5月中旬至今,多家企业的 Palo Alto Networks GlobalProtect 网关被同一幕后黑手“批量试探”,其中部分目标已遭成功入侵——攻击者未使用任何有效凭证,仅靠一个配置疏忽,就轻松拿到了内网的“钥匙”。
共用证书酿成大祸
本次风波的主角是 CVE-2026-0257,一个存在于 PAN-OS GlobalProtect 门户与网关组件中的认证绕过漏洞。该漏洞允许未经授权的攻击者绕过安全限制,直接建立非法VPN连接。
技术上,问题出在 HTTPS 服务证书与 Cookie 加密证书共用同一份私钥 这一常见错误配置上。攻击者只需从公开的 HTTPS 会话中提取公钥,就能据此伪造出任意用户的合法 Cookie——包括本地管理员账户。整个攻击过程无需暴力破解,无需窃取密码,只需几秒即可完成。
Rapid7 实验室团队已公开 PoC 脚本,证实该攻击的简易性与高成功率。
两波攻势,同一黑手
- 5月13日:Palo Alto Networks 发布安全补丁,但漏洞细节尚未公开。
- 5月17日:Rapid7 MDR 团队首次在客户环境中捕获到利用迹象。
- 5月18日 01:51 UTC:第一波大规模扫描与试探爆发,攻击源指向 Vultr 托管的基础设施。日志显示,攻击者使用伪造的 Cookie 尝试以本地管理员身份登录,主机名统一为“GP-CLIENT”,MAC 地址伪装为“aa:bb:cc:dd:ee:ff”。
- 5月21日:第二波攻势来袭,源头切换至 Dromatics Systems,主机名改为“DESKTOP-GP01”,但 MAC 地址完全一致——安全团队据此判断,两波攻击系同一威胁行为者操纵。
第二波中,部分受害者不仅 Cookie 被接受,还成功获得了 VPN IP 地址分配,意味着攻击者已直连内网。虽然截至发稿尚未观察到横向移动或后渗透行为,但内网入口失守本身已构成严重安全事件。
有的沦陷,有的幸免?
Rapid7 统计的 10 家受影响客户中,8 家虽接受了伪造 Cookie,却未建立完整 VPN 会话;另有 2 家则被完全打通。原因尚不明确,但研究员推测这可能与 GlobalProtect 网关的具体版本、会话超时策略或网络环境差异有关。
你中招了吗?
该漏洞的利用条件非常明确,只有同时满足以下两条,才处于风险之中:
- Cloud Authentication Service(云认证服务)处于禁用状态;
- 启用了“认证覆盖 Cookie”功能,且该 Cookie 所使用的证书与 HTTPS 服务证书为同一份。
如果您的配置不符合上述组合,则不受影响。
紧急处置建议
Palo Alto 官方已发布修复版本,强烈建议立即升级至对应已打补丁的 PAN-OS 版本。
若无法立即升级,可采用以下临时缓解措施:
- 禁用“认证覆盖”功能(若业务允许);
- 生成专用证书,仅用于 Cookie 加密,切勿与 HTTPS 或其他服务共用。
同时,请立即排查 GlobalProtect 日志中是否存在以下可疑特征:
已知攻击 IP(部分列表)
23.128.228.6
104.207.144.154
146.19.216.119
146.19.216.120
146.19.216.125
179.43.172.213
185.195.232.139
198.12.106.60
202.144.192.47
可疑主机名与 MAC 地址
- 主机名:
GP-CLIENT、DESKTOP-GP01、WINDOWS-LAPTOP-001
- MAC 地址:
aa:bb:cc:dd:ee:ff、00:11:22:33:44:55
异常会话特征
- 客户端显示为“Windows 10 Pro 64-bit”
- 源用户域名为空
凡命中上述指标的成功登录事件,极可能已被入侵。建议立即启动应急响应,切断可疑 VPN 会话并全面审计内网资产。这类利用漏洞绕过 防火墙 认证的事件,再次印证了基础配置安全的重要性。
评分争议:厂商眼中的“中危”,实战中的“高危”
Palo Alto 初始将本漏洞定为中危,理由是需特定配置才可触发。但安全社区与 Rapid7 一致认为:一个面向公网的 VPN 认证绕过漏洞,能直接将攻击者送入内网,无论 CVSS 分数如何,实战威胁都属“高危”级别。 此次大规模利用也证实了这一点。
CVE-2026-0257 的教训再次敲响警钟:边缘设备的安全配置远比版本号重要。证书管理、认证策略、日志监控——这些基础工作缺一不可。对 安全/渗透/逆向 领域而言,这正是配置核查优于单纯漏洞扫描的经典案例。
资讯来源:综合自 Palo Alto Networks 安全公告、Rapid7 MDR 事件响应报告、CISA 已知被利用漏洞目录(KEV)及公开技术分析。
| 
发表于 3 小时前
|
查看: 4|
回复: 0
