Palo Alto Networksは、CVE-2026-0257として追跡されているPAN-OS GlobalProtectの認証バイパスの脆弱性が、企業ネットワークへの侵入を試みる攻撃者によって実際に悪用されていると警告しています。
同社はこの脆弱性を修正しました。The video player is currently playing an ad. You can skip the ad in 5 sec with a mouse or keyboard
この脆弱性は、認証オーバーライドCookieの有効化と特定の証明書設定が必要なため、深刻度「中」と評価されていました。
しかし金曜日、Palo Alto Networksはアドバイザリを更新し、未パッチのデバイスに対する攻撃でこの脆弱性が実際に悪用されていると警告するとともに、深刻度を「高」に引き上げました。
「Palo Alto Networksは、緩和策が適用されていない未パッチのPAN-OSデバイスに対する限定的な悪用の試みを把握しています」とアップデートには記載されています。
この更新は、Rapid7が5月17日から多数の顧客に対してこの脆弱性が悪用されていることを確認したと警告した後に行われました。
「Rapid7 MDRは多数の顧客に対して悪用の成功を確認しましたが、デバイスからのラテラルムーブメントの成功を示す兆候は観察されませんでした。確認された最も早い悪用日は2026年5月17日です」とRapid7は説明しています。
「2026年5月29日時点で、この脆弱性はCISA KEVに追加されています。」
Rapid7によると、攻撃者はローカル管理者アカウントを標的とした偽造認証オーバーライドCookieを使用してGlobalProtectゲートウェイへの認証を試みることから攻撃を開始しました。
同社は最初の悪用を5月18日にVultrがホストするインフラから確認し、次の攻撃の波は5月21日にDromatics Systemsを発信元として検出しました。
場合によっては、攻撃者が偽造Cookieを使用してVPN経由でデバイスに接続し、内部ネットワークへのアクセスを獲得することができました。ただし、Rapid7によれば、多くのインシデントでは、アプライアンスが偽造Cookieを受け入れたにもかかわらず、完全なVPNセッションを確立できなかったとのことです。
Rapid7が影響を受けた顧客を調査した結果、影響を受けたデバイスはGlobalProtect認証オーバーライドCookieが有効になっており、攻撃者が有効な認証Cookieを偽造できる設定になっていることが判明しました。
研究者らは、この脆弱性がPAN-OSの認証オーバーライドCookieの検証方法に起因すると述べています。
GlobalProtect VPNデバイスは、設定された秘密鍵を使用してこの種のCookieを復号化し、署名検証を一切行わずに復号化された内容を信頼します。
HTTPSサービスと認証オーバーライドCookieの両方に同じ証明書が使用されている場合、攻撃者はHTTPSセッションを通じて対応する公開鍵を取得し、デバイスが正規のものとして受け入れる偽造Cookieを作成することができます。
Rapid7は、攻撃者がGlobalProtectポータルまたはゲートウェイの公開証明書を取得し、任意のユーザー向けの偽造認証オーバーライドCookieを生成して、有効な資格情報なしに認証できることを実証するPoC(概念実証)エクスプロイトを開発しました。このPoCを使用して、研究者らは未パッチのGlobalProtectゲートウェイへの認証に成功しました。
GlobalProtect VPNデバイスを使用している組織は、直ちに最新のセキュリティアップデートをインストールして脆弱性にパッチを当てることが推奨されます。
管理者はまた、認証オーバーライド機能を無効にするか、この機能専用に別の証明書を使用してデバイス上の他のサービスと共有しないようにすることで、脆弱性を緩和することもできます。
CISAはこの脆弱性を既知の悪用された脆弱性カタログに追加し、連邦機関に対して2026年6月1日までに脆弱性を緩和するよう命じています。
検証のギャップ:自動ペネトレーションテストが答える質問は一つ。しかし必要なのは六つです。
自動ペネトレーションテストツールは確かな価値をもたらしますが、それらは一つの問いに答えるために設計されています。すなわち「攻撃者がネットワーク内を移動できるか?」という問いです。コントロールが脅威をブロックするか、検出ルールが発動するか、クラウド設定が維持されるかといった点をテストするためには設計されていません。
本ガイドでは、実際に検証が必要な6つのサーフェスを解説します。
