Palo Alto Networks の PAN-OS および Prisma Access に影響を与える深刻な認証バイパス脆弱性が、悪意ある攻撃者によって積極的に悪用されています。
攻撃の増加を受け、米サイバーセキュリティ・インフラセキュリティ庁(CISA)は2026年5月29日、CVE-2026-0257 を既知の悪用済み脆弱性(KEV)カタログに追加しました。
この脆弱性の CVSSv4 スコアは「中程度」にとどまりますが、Rapid7 のセキュリティ研究者たちは各組織に対し、早急な対処が求められる重大な脅威として扱うよう強く促しています。
Palo Alto Networks が CVE-2026-0257 を最初に公開したのは2026年5月13日のことでした。この脆弱性を悪用されると、認証されていないリモートの攻撃者が認証オーバーライドクッキーを偽造し、GlobalProtect ゲートウェイを通じて不正な VPN 接続を確立することが可能になります。
この欠陥は、デフォルトでは無効化されている「認証オーバーライド」機能に存在します。同機能は認証済みユーザーにセッションクッキーを発行することで、繰り返しのログインを不要にするものです。
脆弱性は、これらのクッキーの暗号化に使用される証明書が、ポータルの HTTPS サービスなど別のサービスと共有されている場合にトリガーされます。
/usr/local/bin/gpsvc バイナリ内の復号処理では署名検証が行われないため、公開された HTTPS 証明書から公開鍵を取り出した攻撃者は、有効なクッキーを容易に偽造して認証を完全に回避できてしまいます。
Rapid7 の研究者が確認した最初の悪用は2026年5月17日にさかのぼります。この第1波の攻撃では、攻撃者は複数の顧客環境においてローカル管理者アカウントへのクッキーベースの不審な認証リクエストを送信していました。
悪意あるトラフィックは Vultr がホストする IP アドレスから発生していました。攻撃者はマシン名「GP-CLIENT」と偽装 MAC アドレスを組み合わせることで、正規のエンドポイントを装っていました。
2026年5月21日には第2波の攻撃が始まり、ホスティングプロバイダー「Dromatics Systems」からのトラフィックが確認されました。
この段階では、脅威アクターはマシン名「DESKTOP-GP01」を使用し、侵害された一部の環境では完全な VPN IP の割り当てにも成功しており、内部ネットワークへの直接アクセスを獲得していました。
両方のキャンペーンで同一の偽装 MAC アドレスが一貫して使用されていることから、一人の脅威アクターがこれらの攻撃を主導していると強く考えられます。なお、影響を受けた Rapid7 MDR 顧客10社のうち8社では、完全な VPN セッションの確立には至らず、認証プローブの試みのみが確認されました。
侵害インジケーター(IoC)
| インジケーター | 説明 |
|---|---|
| 104.207.144[.]154 | 脅威アクターの発信元 IP(第1波、Vultr) |
| 146.19.216[.]119 / .120 / .125 | 脅威アクターの発信元 IP(第2波、Dromatics) |
| aa:bb:cc:dd:ee:ff | 両波で確認された偽装 MAC アドレス |
| GP-CLIENT | マシン名、Linux 認証、5月17日 |
| DESKTOP-GP01 | マシン名、Windows 認証、5月21日 |
注意: IP アドレスおよびドメインは、意図しない名前解決やハイパーリンクを防ぐため、意図的に無害化(デファング)されています(例:[.])。MISP、VirusTotal、SIEM などの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻してご使用ください。
管理者はネットワーク侵害を防ぐため、影響を受ける PAN-OS および Prisma Access のインスタンスを直ちにセキュアなリリースへアップグレードしてください。
PAN-OS を使用している組織向けの主要な修正済みバージョンは、12.1.4-h6、12.1.7、11.2.12、11.1.15、10.2.18-h6 です。Prisma Access バージョン 11.2.0 を使用している組織は 11.2.7-h13 以降へアップグレードする必要があり、バージョン 10.2.0 を実行している環境は 10.2.10-h36 以降へアップグレードしてください。
緩和策
この脅威から環境を守るため、管理者はまず認証オーバーライド機能が運用上の絶対的な要件でない場合は、同機能を完全に無効化してください。
機能を有効のままにする必要がある場合は、認証オーバーライドクッキーの暗号化専用の証明書を新たに生成し、HTTPS サービスやその他のネットワーク機能と絶対に共有しないようにしてください。
さらに、すべての VPN および GlobalProtect 認証ログを対象に、提供された侵害インジケーターを積極的に調査することを強く推奨します。
最後の防御策として、セキュリティオペレーションセンターはローカル管理者アカウントを標的とした不審な GlobalProtect クッキー認証の試みを監視するための検出ルールを導入してください。
翻訳元: https://gbhackers.com/palo-alto-pan-os-authentication-bypass/
