Palo Alto Networks 發布緊急修補程式,應對企業 VPN 閘道漏洞遭主動利用
TL;DR
Palo Alto Networks 發布緊急修補程式,應對企業 VPN 閘道漏洞遭主動利用
如果您正在使用 Palo Alto Networks 的 GlobalProtect VPN,請立即停下手邊工作,檢查您的修補程式狀態。現在就檢查。
Palo Alto Networks 已正式確認,攻擊者正主動利用一個編號為 CVE-2026-0257 的關鍵身分驗證繞過漏洞。這並非理論上的「假設」情境,而是正在發生的現實。該漏洞有效地允許遠端、未經身分驗證的攻擊者偽造有效的連線 Cookie,從而透過 GlobalProtect 入口網站和閘道取得您企業內部網路的控制權。
情況迅速升級。2026 年 5 月 29 日,美國網路安全與基礎設施安全局 (CISA) 將此漏洞列入其「已知遭利用漏洞」(KEV) 目錄中,這明確顯示該威脅既嚴重又廣泛。安全研究人員與廠商的建議一致:請立即修補。該漏洞的利用方式極其簡單,且自 5 月中旬以來已在野外被發現。
迅速升級為關鍵漏洞
當此漏洞於 2026 年 5 月 13 日首次出現時,它被標記為中等嚴重程度。但該評估並未持續太久。一旦像 Rapid7 這樣的公司開始記錄到 5 月 17 日左右出現的主動利用嘗試,Palo Alto Networks 就別無選擇,只能將其評級提升為關鍵。
該漏洞特別針對啟用了「身分驗證覆寫」(authentication override) Cookie 以及特定憑證設定的防火牆。這是「簡化即是安全之敵」的教科書式案例。由於該漏洞利用設備本身公開可用的 TLS 憑證來偽造身分驗證 Cookie,攻擊者無需具備高深技術即可繞過您的登入頁面。一旦進入,VPN 閘道就成為通往您最敏感內部環境進行橫向移動的敞開大門。
問題範圍
這不僅限於特定版本的 PAN-OS;對於任何使用 GlobalProtect VPN 設定的用戶來說,這都是廣泛的風險。我們看到多個威脅群組正在掃描未修補的設備,將其視為唾手可得的目標。雖然這些攻擊者的長期目標仍在調查中,但眼前的現實是邊界防禦的全面崩潰。
以下是情況分析:
| 屬性 | 詳細資訊 |
|---|---|
| CVE 編號 | CVE-2026-0257 |
| 漏洞類型 | 身分驗證繞過 |
| 受影響組件 | GlobalProtect 入口網站/閘道 |
| 利用狀態 | 主動利用(已確認) |
| CISA KEV 加入日期 | 2026 年 5 月 29 日 |
緩解措施:您需要做什麼
不要等待幾週後的維護窗口。請前往 Palo Alto Networks 安全公告 入口網站,尋找適用於您版本的特定修補程式。
在處理的同時,請採取以下步驟來鎖定您的邊界:
- 審核您的設定: 檢查您的 GlobalProtect 設定。是否啟用了「身分驗證覆寫」Cookie?如果不需要,請將其關閉。
- 修補、修補、再修補: 從 Palo Alto Networks 支援 入口網站取得最新更新。
- 監控日誌: 密切關注您的 VPN 閘道日誌。尋找看起來不像一般使用者的身分驗證模式,特別是那些似乎繞過標準流程的連線請求。
- 保持資訊同步: 訂閱 Palo Alto Networks RSS 摘要。您需要即時接收這些警報。
如果您發現任何可疑情況,該廠商設有 漏洞懸賞計畫 以進行負責任的披露。這是確保您的發現能傳達給正確人員的最佳方式。
企業防禦的新現實
CVE-2026-0257 嚴重程度的轉變,嚴峻地提醒了我們威脅行為者的行動速度有多快。他們不再需要複雜的多階段攻擊。由於此漏洞僅需單一 HTTP 請求,進入門檻幾乎為零。這使得您未修補的防火牆對於任何擁有腳本和網路連線的人來說,都成為極具吸引力的目標。
證據顯示這不僅僅是一個流氓攻擊者;此漏洞已被納入多個威脅群組的標準工具包中。只要我們依賴 VPN 閘道進行遠端存取,身分驗證過程的完整性就是阻擋攻擊者存取您資料的唯一防線。
Palo Alto Networks 在其 安全報告入口網站 上持續更新技術細節和緩解策略。請經常查看。情況瞬息萬變,您必須確保您的防禦態勢是基於最新情報,而非昨天的假設。
到目前為止,沒有證據顯示停用「身分驗證覆寫」的系統面臨風險。這是好消息。但如果您尚未審核您的 PAN-OS 環境,請務必今天就執行。您可能存在一些舊有的設定,實際上是在邀請攻擊者偽造 Cookie 並長驅直入。
隨著 CISA 發出警告且已確認存在主動利用,我們沒有猶豫的空間。IT 和安全團隊需要採取緊急行動。修補您的軟體、加強您的設定,並密切關注日誌。威脅環境不會等您跟上,在這種情況下,行動遲緩的代價實在太高。請保持警惕——隨著本週的進展,這個故事可能會有更多更新。
