PAN-OS GlobalProtect 认证绕过已被利用:边界 VPN 设备该如何排查和修复

事件概述

Palo Alto Networks 近期确认,PAN-OS 中的 GlobalProtect 认证绕过漏洞 CVE-2026-0257 已出现有限在野利用。这个问题并不是传统意义上“扫到端口就一定能打穿”的漏洞,而是出现在特定配置组合下:当防火墙启用了 GlobalProtect portal 或 gateway,并且认证覆盖 cookie(authentication override cookies)处于启用状态,同时存在特定证书配置时,攻击者可能绕过正常认证流程,尝试建立 VPN 连接。

这类漏洞需要格外重视的原因在于,GlobalProtect 属于典型的边界访问入口。它通常直接暴露在公网,用来承载员工远程办公、分支机构接入、运维访问和企业内网访问。一旦边界 VPN 被绕过,风险不只是“多了一个登录事件”,而是攻击者可能获得进入内网的跳板,再继续寻找横向移动、凭据窃取或业务系统攻击机会。

根据 Palo Alto Networks Unit 42 的威胁简报,相关活动已经被观察到,CISA 也在 2026 年 5 月 29 日将 CVE-2026-0257 加入 Known Exploited Vulnerabilities(KEV)目录。Rapid7 的分析显示,其 MDR 团队在多个客户环境中观察到可疑 cookie 认证行为,并建议组织把该漏洞当作高优先级风险处理,即使最初评分并不算最高。

影响范围

从厂商公告看,CVE-2026-0257 影响的是特定版本 PAN-OS 与 Prisma Access 场景,重点条件是 GlobalProtect portal 或 gateway 配置以及 authentication override cookie 相关设置。换句话说,并非所有部署了 Palo Alto 防火墙的环境都会受影响,但只要设备承担远程接入入口,就应该立刻核对版本和配置。

官方公告中列出了多个受影响的 PAN-OS 版本分支,并明确提到 Prisma Access 会按客户升级计划进行升级。对于企业自管防火墙,管理员需要登录管理界面查看当前 PAN-OS 版本、GlobalProtect 配置和认证覆盖 cookie 是否开启,再对照官方 CVE 页面确认自己是否落在修复范围内。

站长和中小企业运维也不要觉得“这是大厂防火墙才有的问题”。很多企业把 VPN、堡垒机、远程桌面网关、零信任入口、防火墙管理口等系统放在公网边界,一旦边界身份校验链路出问题,后续影响往往比单台 Web 服务器漏洞更复杂。即使没有使用 PAN-OS,也应该借这个事件重新检查远程访问入口的暴露面和日志告警。

为什么边界 VPN 漏洞更危险

Web 应用漏洞通常还要看具体业务权限、文件上传路径、数据库权限和后端隔离情况,而 VPN 入口本身就是“进入内网”的门。认证绕过类漏洞的麻烦之处在于,它绕过的是组织原本最依赖的一层身份校验。攻击者不一定需要掌握员工密码,也可能不触发常规密码爆破告警。

Rapid7 披露的案例中,攻击者利用 forged cookie 发起认证探测,在部分环境中出现 VPN IP 分配和 GlobalProtect gateway-connected 相关事件。Unit 42 也建议组织重点搜索 GlobalProtect 日志中的成功连接事件,尤其是来自可疑 IP、异常主机名、硬编码设备名或非人类身份特征的登录记录。

安全团队监控边界 VPN 与防火墙日志的仪表盘
边界 VPN 与防火墙日志应纳入高优先级监控,异常 cookie 认证和成功连接事件尤其值得排查。

对运维团队来说,真正要关注的不是某个 CVSS 分数,而是“是否公网暴露、是否已有在野利用、是否可能绕过身份边界、是否能进一步访问内部资产”。CVE-2026-0257 同时具备边界设备、远程认证、已在 KEV 目录、已有安全厂商观察到攻击活动这些特征,因此修复优先级应该排在普通内网低危漏洞前面。

排查思路

第一步是确认资产。列出所有对公网开放的 Palo Alto Networks 防火墙、GlobalProtect portal、GlobalProtect gateway,以及由 Prisma Access 承载的远程接入服务。很多组织的问题不是不知道有漏洞,而是不清楚哪些远程入口还在使用旧版本或旧配置。

第二步是核对版本和配置。管理员可以在 PAN-OS 管理界面查看系统版本,并进入 Network > GlobalProtect > Gateways,打开对应 Gateway,在 Agent 与 Client Settings 中检查 Authentication Override 相关选项,特别是“Accept cookie for authentication override”是否启用。具体路径和影响判断应以 Palo Alto Networks 官方公告为准。

第三步是看日志。重点检查 GlobalProtect gateway-auth、gateway-connected、portal-auth 等相关日志,寻找异常来源 IP、异常设备名、异常 endpoint_os_version、空 domain、Cookie 认证成功、非预期本地账号登录等迹象。Unit 42 和 Rapid7 都给出了可用于狩猎的指标和日志特征,但实际处置时不要只依赖固定 IOC,因为攻击者可能更换基础设施和客户端标识。

第四步是确认是否有后续行为。即使目前部分报告未观察到明确横向移动,也不能把“成功建立 VPN 会话”当成小事。安全团队应继续核查 VPN 分配地址之后访问了哪些内部网段、是否触达管理口、数据库、文件共享、域控、代码仓库、监控系统或云控制台,并结合 EDR、堡垒机、AD 日志和防火墙会话日志做交叉验证。

修复与临时缓解建议

最稳妥的处理方式是升级到 Palo Alto Networks 官方提供的修复版本。升级前应先阅读对应 PAN-OS 分支的 release notes 和 CVE 公告,确认目标版本、已知问题、HA 集群升级顺序、维护窗口和回滚方案。生产防火墙升级会影响远程接入和边界流量,建议先备份配置,在测试或备用设备上验证,再安排低峰期变更。

如果短时间内无法升级,应优先按官方公告提供的 mitigations 处理。根据官方说明,降低风险的方向包括调整 GlobalProtect 认证覆盖 cookie 相关配置、限制暴露面、加强访问控制和监控。不要自行套用网上未经验证的一键命令,也不要在没有评估的情况下关闭关键安全能力;边界设备变更应保留变更记录和回滚路径。

升级后还要注意一个细节:厂商公告提到,修复后如果 GlobalProtect Portal 或 Gateway 使用 authentication override cookie,防火墙会以更安全的方式重新生成 cookie,因此用户可能需要重新认证一次。这属于预期行为,运维团队最好提前通知员工,避免升级后把重新登录误判为故障。

对中小企业来说,如果远程办公和运维访问依赖云上业务,也可以把这次事件作为检查入口安全的契机:公网管理口尽量收敛到 VPN、堡垒机或零信任访问;核心服务器优先使用白名单、安全组和最小权限;关键业务可以结合速维云云服务器的安全组、快照备份和监控能力,把远程登录、Web 服务和数据库访问分层管理,而不是把所有端口直接暴露到公网。

后续观察

CVE-2026-0257 给所有运维团队提了一个醒:边界设备漏洞不一定总是“评分最高”,但只要它和远程接入、认证绕过、VPN 会话建立有关,就应该快速进入应急列表。漏洞管理不能只按分数排序,还要结合公网暴露、攻击活跃度、资产关键性和业务影响。

接下来建议持续关注 Palo Alto Networks 官方 CVE 页面、Unit 42 威胁简报、Rapid7 分析和 CISA KEV 目录更新。如果组织已经发现可疑 VPN 成功连接,应按入侵事件处理,而不是只做版本升级:保全日志、导出配置、确认连接时间线、排查内网访问痕迹、轮换可能受影响的凭据,并在必要时启动外部应急响应。

对没有使用 PAN-OS 的团队,这篇文章的价值也不止于一个漏洞编号。所有边界接入系统都应该定期回答三个问题:它是不是公网可见?认证链路是否依赖旧配置或长效 cookie?一旦被绕过,攻击者能不能直接碰到核心内网?这三个问题,比单纯记住某个 CVE 更能提升实际安全水平。

© 版权声明
THE END
喜欢就支持一下吧
点赞7 分享