Palo Alto GlobalProtect 遭殃：身份驗證繞過漏洞被列入 CISA KEV 清單

Palo Alto GlobalProtect 遭殃：身份驗證繞過漏洞被列入 CISA KEV 清單

Palo Alto Networks 已證實最壞的情況：一個被追蹤為 CVE-2026-0257 的高嚴重性身份驗證繞過漏洞，目前正遭到駭客主動利用。這個漏洞並非僅存在於理論中，而是直接影響 PAN-OS 的 GlobalProtect 門戶與網關組件。對於攻擊者而言，這意味著他們可以偽造身份驗證 Cookie，無需密碼即可直接繞過 VPN 的防線。

情況迅速升級。在出現針對性攻擊的報告後，美國網絡安全與基礎設施安全局 (CISA) 已將該漏洞列入其「已知被利用漏洞」(KEV) 目錄。如果您正在使用受影響的防火牆配置，請務必提高警覺。未經授權存取網絡的風險極高，修補漏洞已非選項，而是維持邊界安全的唯一途徑。

漏洞運作機制

攻擊者是如何做到的？這歸結於 PAN-OS 處理「身份驗證覆蓋」(Authentication Override) Cookie 時的根本性弱點。當 GlobalProtect 門戶或網關啟用此特定功能時，系統便容易受到偽造輸入的攻擊。

根據 Palo Alto Networks 的官方安全公告，該漏洞正是當覆蓋機制處於啟用狀態時被觸發。這是一個典型的過度信任數據的案例。Rapid7 在 觀察到該漏洞的活躍攻擊 後，識別出兩波明顯的攻擊：第一波發生於 2026 年 5 月 17 日，第二波更具侵略性的攻擊則發生在 5 月 21 日。這些不僅僅是探測，而是成功建立未經授權 VPN 會話的嘗試。

業界已注意到此危險。儘管最初的影響評估較為保守，但 CVE-2026-0257 的更新版 CVSSv4 評分 現已達到 7.8。這是一個高嚴重性評級，反映了威脅的現實：它易於利用、無需用戶交互，且目前正被現實中的攻擊者所使用。

您的環境是否暴露於風險中？

並非所有 PAN-OS 部署都處於風險之中。此漏洞嚴格與「身份驗證覆蓋」配置相關。如果您未啟用此功能，則無需擔心，但請務必親自核實設定。

若要檢查您的系統是否處於風險中，請進入 PAN-OS 管理介面並按照以下路徑操作：

• 導航路徑： Network > GlobalProtect > Gateways > Agent > Client Settings
• 目標設定： "Accept cookie for authentication override"

如果該選項已被勾選，則您處於易受攻擊狀態。Palo Alto 的 詳細威脅簡報 對於任何試圖了解 Unit 42 所追蹤攻擊模式的安全團隊來說都值得一讀。這讓人清醒地認識到這些繞過漏洞被武器化的速度有多快。

修補與緩解措施

修復方法很直接，但會帶來一些不便。由於漏洞根源於防火牆處理加密 Cookie 的方式，您必須打破舊的循環以啟動新的循環。

當您套用修補程式時，系統將開始使用更穩健、更安全的方法來產生 Cookie。直接的副作用是：所有活躍的 GlobalProtect 用戶將被強制登出並重新驗證。這確實會造成困擾，但卻是必要的。這是確保目前在網絡上流傳的任何偽造 Cookie 失效的唯一方法。

對於使用 Prisma Access 的用戶，您可以稍微放心。Palo Alto 正在其雲端管理基礎設施中處理繁重的工作。這些環境會根據標準維護計劃自動更新，這意味著您無需採取任何行動。

保持警惕

此漏洞正被主動利用的事實，嚴厲提醒我們邊緣設備是第一道防線，也往往是首要攻擊目標。由於此漏洞允許未經身份驗證的存取，在您修補之前，攻擊者的機會之窗是完全敞開的。

安全團隊現在需要檢查 VPN 日誌。是否存在異常的身份驗證模式？是否有在奇怪時間或從意外地點建立的會話？如果您發現任何不符合常規的跡象，請立即進行調查。

隨著該漏洞正式列入 CISA KEV 目錄，壓力隨之而來。聯邦機構已開始進行修補，私人組織也應毫不延遲地跟進。即使您不在受監管的行業，主動利用與高嚴重性評級的結合，也足以將其列為優先處理事項。

過渡到更安全的 Cookie 產生方法是關鍵的一步，但這並非故事的終點。請密切關注您的 GlobalProtect 網關日誌。即使在修補後，您也需要尋找任何殘留跡象，以確認是否有人在您鎖門之前試圖闖入。在網絡安全領域，主動出擊是保持領先的唯一方法。保持系統更新、確保日誌整潔，並且不要因為還沒看到警報就假設自己是安全的。