Palo Alto Networks GlobalProtect身分驗證繞過漏洞CVE-2026-0257遭利用
Palo Alto Networks於2026年5月14日公布CVE-2026-0257漏洞,並於兩週後(2026年6月1日)警告已出現少量嘗試利用跡象。
漏洞概要
| 屬性 | 詳情 |
|---|---|
| CVE | CVE-2026-0257 |
| CVSS(Palo Alto) | 7.8(高風險) |
| CVSS(NVD) | 9.1(重大) |
| 影響元件 | GlobalProtect Portal / Gateway |
| 影響平臺 | PAN-OS、Prisma Access |
| 不受影響 | Panorama、Cloud NGFW |
| 公布日期 | 2026-05-14 |
| 利用警告(Palo Alto) | 2026-06-01 |
| CISA KEV 收錄 | 2026-05-29 |
| 聯邦機構修補截止 | 2026-06-19 |
攻擊條件
攻擊者需滿足以下三個條件才能利用此漏洞:
- 目標防火牆啟用GlobalProtect Portal或Gateway
- GlobalProtect啟用身分驗證覆寫Cookie(authentication override cookies)
- 特定的憑證組態
影響
成功利用後,攻擊者可繞過安全限制,建立未經授權的VPN連線進入企業網路。
修補版本
- PAN-OS 10.2、11.x、12.1 版已有修補版本
- Prisma Access 10.2 與 11.2 版已有修補版本
攻擊時間線(Rapid7事件應變調查)
| 日期 | 事件 |
|---|---|
| 5/14 | Palo Alto Networks 公布漏洞 |
| 5/17 | 首波攻擊活動出現(公布後僅3天) |
| 5/18 UTC | Rapid7 開始事件應變,偵測到可疑VPN身分驗證活動 |
| 5/21 | 第二波攻擊出現 |
| 5/29 | CISA 列入 KEV |
攻擊細節
- 攻擊來源: 主機代管商 Vultr(首波)、Dromatics Systems(第二波)
- 兩波攻擊 MAC 位址相同,研判為同一組攻擊者
- 攻擊者以非人類身分憑證登入本機帳號
- 利用手法:CAS 停用情境下,偽造 authentication override cookie 分配 VPN IP,進入企業內網
影響統計(Rapid7客戶環境)
- 10個受影響環境:2個攻擊者成功建立 VPN 連線;8個防火牆接收 cookie 但未完整建立連線
風險評估
Rapid7 建議企業將此漏洞視為重大(儘管 Palo Alto 官方評為高風險 CVSS 7.8):
- 已有實際攻擊,公布後僅3天即被利用
- 影響企業網路邊緣 VPN 系統
- NVD 重新評分為 CVSS 9.1
緩解措施
- 立即套用 Palo Alto Networks 修補程式(PAN-OS 10.2/11.x/12.1 版)
- 確認防火牆雲端身分驗證服務(CAS)狀態
- 停用不必要的 GlobalProtect 身分驗證覆寫 Cookie 功能
- 監控異常 VPN 登入行為(尤其非人類帳號)
來源文章
- ithome-2026-06-01-palo-alto-globalprotect-cve-2026-0257-176250 — 原始來源(Palo Alto 初次警告)
- ithome-2026-06-01-cisa-globalprotect-cve-2026-0257-176253 — CISA KEV 收錄確認積極利用
- ithome-2026-06-01-palo-alto-globalprotect-rapid7-176260 — Rapid7 事件應變調查詳情
相關頁面
- palo-alto-networks — Palo Alto Networks 公司頁面
- rapid7 — 事件應變調查來源
- 非人類身分NHI治理危機與AI Agent資安威脅 — 非人類身分憑證濫用相關概念