Palo Alto Networks 發布緊急安全性修補程式,以應對 GlobalProtect VPN 漏洞遭主動利用
TL;DR
Palo Alto Networks 發布緊急安全性修補程式,以應對 GlobalProtect VPN 漏洞遭主動利用
圖片來源:The Hacker News
Palo Alto Networks 剛發布了一個針對嚴重身分驗證繞過漏洞的緊急修補程式,該漏洞編號為 CVE-2026-0257。此漏洞影響其 PAN-OS 軟體中的 GlobalProtect 入口網站與閘道元件,絕對不容忽視。簡而言之,它允許未經身分驗證的攻擊者直接繞過標準登入協定,建立未經授權的 VPN 連線。對於任何依賴這些閘道的企業來說,這是一個巨大的安全隱憂。
情況迅速升級。原本只是一份標準的漏洞報告,在研究人員確認駭客已在野外(in the wild)利用該漏洞後,隨即轉變為高優先級事件。因此,美國網路安全與基礎設施安全局 (CISA) 已正式將其列入「已知遭利用漏洞」(KEV) 目錄。如果您尚未進行修補,請務必將此視為緊急警訊。
漏洞運作原理
問題的核心在於 PAN-OS 處理身分驗證覆寫 (authentication override) Cookie 的方式。如果您將 GlobalProtect 入口網站或閘道設定為接受這些 Cookie(這是一種常見的便利功能),系統將無法正確驗證工作階段。這基本上等於門戶大開。在停用雲端身分驗證服務 (CAS) 的環境中,此問題尤為危險,因為這會迫使系統依賴目前極易受到操縱的內部機制。
其技術機制相當直接:透過精心設計的請求,攻擊者可以完全繞過對有效憑證的需求。他們實際上是在偽裝成合法使用者。Rapid7 的研究人員於 2026 年 5 月 17 日首次發現此活動。最初的探測追蹤至 Vultr 和 Dromatics Systems 等供應商託管的基礎設施,這顯示這並非隨機故障,而是針對暴露的 VPN 閘道進行的協調攻擊。
雖然 Palo Alto Networks 最初將風險評定為中等,但實際的主動利用情況迫使他們將 CVSSv4 分數提高至 7.8。這屬於「高」嚴重性等級,考量到此漏洞的易用性以及攻擊者進入隧道後可能造成的損害,此評級相當合理。
您的基礎設施是否受到影響?
並非所有 PAN-OS 部署都面臨風險。它特別針對啟用了「身分驗證覆寫」功能的系統——該功能旨在讓使用者無需在工作階段逾時後重複登入。
若要檢查您是否處於風險中,請查看您的管理介面:
- 前往 Network(網路)標籤並選擇 GlobalProtect。
- 深入查看您的 Gateways(閘道)與 Agent(代理程式)設定。
- 尋找 "Accept cookie for authentication override"(接受身分驗證覆寫的 Cookie)核取方塊。
- 檢查您的雲端身分驗證服務 (CAS) 是否已停用。如果該選項已勾選且 CAS 已關閉,您很可能已暴露於風險之中。
修補與緩解措施
Palo Alto Networks 於 2026 年 5 月 13 日發布了諮詢公告,並於該月底確認了主動利用情況。唯一的真正解決方案是套用廠商提供的修補程式。由於這是 Cookie 生成與驗證邏輯上的缺陷,更新從根本上改變了系統處理工作階段的方式。
| 動作 | 結果 |
|---|---|
| 套用安全性修補程式 | 修復身分驗證繞過邏輯。 |
| 重新驗證 | 強制所有 GlobalProtect 使用者進行一次性登入。 |
| Prisma Access | 透過標準維護排程自動更新。 |
套用修補程式將強制所有使用者進行一次性重新驗證。這確實會造成不便,但卻是必要的。修補程式會強制系統使用更安全的加密方法重新生成身分驗證 Cookie,從而有效終止任何現有且可能已遭入侵的工作階段。
對於使用 Prisma Access 的用戶,您很幸運——Palo Alto Networks 會自動處理更新。只需留意管理控制台中的任何維護通知即可。
全局觀點
從理論上的漏洞轉變為遭主動利用的漏洞,改變了一切。攻擊者正利用商業託管供應商來擴大其攻擊規模,這意味著他們具有侵略性且資源充足。
安全團隊必須保持警惕。請檢查您的記錄,尋找異常的身分驗證模式或來自不合理 IP 範圍的 VPN 連線。由於此漏洞會繞過登入畫面,您標準的憑證式警報可能不會觸發。您需要尋找缺乏對應登入事件的成功 VPN 工作階段——這就是關鍵證據。
正如 The Hacker News 所指出的,此處的危險在於,一旦攻擊者通過入口網站,他們基本上就成為了受信任的使用者。他們可以掃描您的內部網路、進行橫向移動並植入惡意程式,而無人察覺。
如果您無法立即修補,請務必停用「Accept cookie for authentication override」功能。您的使用者可能會抱怨需要更頻繁地登入,但為了在您完成更新期間保護網路安全,這點代價是值得的。請持續關注 Palo Alto Networks 安全諮詢入口網站——情況隨時在變,後續可能會有進一步的指導方針。