最近資安圈最熱的漏洞,是 Palo Alto Networks PAN-OS 的 GlobalProtect 認證繞過漏洞 CVE-2026-0257(CVSS 7.8)。它允許遠端、未經認證的攻擊者繞過安全限制,直接建立未授權的 VPN 連線——說白了,就是不用帳號密碼就能敲開企業大門。
一、根本原因
根本原因相當經典也相當警世:防火牆「依賴 cookie 卻沒有做完整的驗證與完整性檢查」。問題出在一個非預設啟用的功能 authentication override,它讓 GlobalProtect 入口與閘道對已認證使用者發放 session cookie;當用來加解密這些 cookie 的憑證「被另一個功能共用」時,漏洞就被觸發了。
二、時間軸
Rapid7 在 5 月 17 日就首度觀察到在野利用,距離公開揭露僅僅幾天;最早的攻擊來自 Vultr 託管的 IP,5 月 18 日多個客戶環境偵測到以機器名稱 GP-CLIENT、搭配偽造 MAC 位址進行的可疑 cookie 認證,5 月 21 日出現第二波。CISA 已於 5 月 29 日將其納入已知遭利用漏洞(KEV)清單。攻擊者的主要目的看來是取得初始存取權,後續用於橫向移動或轉賣。修補建議很明確:立即升級到修復版本,或暫時關閉 authentication override、或為它單獨產生一張專用憑證。
我的觀點
這個漏洞值得每個做網站與系統的人記下來,因為它的根因不是什麼高深的 0-day,而是「信任了不該無條件信任的東西」——一個沒被完整驗證、又跨功能共用憑證的 cookie。這條教訓直接適用在 Web 開發上:Laravel 的 session 與 API token 一定要綁定簽章與完整性驗證(簽名、過期、用途隔離),不同用途的金鑰與憑證務必分開,不要為了省事共用;Nginx 前端則應做好 TLS 終止、限制管理介面來源 IP,並把 VPN 與管理後台這類對外暴露的認證入口當成最高風險面去監控。更重要的是補丁節奏:從揭露到在野利用只有幾天,「等下個維護窗口再修」這種思維已經行不通。把 CISA KEV 清單接進你的弱點管理流程,讓「已被實際利用」的漏洞自動跳到最高優先序,是目前性價比最高的防禦動作之一。
資料來源
- PAN-OS GlobalProtect Authentication Bypass (CVE-2026-0257) Under Active Exploitation — The Hacker News
- Rapid7 Observed Exploitation of CVE-2026-0257 — Rapid7
- Hackers are exploiting Palo Alto GlobalProtect VPN authentication bypass — Help Net Security
- Palo Alto GlobalProtect VPN auth bypass flaw now exploited in attacks — BleepingComputer