Palo Alto Networks 發出警告，駭客現在正在利用 PAN-OS GlobalProtect 驗證繞過漏洞（編號為 CVE-2026-0257）發動攻擊，試圖入侵企業網路。該公司在本月初修復了 CVE-2026-0257漏洞，並警告該漏洞可能被用於在設備上建立未經授權的 VPN 連線。Palo Alto 發布的公告稱：「Palo Alto Networks PAN-OS® 軟體的 GlobalProtect 門戶和網關允許攻擊者繞過安全限制並建立未經授權的 VPN 連接。」

此漏洞被評為中等嚴重性等級，因為它要求裝置配置啟用身份驗證覆蓋 cookie 和特定的憑證設定。然而，週五，Palo Alto Networks 更新了安全公告，警告該漏洞目前正被積極用於攻擊未打補丁的設備，並將嚴重性評級提高到「高」。

更新內容顯示：「Palo Alto Networks 已註意到，在未打補丁且未採取緩解措施的 PAN-OS 設備上存在有限的漏洞利用嘗試。」Rapid7 解釋說：「Rapid7 MDR 發現許多客戶的設備都成功利用了漏洞，但我們沒有觀察到任何從這些設備橫向移動的跡象。觀察到的最早利用日期是 2026 年 5 月 17 日。」

Rapid7於 5 月 18 日首次發現 Vultr 託管的基礎設施遭到攻擊，5 月 21 日偵測到第二波攻擊，攻擊源自 Dromatics Systems。在某些情況下，攻擊者能夠利用偽造的 Cookie 透過 VPN 連接到設備，從而獲得對內部網路的存取權限。然而，Rapid7 指出，在許多情況下，即使裝置接受了偽造的 Cookie，也無法建立完整的 VPN 會話。

Rapid7 對受影響客戶的調查發現，受影響的裝置啟用了 GlobalProtect 驗證覆蓋 cookie，並且設定方式允許攻擊者偽造有效的身份驗證 cookie。使用 GlobalProtect VPN 裝置的組織應立即安裝最新的安全性更新以修補漏洞。

管理員還可以透過關閉身份驗證覆蓋功能或為該功能使用不同的憑證並且不與裝置上的其他服務共用該憑證來緩解此漏洞。CISA 現在已將該漏洞添加到其已知利用漏洞目錄中，並命令聯邦機構在 2026 年 6 月 1 日之前緩解該漏洞。

資料來源：https://www.bleepingcomputer.com/news/security/palo-alto-globalprotect-vpn-auth-bypass-flaw-now-exploited-in-attacks/