Palo Alto Networks GlobalProtect身分驗證繞過漏洞CVE-2026-0257遭利用

Palo Alto Networks於2026年5月14日公布CVE-2026-0257漏洞,並於兩週後(2026年6月1日)警告已出現少量嘗試利用跡象。

漏洞概要

屬性詳情
CVECVE-2026-0257
CVSS(Palo Alto)7.8(高風險)
CVSS(NVD)9.1(重大)
影響元件GlobalProtect Portal / Gateway
影響平臺PAN-OS、Prisma Access
不受影響Panorama、Cloud NGFW
公布日期2026-05-14
利用警告(Palo Alto)2026-06-01
CISA KEV 收錄2026-05-29
聯邦機構修補截止2026-06-19

攻擊條件

攻擊者需滿足以下三個條件才能利用此漏洞:

  1. 目標防火牆啟用GlobalProtect Portal或Gateway
  2. GlobalProtect啟用身分驗證覆寫Cookie(authentication override cookies)
  3. 特定的憑證組態

影響

成功利用後,攻擊者可繞過安全限制,建立未經授權的VPN連線進入企業網路。

修補版本

  • PAN-OS 10.2、11.x、12.1 版已有修補版本
  • Prisma Access 10.2 與 11.2 版已有修補版本

攻擊時間線(Rapid7事件應變調查)

日期事件
5/14Palo Alto Networks 公布漏洞
5/17首波攻擊活動出現(公布後僅3天)
5/18 UTCRapid7 開始事件應變,偵測到可疑VPN身分驗證活動
5/21第二波攻擊出現
5/29CISA 列入 KEV

攻擊細節

  • 攻擊來源: 主機代管商 Vultr(首波)、Dromatics Systems(第二波)
  • 兩波攻擊 MAC 位址相同,研判為同一組攻擊者
  • 攻擊者以非人類身分憑證登入本機帳號
  • 利用手法:CAS 停用情境下,偽造 authentication override cookie 分配 VPN IP,進入企業內網

影響統計(Rapid7客戶環境)

  • 10個受影響環境:2個攻擊者成功建立 VPN 連線;8個防火牆接收 cookie 但未完整建立連線

風險評估

Rapid7 建議企業將此漏洞視為重大(儘管 Palo Alto 官方評為高風險 CVSS 7.8):

  • 已有實際攻擊,公布後僅3天即被利用
  • 影響企業網路邊緣 VPN 系統
  • NVD 重新評分為 CVSS 9.1

緩解措施

  • 立即套用 Palo Alto Networks 修補程式(PAN-OS 10.2/11.x/12.1 版)
  • 確認防火牆雲端身分驗證服務(CAS)狀態
  • 停用不必要的 GlobalProtect 身分驗證覆寫 Cookie 功能
  • 監控異常 VPN 登入行為(尤其非人類帳號)

來源文章

相關頁面