Palo Alto Networks の PAN-OS および Prisma Access に存在する深刻な認証バイパスの脆弱性が、実環境で活発に悪用されていることが確認されました。これを受け、CISAは2026年5月29日、CVE-2026-0257を既知の悪用された脆弱性(KEV)カタログに追加しました。
攻撃者はマシン名 GP-CLIENT と偽装したMACアドレス(aa:bb:cc:dd:ee:ff)を使用し、正規のエンドポイントを装っていました。
2026年5月21日には第2波の攻撃が発生しました。今回はホスティングプロバイダーのDromatics Systemsを経由し、マシン名 DESKTOP-GP01 が使用されていました。
両方の攻撃波で同一の偽装MACアドレスが使われていたことから、一連のキャンペーンの背後には同一の脅威アクターが存在する可能性が高いと見られています。また、Rapid7 MDRの被害顧客10件のうち8件では、VPNセッションの完全な確立には至らず、認証プローブのみにとどまっていたことも注目されます。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])が施されています。リファング処理はMISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
各組織は直ちにアップグレードを実施する必要があります。主な修正済みバージョンは、PAN-OS 12.1.4-h6 / 12.1.7、PAN-OS 11.2.12、PAN-OS 11.1.15、PAN-OS 10.2.18-h6 です。Prisma Access については、バージョン 11.2.0 は 11.2.7-h13 以降、バージョン 10.2.0 は 10.2.10-h36 以降へのアップデートが必要です。
実際の悪用が確認され、公開された概念実証(PoC)スクリプトも出回り、さらにCISA KEVへの登録も完了した現在、安全に対処できる時間的余裕は急速に失われています。インターネットに公開されたGlobalProtectアプライアンスを運用している組織は、一刻も早く対応を講じる必要があります。
翻訳元: https://cyberpress.org/pan-os-globalprotect-authentication-bypass/
