Palo Alto Networks 發布緊急安全修補程式,修復 PAN-OS 與 Prisma Gateways 的嚴重漏洞
TL;DR
Palo Alto Networks 發布緊急安全修補程式,修復 PAN-OS 與 Prisma Gateways 的嚴重漏洞
如果您正在使用 Palo Alto Networks 的設備,請立即停下手邊的工作並檢查您的日誌。該公司已證實一個嚴重的身份驗證繞過漏洞(編號為 CVE-2026-0257)目前正遭到駭客利用。這並非理論上的「假設」情境;攻擊者正積極利用此漏洞繞過安全閘門,並建立未經授權的 VPN 連線進入企業網路。
該漏洞影響 PAN-OS 和 Prisma Access 中的 GlobalProtect 入口網站與閘道配置。透過繞過主要的身份驗證層,遠端攻擊者可以像合法授權使用者一樣大搖大擺地進入您的網路。對於任何依賴這些平台進行遠端存取的企業來說,這是最糟糕的情況。
此情況的嚴重性不言而喻。雖然早期評估的 CVSS 分數為 7.8,但深入分析後,在許多環境中該數值已攀升至 9.1 的嚴重等級。新加坡網路安全局 (CSA) 與其他全球監管機構已發出警報,且隨著 Palo Alto 確認自 2026 年 5 月 29 日起該漏洞已遭實際利用,修補的黃金時間窗口已經關閉。
漏洞攻擊機制
這究竟是如何發生的?這不僅僅是按個按鈕那麼簡單。根據 RedLegg 的技術分析,該漏洞的利用需要特定的「完美風暴」配置設定。
要使環境受到影響,通常需要滿足以下三個條件:
- 必須啟用 GlobalProtect 入口網站或閘道。
- 必須啟用「身份驗證覆寫」(Authentication Override) Cookie。
- 系統必須使用特定的、易受攻擊的憑證配置。
當這些條件同時滿足時,攻擊者便能操縱身份驗證握手過程。由於他們有效地劫持了這些覆寫 Cookie 所建立的信任,系統會直接放行。他們不需要您的密碼,也不需要您的 MFA 驗證碼,只需要利用這個繞過漏洞即可。
誰面臨風險?
影響範圍相當明確,如果您沒有使用受影響的版本,請不必驚慌,但仍建議進行確認。Panorama 和 Cloud NGFW 執行個體目前不受影響。然而,如果您正在執行以下版本,則需要立即採取行動。
| 產品 | 受影響版本 |
|---|---|
| PAN-OS | 10.2, 11.1, 11.2, 12.1 |
| Prisma Access | 10.2, 11.2 |
國家漏洞資料庫 (NVD) 已正式收錄此問題。更重要的是,它已被列入「已知被利用漏洞」(KEV) 目錄。這在業界代表著「自動化掃描工具已經在搜尋此漏洞」。如果您尚未修補,您很可能已經在駭客的攻擊清單上了。
如何加固您的基礎設施
Palo Alto Networks 已經發布了修補程式。如果您可以更新,請立即執行。不要等到週末。如果您處於無法立即重新啟動或修補的情況,則需要實施「權宜之計」來堵住漏洞。
- 停用覆寫功能: 如果您的業務模式允許,請在 GlobalProtect 設定中停用「身份驗證覆寫」(Authentication Override)。這是切斷攻擊者主要路徑最有效的方法。
- 審核您的憑證: 檢查您的憑證配置,並將其與 Palo Alto 發布的建議進行比對。如果您使用的是易受攻擊的設定,請立即更改。
- 監控日誌: 提高 VPN 日誌的詳細程度。您需要尋找異常的身份驗證模式、來自員工居住地以外的登入,或是看起來不對勁的連線。
- 層層防禦: 由於此漏洞繞過了主要身份驗證,您的邊界防禦實際上已門戶大開。如果您將 MFA 綁定在基於 Cookie 的覆寫機制上,它在此處可能無效。請尋找實施非 Cookie 驗證的二次驗證方法。
此漏洞的現實情況是,標準的邊界防禦很可能會漏掉入侵,因為對系統而言,攻擊者看起來就像是合法使用者。您尋找的不是暴力破解攻擊,而是系統中的「幽靈」。
請持續關注 Palo Alto Networks 的官方安全入口網站。情況瞬息萬變,隨著更多研究人員深入研究該漏洞,我們可能會進一步了解如何偵測與減輕其影響。目前,請假設威脅是真實存在的,假設您的環境正在被掃描,並據此優先處理修補工作。謹慎的時刻已經過去,現在是採取行動的時候了。
