攻击者在漏洞披露数天后即开始利用Palo Alto GlobalProtect缺陷

Palo Alto Networks旗下一款允许攻击者在企业网络中建立未授权VPN访问的漏洞，正在被攻击者积极利用。而就在数周前，该公司才将其定级为中等严重性漏洞，并声称尚未发现任何攻击行为。

然而，据Rapid7披露，威胁行为者早在漏洞公开披露后数天内便已开始利用该漏洞。

"Rapid7 MDR在多名客户环境中发现了成功的漏洞利用行为，但未观察到攻击者从相关设备实施横向移动的迹象。"该公司在分析报告中表示。Rapid7指出，在其调查的案例中，攻击者已进入网络，但未见进一步深入渗透的动作。

该漏洞编号为CVE-2026-0257，影响Palo Alto远程访问VPN平台GlobalProtect。Rapid7表示，攻击者最早于5月17日开始利用该漏洞，距Palo Alto发布修复方案和缓解指南仅四天。

这一情况与Palo Alto于5月13日发布的初始安全公告相比，形势已明显升级。彼时公告将该漏洞评定为中等严重性，并声明公司尚未发现恶意利用行为。

至5月29日，Palo Alto更新了安全公告，将该漏洞的CVSS评分提升至7.8，将漏洞利用成熟度标注为"已遭攻击"，并赋予其最高紧急程度评级。

"Palo Alto Networks已注意到，针对未打补丁且未采取缓解措施的PAN-OS设备，存在有限的漏洞利用尝试。"该公司在更新公告中表示。

尽管该漏洞并不能在防火墙设备上实现远程代码执行，但Rapid7仍敦促各组织将其视为比官方评分所示更为严重的漏洞。

"尽管CVSSv4评分显示为中等严重性，但鉴于该漏洞的特殊背景，Rapid7强烈建议各组织将其视为高危漏洞对待。"该公司表示。

Beagle Security顾问Sunil Varkey表示，该漏洞之所以尤为令人担忧，在于它能够实现他所称的"完全无需凭据的身份验证绕过"。

"攻击者可利用公开可用的公钥伪造Cookie，无需任何恶意软件、网络钓鱼或窃取的凭据，即可直接建立VPN会话。"Varkey说道。

他补充表示，由于由此建立的会话看似合法，此类攻击活动与许多传统入侵手段相比，侦测难度要大得多。

IDC亚太区网络安全服务高级研究经理Sakshi Grover指出，尽管远程代码执行漏洞通常获得最高严重性评级，但影响远程访问基础设施的身份验证绕过漏洞同样可能带来可比拟的企业级风险。

"在现代零信任模型中，身份就是新的安全边界。"Grover表示，"一个能够授予未授权已认证访问权限的漏洞，即便不在底层设备上执行代码，实际上也已破坏了这道安全边界。"

她补充表示，企业面临的风险与其说来自漏洞本身，不如说来自其所开放的后续访问路径，包括横向移动、凭据收割，以及在合法会话掩护下的持久化攻击。

漏洞根源在于PAN-OS处理身份验证覆盖Cookie的方式，Rapid7在披露中指出。网关使用私钥解密Cookie后，未经签名验证便直接信任其内容。

Varkey表示，Cookie功能原本是为便利性而设计的。

"许多组织启用身份验证覆盖Cookie，出发点很简单：提升用户体验。而现在，这一功能需要被认真重新审视。"他说道。

Rapid7补充指出，该漏洞仅在特定配置下才会触发：Cookie功能必须处于启用状态，且用于保护Cookie的证书还必须兼作其他用途，例如用于网关的HTTPS接口。攻击者随后可获取公钥并伪造有效Cookie。该功能默认关闭，但多年前曾将其开启的团队可能并未意识到自己已暴露于风险之中。

Grover表示，这揭示了一个更深层的规律：风险往往不源于漏洞本身，而来自技术随时间推移的配置和维护方式。

随着美国网络安全和基础设施安全局于5月29日将CVE-2026-0257纳入已知被利用漏洞目录，并要求联邦民事机构于6月1日前完成修复，围绕该漏洞的紧迫性进一步上升。

Rapid7建议各组织审查受影响的GlobalProtect部署，确认是否存在易受攻击的配置，并尽快应用可用的修复补丁。

这一事件也凸显了推进零信任架构的组织所面临的更宏观挑战。

"零信任并未消除边界，而是对其进行了重新分配。"Grover表示，"身份提供商、VPN网关、远程访问门户、SASE边缘节点和云访问服务，已成为攻击者重点攻击的新控制节点。"

她指出，各组织持续在网络安全和零信任计划上大量投入，但传统VPN基础设施往往深度嵌入企业环境，造成了一个过渡期的空白地带，而攻击者利用这一空白的速度，已超过许多组织推进现代化改造的步伐。

"这一事件印证了一个残酷现实：尽管零信任的讨论已持续多年，但当便利性凌驾于严谨架构之上时，边界安全依然脆弱。"Grover说道。

对于首席信息安全官而言，这堂课的意义远不止于打补丁。"边缘设备被反复利用的规律，很少是因为缺少某款安全产品造成的。"Grover表示，"更多时候，它折射出的是资产可见性、配置治理、补丁优先级排序和架构现代化等方面存在的差距。"

Q&A

Q1：CVE-2026-0257漏洞具体是怎么被利用的？

A：攻击者利用PAN-OS处理身份验证覆盖Cookie时的缺陷，通过公开可用的公钥伪造合法Cookie，无需恶意软件、网络钓鱼或窃取凭据，即可直接建立VPN会话。该漏洞仅在Cookie功能启用、且相关证书兼作其他用途（如HTTPS接口）时才会触发，而伪造的会话看起来与正常会话无异，极难被侦测。

Q2：Palo Alto GlobalProtect漏洞的危险程度到底有多高？

A：尽管官方CVSS评分最初为中等，但Rapid7强烈建议将其视为高危漏洞。该漏洞可实现完全无需凭据的身份验证绕过，允许攻击者在企业网络中建立合法外观的VPN会话，进而为横向移动、凭据收割和持久化攻击创造条件。美国CISA已将其纳入已知被利用漏洞目录，并要求联邦机构限期修复。

Q3：企业应该如何应对GlobalProtect的CVE-2026-0257漏洞？

A：企业应立即审查GlobalProtect部署，确认是否启用了身份验证覆盖Cookie功能，并核查相关证书配置。如存在易受攻击的配置，应尽快应用Palo Alto发布的官方补丁和缓解措施。同时建议加强资产可见性管理和配置治理，避免因历史遗留配置带来隐患。