VPN 閘道漏洞遭積極利用,導致巴基斯坦企業發生資料外洩
TL;DR
VPN 閘道漏洞遭積極利用,導致巴基斯坦企業發生資料外洩
Palo Alto Networks 近期發布重大警訊:其 PAN-OS GlobalProtect VPN 技術正遭受攻擊。一個被追蹤為 CVE-2026-0257 的嚴重身分驗證繞過漏洞,目前正被駭客在野外積極利用。該漏洞的 CVSS 評分為 7.8,絕非可以擱置的小問題,而是一把「萬能鑰匙」。未經授權的攻擊者無需任何有效的憑證,即可直接繞過身分驗證協定進入企業網路。
此漏洞影響 PAN-OS 的入口網站(Portal)與閘道(Gateway)元件。攻擊者只需偽造身分驗證 Cookie,即可冒充任何人,甚至是本機管理員。一旦進入系統,企業網路的控制權便形同拱手讓人。CISA 與其他資安權威機構已發布緊急警告:請立即修補系統,否則後果自負。
攻擊機制解析
駭客是如何做到的?這歸咎於「身分驗證覆寫 Cookie(authentication override cookies)」與憑證重複使用之間的不當處理。在同一個憑證同時處理 HTTPS 與身分驗證的環境中,系統會產生混淆,停止檢查 Cookie 的合法性,這等於為任何懂得如何製作偽造連線的人鋪上了紅地毯。
根據 Rapid7 的報告,這不僅是理論上的威脅;他們在 2026 年 5 月 17 日就觀察到了首次積極利用的跡象。雖然目前尚不清楚幕後黑手是誰,但其精確的攻擊手法顯示這是一場針對企業環境的目標性攻擊。

情況迅速惡化。在確認未修補的裝置確實遭到入侵後,Palo Alto Networks 將該漏洞的嚴重性從「中等」提升至「高」。如果您的組織依賴 GlobalProtect,請務必立即停下手邊工作,並審查您的系統設定。
漏洞概覽
| 特徵 | 詳細資訊 |
|---|---|
| 漏洞 ID | CVE-2026-0257 |
| CVSS 評分 | 7.8 (高) |
| 主要元件 | PAN-OS GlobalProtect 入口網站/閘道 |
| 利用日期 | 自 2026 年 5 月 17 日起觀察到 |
| CISA KEV 狀態 | 2026 年 5 月 29 日列入 |
緩解措施:您需要做什麼
解決此問題的關鍵在於修補程式。Palo Alto Networks 已發布修復程式,這必須列為您的首要任務。如果您因舊系統限制或複雜的變更管理流程而無法立即修補,則必須立即檢查您的身分驗證覆寫設定。
以下是您的損害控制檢查清單:
- 立即修補: 安裝最新的 PAN-OS 更新。不要等待下一個維護視窗。
- 審查設定: 深入檢查您的 GlobalProtect 閘道與入口網站設定。是否啟用了「身分驗證覆寫」?您是否在 HTTPS 與身分驗證中重複使用憑證?如果是,您正處於危險之中。
- 監控日誌: 密切關注您的 VPN 日誌。尋找異常的身分驗證模式或不符合典型使用者行為的連線。
- 保持資訊同步: 密切關注 The Hacker News 以及廠商的 官方公告,以獲取任何新的入侵指標(IoC)。
雖然目前尚無證據顯示攻擊者已在網路中進行橫向移動,但這並不能讓人掉以輕心。擁有閘道本機管理員權限的攻擊者,在您察覺之前就能造成巨大的破壞。
CISA 於 2026 年 5 月 29 日將此漏洞列入「已知被利用漏洞(KEV)」清單,足以說明其急迫性。聯邦機構正忙於應對,私人企業也應採取相同行動。VPN 閘道等面向邊緣的設備是您業務的門戶;如果您不鎖好門,就別對有人闖入感到驚訝。
資安團隊必須保持警覺。由於此漏洞依賴偽造的 Cookie,如果底層驗證程序已損壞,標準的多因素驗證(MFA)可能無法保護您。透過收緊這些特定的設定依賴關係,您可以阻擋入侵者,避免您的網路成為下一個受害者。