Palo Alto Networks揭露的GlobalProtect漏洞已被用於實際攻擊

來源: iThome | 日期: 2026-06-01
URL: https://www.ithome.com.tw/news/176260

漏洞概要

  • CVE: CVE-2026-0257(PAN-OS GlobalProtect 身分驗證繞過漏洞)
  • 公布日期: 2026年5月14日
  • 首次遭利用: 2026年5月17日(公布後僅3天)
  • 警告單位: CISA、Palo Alto Networks(上週末發出警告)

攻擊時間線

日期事件
5/14Palo Alto Networks 公布漏洞
5/17首波攻擊活動出現
5/18 UTCRapid7 開始事件應變,偵測到可疑VPN身分驗證活動
5/21第二波攻擊出現

攻擊細節(Rapid7觀察)

  • 攻擊來源: 主機代管商 Vultr(首波)、Dromatics Systems(第二波)
  • 兩波攻擊來源 MAC 位址相同,研判為同一組攻擊者
  • 攻擊者以非人類身分憑證登入本機帳號
  • 利用方式:防火牆雲端身分驗證服務(CAS)被停用,但 GlobalProtect 啟用了身分驗證覆寫 Cookie 功能
  • 攻擊者利用偽造 cookie 分配 VPN IP,進入受害組織內網

影響範圍

  • 10個受影響客戶環境中:
    • 2個:攻擊者成功利用偽造 cookie 得逞
    • 8個:防火牆接收 cookie 但未建立完整 VPN 連線

風險評估

Rapid7 認為,雖然 Palo Alto Networks 評估為高風險,但考量以下因素,企業應將其視為重大漏洞

  • 已出現實際攻擊活動
  • 影響位於企業網路邊緣的 VPN 系統
  • 可繞過身分驗證流程

建議行動

  • 立即套用 Palo Alto Networks 修補程式
  • 確認防火牆雲端身分驗證服務(CAS)狀態
  • 檢查 GlobalProtect 身分驗證覆寫 Cookie 設定是否必要
  • 監控異常 VPN 登入行為(尤其非人類帳號)

衍生頁面