Palo Alto Networks 表示 PAN-OS GlobalProtect 漏洞正在被积极利用
针对企业 VPN 的主动攻击
Palo Alto Networks 警告称,攻击者正在积极利用 PAN-OS GlobalProtect 的一个身份验证绕过漏洞,该漏洞可能让他们在企业设备上建立未经授权的 VPN 连接。
该漏洞编号为 CVE-2026-0257,本月早些时候已发布补丁。Palo Alto 最初将其评为中等严重性,称利用该漏洞需要设备启用身份验证覆盖 cookie 并配置特定证书。周五,该公司修订了通告,称已注意到针对未打补丁且未采取缓解措施的 PAN-OS 设备的有限利用尝试,并将该问题提升为高严重性。
“Palo Alto Networks PAN-OS 软件的 GlobalProtect 门户和网关允许攻击者绕过安全限制并建立未经授权的 VPN 连接,”公司在通告中写道。
该更新紧随 Rapid7 的另一次警告。Rapid7 表示,自 5 月 17 日起,它观察到针对众多客户的成功利用行为。Rapid7 表示尚未看到受影响设备上发生成功的横向移动证据,但指出该漏洞已于 2026 年 5 月 29 日被添加到 CISA Known Exploited Vulnerabilities 目录中。
根据 Rapid7 的说法,攻击使用伪造的身份验证覆盖 cookie 向 GlobalProtect 网关进行身份验证,并针对本地管理员账户。该公司表示,首次观察到的利用发生在 5 月 18 日,来源于 Vultr 托管的基础设施;第二波发生在 5 月 21 日,源自 Dromatics Systems。
在某些情况下,攻击者能够使用伪造的 cookie 通过 VPN 连接到设备并访问内部网络。在其他事件中,设备接受了伪造的 cookie,但无法建立完整的 VPN 会话。
Rapid7 表示,受影响的设备启用了 GlobalProtect 的身份验证覆盖 cookie,并以一种允许攻击者伪造有效 cookie 的方式进行了配置。问题源于 PAN-OS 的验证流程:VPN 设备使用配置的私钥解密 cookie,并在未进行签名验证的情况下信任解密后的内容。如果同一证书既用于 HTTPS 服务又用于身份验证覆盖 cookie,攻击者可以通过 HTTPS 会话获取公钥,并利用该公钥创建设备会接受为合法的 cookie。
来源:
Doppler VPN:6 个服务器位置,VLESS 协议,无跟踪。免费开始.