Palo Alto Networks 發布緊急安全修補程式,修復 PAN-OS 與 Prisma Gateways 的嚴重漏洞
TL;DR
Palo Alto Networks 發布緊急安全修補程式,修復 PAN-OS 與 Prisma Gateways 的嚴重漏洞
如果您正在使用 Palo Alto Networks 的設備,請立即停下手邊的工作並檢查您的日誌。該公司已證實一個嚴重的身份驗證繞過漏洞(追蹤編號為 CVE-2026-0257)目前正遭到駭客積極利用。這並非理論上的「假設」情境;攻擊者正利用此漏洞突破安全防線,建立未經授權的 VPN 連線進入企業網路。
此漏洞影響 PAN-OS 和 Prisma Access 中的 GlobalProtect 入口網站與閘道配置。透過繞過主要的身份驗證層,遠端攻擊者可以偽裝成合法授權使用者,長驅直入您的網路。對於任何依賴這些平台進行遠端存取的企業來說,這無疑是最糟糕的情況。
此事件的嚴重性不容小覷。雖然早期評估的 CVSS 分數為 7.8,但深入分析後,在許多環境中該分數已攀升至 9.1 的嚴重等級。新加坡網路安全局 (CSA) 及其他全球監管機構已發出警報。隨著 Palo Alto 在 2026 年 5 月 29 日確認該漏洞正被積極利用,修補的黃金時間已經結束。
入侵機制
這究竟是如何發生的?這不僅僅是按個按鈕那麼簡單。根據 RedLegg 的技術分析,該漏洞的利用需要特定的「完美風暴」配置設定。
要使環境處於易受攻擊狀態,通常需要滿足以下三個條件:
- 必須啟用 GlobalProtect 入口網站或閘道。
- 必須啟用「身份驗證覆寫」(Authentication Override) Cookie。
- 系統必須使用特定的、易受攻擊的憑證配置。
當這些條件同時滿足時,攻擊者便能操縱身份驗證握手過程。由於他們有效地劫持了由這些覆寫 Cookie 建立的信任,系統會直接放行。他們不需要您的密碼,也不需要您的 MFA 驗證碼,只需要利用這個繞過漏洞即可。
誰面臨風險?
影響範圍相當明確,如果您沒有使用受影響的版本,則無需驚慌,但請務必進行驗證。Panorama 和 Cloud NGFW 執行個體目前不受影響。然而,如果您正在執行下表所列的版本,則需要立即採取行動。
| 產品 | 受影響版本 |
|---|---|
| PAN-OS | 10.2, 11.1, 11.2, 12.1 |
| Prisma Access | 10.2, 11.2 |
國家漏洞資料庫 (NVD) 已正式收錄此問題。更重要的是,它已被列入「已知被利用漏洞」(KEV) 目錄。這在業界意味著「自動化掃描工具已經在搜尋此漏洞」。如果您尚未修補,您很可能已經成為攻擊者的目標。
如何加固您的基礎設施
Palo Alto Networks 已經釋出修補程式。如果您可以更新,請立即執行,不要等到週末。如果您處於無法立即重啟或修補的情況,則需要實施「權宜之計」來堵住漏洞。
- 停用覆寫功能: 如果您的業務模式允許,請在 GlobalProtect 設定中停用「身份驗證覆寫」(Authentication Override)。這是切斷攻擊者主要途徑最有效的方法。
- 審核您的憑證: 檢查您的憑證配置,並將其與 Palo Alto 發布的建議進行比對。如果您使用的是易受攻擊的設定,請立即更改。
- 監控日誌: 提高 VPN 日誌的詳細程度。您需要尋找異常的身份驗證模式、來自員工居住地以外的登入,或是感覺不對勁的連線。
- 多層防禦: 由於此漏洞繞過了主要身份驗證,您的邊界防禦實際上已門戶大開。如果您將 MFA 綁定在基於 Cookie 的覆寫機制上,在此情況下可能無效。請尋找實施非基於 Cookie 的二次驗證方法。
此漏洞的現實情況是,標準的邊界防禦很可能會漏掉入侵,因為在系統看來,攻擊者看起來就像是合法使用者。您尋找的不是暴力破解攻擊,而是系統中的「幽靈」。
請密切關注 Palo Alto Networks 的官方安全入口網站。情況瞬息萬變,隨著更多研究人員深入挖掘該漏洞,我們可能會進一步了解如何偵測並減輕其影響。目前,請假設威脅是真實存在的,假設您的環境正在被掃描,並據此優先處理修補工作。謹慎的時刻已經過去,現在是採取行動的時候了。
