covered major data breaches, ransomware campaigns, and state-sponsored cyberattacks for several leading security publications. He brings a tactical, insider perspective to his reporting on the ever-evolving threat landscape.

相關新聞

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security
WireGuard and OpenVPN protocol security updates

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security

Private Internet Access upgrades WireGuard and OpenVPN protocols to boost remote access security, performance, and encryption stability. Learn how it impacts you.

作者: Viktor Sokolov 2026年7月10日 4 分鐘閱讀
common.read_full_article
Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways
CitrixBleed

Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways

Critical vulnerability CVE-2023-4966 is under active exploitation. Patch your NetScaler ADC and Gateway appliances immediately to prevent session hijacking.

作者: Marcus Chen 2026年7月9日 4 分鐘閱讀
common.read_full_article
WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed
CVE-2026-13368

WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed

WatchGuard issues third critical IKEv2 patch in ten months. Learn how CVE-2026-13368 affects your Firebox appliances and the risks to legacy hardware.

作者: Elena Voss 2026年7月8日 4 分鐘閱讀
common.read_full_article
Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026
Dropbox security breach

Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026

Following the Dropbox security breach, enterprises are urgently reviewing encryption protocols and remote access alternatives. Learn the impact and 2026 security trends.

作者: James Okoro 2026年7月7日 4 分鐘閱讀
common.read_full_article