漏洞升级:从预警到活跃攻击
在研究人员证实攻击者正利用 Palo Alto Networks GlobalProtect VPN 中的一个漏洞后,该公司客户正面临一场紧急的安全保卫战。该漏洞编号为 CVE-2026-0257,影响了在特定配置下使用 GlobalProtect 身份验证覆盖(authentication override)Cookie 的 PAN-OS 部署环境。
根据 Rapid7 的分析,该漏洞允许未经授权的攻击者绕过身份验证协议,直接进入企业内部网络。漏洞的根源在于 PAN-OS 处理身份验证覆盖 Cookie 的机制:在某些部署中,攻击者可以伪造 Cookie,诱骗防火墙将其识别为合法凭证。对于那些在 HTTPS 服务和身份验证覆盖 Cookie 中使用相同证书的组织而言,风险尤为严峻,因为这为攻击者生成足以乱真的伪造凭证提供了必要信息。
Palo Alto Networks 最初于 5 月 13 日披露了该漏洞。当时,厂商将其定性为中等严重程度,并表示虽然知晓存在潜在的攻击尝试,但尚未在野外观察到确凿的恶意活动。然而,随着成功攻击证据的出现,这一评估已被修正。
Rapid7 的安全研究人员报告称,他们观察到自 5 月 17 日起,多个客户环境中已出现针对该漏洞的成功攻击案例。该公司通过其概念验证(PoC)测试验证了攻击技术,确认攻击者能够在易受攻击的系统上建立未经授权的 VPN 会话。这种未经授权的访问权限,使黑客无需合法凭证即可潜入企业内部网络。
Palo Alto Networks 在最新的公告更新中承认了威胁形势的变化,并表示:“Palo Alto Networks 已获悉针对未打补丁且未采取缓解措施的 PAN-OS 设备存在少量攻击尝试。”厂商目前正敦促所有受影响的客户优先安装安全补丁,以防止进一步的未经授权访问。
此次事件发生在上个月另一起安全危机之后,当时有国家背景的攻击者利用了 PAN-OS User-ID 身份验证门户中的一个关键远程代码执行漏洞。鉴于 CVE-2026-0257 目前正处于活跃利用阶段,安全团队被建议将该漏洞视为高优先级风险。目前正在运行易受攻击的 GlobalProtect 网关的组织,应立即应用厂商提供的补丁,以降低持续遭受恶意攻击的风险。
