Palo Alto Networks 發布緊急安全性修補程式,以應對 GlobalProtect VPN 漏洞遭主動利用

CVE-2026-0257 Palo Alto Networks vulnerability GlobalProtect VPN exploit PAN-OS security patch CISA KEV catalog
J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 
2026年6月28日
4 分鐘閱讀
Palo Alto Networks 發布緊急安全性修補程式,以應對 GlobalProtect VPN 漏洞遭主動利用

TL;DR

• Palo Alto Networks 針對 CVE-2026-0257 發布了緊急修補程式。 • 該漏洞允許攻擊者繞過 VPN 身分驗證協定。 • CISA 已將此漏洞加入「已知遭利用漏洞」(KEV) 目錄。 • 駭客正積極利用此漏洞進行攻擊。 • 管理員必須立即更新 PAN-OS 以保護企業閘道。

Palo Alto Networks 發布緊急安全性修補程式,以應對 GlobalProtect VPN 漏洞遭主動利用

圖片來源:The Hacker News

Palo Alto Networks 剛發布了一個針對嚴重身分驗證繞過漏洞的緊急修補程式,該漏洞編號為 CVE-2026-0257。此漏洞影響其 PAN-OS 軟體中的 GlobalProtect 入口網站與閘道元件,絕對不容忽視。簡而言之,它允許未經身分驗證的攻擊者直接繞過標準登入協定,建立未經授權的 VPN 連線。對於任何依賴這些閘道的企業來說,這是一個巨大的安全隱憂。

情況迅速升級。原本只是一份標準的漏洞報告,在研究人員確認駭客已在野外(in the wild)利用該漏洞後,隨即轉變為高優先級事件。因此,美國網路安全與基礎設施安全局 (CISA) 已正式將其列入「已知遭利用漏洞」(KEV) 目錄。如果您尚未進行修補,請務必將此視為緊急警訊。

漏洞運作原理

問題的核心在於 PAN-OS 處理身分驗證覆寫 (authentication override) Cookie 的方式。如果您將 GlobalProtect 入口網站或閘道設定為接受這些 Cookie(這是一種常見的便利功能),系統將無法正確驗證工作階段。這基本上等於門戶大開。在停用雲端身分驗證服務 (CAS) 的環境中,此問題尤為危險,因為這會迫使系統依賴目前極易受到操縱的內部機制。

其技術機制相當直接:透過精心設計的請求,攻擊者可以完全繞過對有效憑證的需求。他們實際上是在偽裝成合法使用者。Rapid7 的研究人員於 2026 年 5 月 17 日首次發現此活動。最初的探測追蹤至 Vultr 和 Dromatics Systems 等供應商託管的基礎設施,這顯示這並非隨機故障,而是針對暴露的 VPN 閘道進行的協調攻擊。

雖然 Palo Alto Networks 最初將風險評定為中等,但實際的主動利用情況迫使他們將 CVSSv4 分數提高至 7.8。這屬於「高」嚴重性等級,考量到此漏洞的易用性以及攻擊者進入隧道後可能造成的損害,此評級相當合理。

您的基礎設施是否受到影響?

並非所有 PAN-OS 部署都面臨風險。它特別針對啟用了「身分驗證覆寫」功能的系統——該功能旨在讓使用者無需在工作階段逾時後重複登入。

若要檢查您是否處於風險中,請查看您的管理介面:

  • 前往 Network(網路)標籤並選擇 GlobalProtect
  • 深入查看您的 Gateways(閘道)與 Agent(代理程式)設定。
  • 尋找 "Accept cookie for authentication override"(接受身分驗證覆寫的 Cookie)核取方塊。
  • 檢查您的雲端身分驗證服務 (CAS) 是否已停用。如果該選項已勾選且 CAS 已關閉,您很可能已暴露於風險之中。

修補與緩解措施

Palo Alto Networks 於 2026 年 5 月 13 日發布了諮詢公告,並於該月底確認了主動利用情況。唯一的真正解決方案是套用廠商提供的修補程式。由於這是 Cookie 生成與驗證邏輯上的缺陷,更新從根本上改變了系統處理工作階段的方式。

動作 結果
套用安全性修補程式 修復身分驗證繞過邏輯。
重新驗證 強制所有 GlobalProtect 使用者進行一次性登入。
Prisma Access 透過標準維護排程自動更新。

套用修補程式將強制所有使用者進行一次性重新驗證。這確實會造成不便,但卻是必要的。修補程式會強制系統使用更安全的加密方法重新生成身分驗證 Cookie,從而有效終止任何現有且可能已遭入侵的工作階段。

對於使用 Prisma Access 的用戶,您很幸運——Palo Alto Networks 會自動處理更新。只需留意管理控制台中的任何維護通知即可。

全局觀點

從理論上的漏洞轉變為遭主動利用的漏洞,改變了一切。攻擊者正利用商業託管供應商來擴大其攻擊規模,這意味著他們具有侵略性且資源充足。

安全團隊必須保持警惕。請檢查您的記錄,尋找異常的身分驗證模式或來自不合理 IP 範圍的 VPN 連線。由於此漏洞會繞過登入畫面,您標準的憑證式警報可能不會觸發。您需要尋找缺乏對應登入事件的成功 VPN 工作階段——這就是關鍵證據。

正如 The Hacker News 所指出的,此處的危險在於,一旦攻擊者通過入口網站,他們基本上就成為了受信任的使用者。他們可以掃描您的內部網路、進行橫向移動並植入惡意程式,而無人察覺。

如果您無法立即修補,請務必停用「Accept cookie for authentication override」功能。您的使用者可能會抱怨需要更頻繁地登入,但為了在您完成更新期間保護網路安全,這點代價是值得的。請持續關注 Palo Alto Networks 安全諮詢入口網站——情況隨時在變,後續可能會有進一步的指導方針。

J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 

James Okoro is a certified ethical hacker (CEH) and cybersecurity journalist with a background in military intelligence. After serving as a cyber operations analyst, he transitioned into the private sector, working as a threat intelligence consultant before finding his voice as a writer. James has covered major data breaches, ransomware campaigns, and state-sponsored cyberattacks for several leading security publications. He brings a tactical, insider perspective to his reporting on the ever-evolving threat landscape.

相關新聞

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security
WireGuard and OpenVPN protocol security updates

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security

Private Internet Access upgrades WireGuard and OpenVPN protocols to boost remote access security, performance, and encryption stability. Learn how it impacts you.

作者: Viktor Sokolov 2026年7月10日 4 分鐘閱讀
common.read_full_article
Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways
CitrixBleed

Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways

Critical vulnerability CVE-2023-4966 is under active exploitation. Patch your NetScaler ADC and Gateway appliances immediately to prevent session hijacking.

作者: Marcus Chen 2026年7月9日 4 分鐘閱讀
common.read_full_article
WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed
CVE-2026-13368

WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed

WatchGuard issues third critical IKEv2 patch in ten months. Learn how CVE-2026-13368 affects your Firebox appliances and the risks to legacy hardware.

作者: Elena Voss 2026年7月8日 4 分鐘閱讀
common.read_full_article
Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026
Dropbox security breach

Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026

Following the Dropbox security breach, enterprises are urgently reviewing encryption protocols and remote access alternatives. Learn the impact and 2026 security trends.

作者: James Okoro 2026年7月7日 4 分鐘閱讀
common.read_full_article