Palo Alto Networks 於 2026 年 5 月 29 日更新安全公告,確認旗下 PAN-OS GlobalProtect 元件存在的身份驗證繞過漏洞
CVE-2026-0257(CVSS 評分:7.8)已遭實際攻擊利用。美國網路安全暨基礎設施安全局(CISA)隨即將該漏洞列入已知遭利用漏洞(KEV)目錄,並要求聯邦民事行政機構於 2026 年 6 月 1 日前完成修補或套用緩解措施。
漏洞概況
CVE-2026-0257 影響 Palo Alto Networks PAN-OS 軟體及 Prisma Access,
問題根源在於 GlobalProtect 入口網站(portal)與閘道器(gateway)的身份驗證機制存在缺陷。攻擊者一旦成功利用此漏洞,可繞過安全限制並建立未經授權的 VPN 連線,進而取得企業內部網路的存取權限。
Palo Alto Networks 指出,
此漏洞影響範圍限於同時符合以下條件的防火牆裝置:已啟用 GlobalProtect 入口網站或閘道器功能、開啟身份驗證覆寫 Cookie功能,以及存在特定憑證配置。該漏洞最初被評定為中等嚴重程度,然而隨著實際攻擊事件確認,Palo Alto Networks 已將嚴重程度級別調升為高(High)。
攻擊活動時間軸
資安廠商 Rapid7 的事件回應團隊揭露了此波攻擊的完整時間軸。Rapid7 確認在多名客戶環境中觀察到成功的漏洞利用行為,最早攻擊案例可追溯至 2026 年 5 月 17 日,並於 5 月 21 日出現第二波攻擊,兩波攻擊均研判為同一威脅行為者所為。
從攻擊手法來看,
攻擊者透過偽造的身份驗證覆寫 Cookie 對 GlobalProtect 閘道器發動認證請求,目標鎖定本機管理員帳號。第一波攻擊的基礎設施來自 Vultr 託管的 IP 位址,第二波則源自 Dromatics Systems。
在部分案例中,攻擊者成功透過偽造 Cookie 建立 VPN 連線,取得對內部網路的存取權限;然而亦有案例顯示,儘管裝置接受了偽造的 Cookie,攻擊者仍未能建立完整的 VPN 工作階段。Rapid7 表示,在已確認建立 VPN 連線的客戶環境中,目前尚未觀察到任何後續的橫向移動行為。
Rapid7 研究人員進一步說明此漏洞的技術成因。PAN-OS 在處理身份驗證覆寫 Cookie 時,裝置會以設定的私鑰解密 Cookie 內容,並直接信任解密後的資料,而未執行任何簽章驗證程序。
若同一憑證同時用於 HTTPS 服務與身份驗證覆寫功能,攻擊者便可透過 HTTPS 連線取得對應的公鑰,進而利用該公鑰偽造任意使用者的有效身份驗證 Cookie,在無需知悉合法憑證的情況下完成認證。Rapid7 已開發出概念驗證(PoC)程式碼,並成功在未修補的 GlobalProtect 閘道器上完成驗證。
緩解措施與修補建議
針對此漏洞,Palo Alto Networks 建議受影響的組織立即採取以下行動:
- 優先安裝最新安全更新,套用官方修補程式為最根本的解決方案。
- 停用身份驗證覆寫功能,作為無法立即完成修補時的臨時緩解措施。
- 為身份驗證覆寫功能專用一組獨立憑證,避免與裝置上其他 HTTPS 服務共用同一憑證,以消除公鑰洩漏的攻擊面。
Rapid7 強調,面向外部的企業 VPN 裝置一旦存在身份驗證繞過漏洞,對受影響組織的潛在衝擊極為重大,呼籲所有執行受影響裝置的組織應以緊急優先級完成修補。
此次攻擊事件並非孤立案例。資安廠商 Arctic Wolf 亦揭露,影響 FortiClient 端點管理伺服器(Endpoint Management Server,EMS)的重大漏洞
CVE-2026-35616(CVSS 評分:9.1)持續遭到武器化利用,攻擊者藉此部署名為 EKZ Infostealer 的憑證竊取惡意程式。企業 VPN 與邊界安全裝置已成為威脅行為者的重點攻擊目標,相關組織應全面檢視邊界設備的修補與配置狀態。