Palo Alto Networksのファイアウォールに存在する認証バイパス脆弱性(CVE-2026-0257)は、同社が5月13日に公表していたものですが、「限定的な悪用」の標的になっています。
「複数の顧客にわたり、Rapid7は偽造Cookieを使った認証プローブによる悪用の成功を確認しました。ただし、影響を受けたMDR(マネージドディテクション&レスポンス)顧客10件のうち8件では、完全なVPNセッションが確立されることなくアプライアンスがCookieを受け入れていました。」
一方、朗報もあります。デバイスからの横展開(ラテラルムーブメント)が成功したという痕跡は、現時点で確認されていません。
CVE-2026-0257の概要
CVE-2026-0257は、ファイアウォールがCookieを信頼する一方で、詳細な検証や整合性チェックを実施しないことに起因する脆弱性です。これにより、遠隔の未認証攻撃者がセキュリティ制限を回避し、不正なVPN接続を確立できる恐れがあります。
本脆弱性は、PAN-OSソフトウェアを実行するPalo Alto Networks(PAN)の物理・仮想ファイアウォールのGlobalProtectポータルおよびゲートウェイと、Prisma Accessに影響します。
GlobalProtectはPalo Alto Networksのリモートアクセスソリューションで、PAN-OSに組み込まれています。また、クラウドからPAN-OSファイアウォール機能をサービスとして提供するPrisma Accessのクライアントサイドコンポーネントでもあります。
「本件は、認証オーバーライドCookieが有効化されており、かつ特定の証明書構成が存在する状態でGlobalProtectポータルまたはゲートウェイが設定されているファイアウォールに影響します」と、同社はセキュリティアドバイザリに記載しています。
認証オーバーライド機能は、認証済みユーザーに対してCookieを発行することで、接続のたびに認証情報を再入力しなくて済むようにするものです。ただしRapid7によると、これらのCookieの暗号化・復号に使用される証明書が、ポータル/ゲートウェイのHTTPSサービスで使用される証明書と同一であるケースがあります。
その特定の証明書構成が存在する場合、攻撃者はHTTPSサービスに接続するだけで公開鍵を取得でき、正規の認証オーバーライドCookieを偽造することが可能です。サーバーが署名検証なしにCookieの内容を復号・信頼する仕組みになっているためです。
攻撃の実態
Rapid7のアナリストは、2026年5月17日に最初の悪用の波を確認し、続いて5月21日に第2波を観測しています。
「両波で観測されたMACアドレス(偽装済み)が一致していることから、Rapid7はいずれの攻撃も同一の脅威アクター(TA)によるものと判断しています」と、同社は述べています。
研究者らは侵害インジケーター(IoC)と概念実証スクリプトを公開しており、防御側はこれを活用してアプライアンスがCVE-2026-0257の影響を受けるかどうかを確認できます。
修正済みバージョンへのアップグレードをまだ完了していないPalo Alto顧客は、直ちに対応することが求められます。代替措置として、侵害リスクを軽減するには、認証オーバーライド機能を無効化するか、その機能専用に使用する新しい証明書を生成する方法があります。
CISAはCVE-2026-0257を既知の悪用脆弱性(KEV)カタログに追加し、米国連邦民間機関に対して本日(2026年6月1日)までにシステム上で対応するよう命じています。
