Palo Alto Networks揭露的GlobalProtect漏洞已被用於實際攻擊
來源: iThome | 日期: 2026-06-01
URL: https://www.ithome.com.tw/news/176260
漏洞概要
- CVE: CVE-2026-0257(PAN-OS GlobalProtect 身分驗證繞過漏洞)
- 公布日期: 2026年5月14日
- 首次遭利用: 2026年5月17日(公布後僅3天)
- 警告單位: CISA、Palo Alto Networks(上週末發出警告)
攻擊時間線
| 日期 | 事件 |
|---|---|
| 5/14 | Palo Alto Networks 公布漏洞 |
| 5/17 | 首波攻擊活動出現 |
| 5/18 UTC | Rapid7 開始事件應變,偵測到可疑VPN身分驗證活動 |
| 5/21 | 第二波攻擊出現 |
攻擊細節(Rapid7觀察)
- 攻擊來源: 主機代管商 Vultr(首波)、Dromatics Systems(第二波)
- 兩波攻擊來源 MAC 位址相同,研判為同一組攻擊者
- 攻擊者以非人類身分憑證登入本機帳號
- 利用方式:防火牆雲端身分驗證服務(CAS)被停用,但 GlobalProtect 啟用了身分驗證覆寫 Cookie 功能
- 攻擊者利用偽造 cookie 分配 VPN IP,進入受害組織內網
影響範圍
- 10個受影響客戶環境中:
- 2個:攻擊者成功利用偽造 cookie 得逞
- 8個:防火牆接收 cookie 但未建立完整 VPN 連線
風險評估
Rapid7 認為,雖然 Palo Alto Networks 評估為高風險,但考量以下因素,企業應將其視為重大漏洞:
- 已出現實際攻擊活動
- 影響位於企業網路邊緣的 VPN 系統
- 可繞過身分驗證流程
建議行動
- 立即套用 Palo Alto Networks 修補程式
- 確認防火牆雲端身分驗證服務(CAS)狀態
- 檢查 GlobalProtect 身分驗證覆寫 Cookie 設定是否必要
- 監控異常 VPN 登入行為(尤其非人類帳號)
衍生頁面
- Palo Alto Networks GlobalProtect身分驗證繞過漏洞CVE-2026-0257遭利用 — 漏洞概念頁面(已更新攻擊細節)
- palo-alto-networks — 廠商實體頁面
- rapid7 — 事件應變調查來源