大手セキュリティベンダーが、先月パッチを適用した自社製品の深刻度「高」のCVEについて、攻撃者による積極的な悪用が確認されたとして顧客に警告を発しています。
CVE-2026-0257は、Palo Alto NetworksのPAN-OSソフトウェアに搭載されたGlobalProtectポータルおよびゲートウェイにおける認証バイパスの脆弱性です。
その名が示すとおり、攻撃者がセキュリティ制限を回避し、不正なVPN接続を確立できる可能性があります。
本脆弱性のCVSSスコアは7.8です。アップデートは5月13日に公開されていましたが、Palo Altoは金曜日に「緩和策が適用されていない未パッチのPAN-OSデバイスに対して、限定的な悪用の試みを把握した」と発表しました。
関連記事:ハッカーがPalo Alto Networksのファイアウォール3件の脆弱性をチェーン攻撃
この脆弱性はもともと「中」程度の深刻度に分類されていました。これは、GlobalProtectポータルまたはゲートウェイが「認証オーバーライドCookieが有効化され、特定の証明書設定が存在する」場合にのみ影響を受けるためです。
しかし、ここ数日間で複数の悪用の試みが確認されたことを受け、深刻度は「高」に引き上げられました。
緊急パッチ適用の必要性
Rapid7は各組織に対し、本脆弱性を「クリティカル」として扱うよう強く促しています。同社によると、悪用は5月18日と5月21日を起点に2つの波に分けて行われており、いずれも同一の攻撃者によるものと見られています。
同社は、エッジ側に配置されたVPNアプライアンスにおける認証バイパスは、企業顧客に重大な影響を与える可能性があると警告しています。
「Rapid7は、CookieによるVPN認証後にVPN IPが割り当てられ、攻撃者が内部ネットワークへのアクセスを取得したケースを確認しました。現時点では、なぜVPN割り当てが一部の被害顧客にのみ発生したのかは確認できていません」と同社は続けています。
「複数の顧客において、Rapid7は偽造Cookieを用いた認証プローブによる悪用の成功を確認しましたが、影響を受けたMDR顧客10件中8件では、完全なVPNセッションが確立されることなくアプライアンスがCookieを受け入れていました。」
GlobalProtect VPNのユーザーには、直ちにパッチを適用することが推奨されています。パッチの適用が困難な場合、Palo Alto Networksは2つの緩和策を提示しています。
- GlobalProtectポータルおよびゲートウェイの設定で認証オーバーライドを無効化する
- 認証オーバーライドCookie専用の新しい証明書を生成し、安全に保管する。他のユーザーとの共有や再利用は行わない
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)はCVE-2026-0257を既知の悪用脆弱性(KEV)カタログに追加し、連邦政府の民間機関に対して6月1日までのパッチ適用を義務付けています。
翻訳元: https://www.infosecurity-magazine.com/news/palo-alto-highseverity-bug/
