Rapid7の警告によると、Palo Alto Networks PAN-OSのGlobalProtectポータルおよびゲートウェイに存在する認証バイパスの脆弱性が、公表からわずか4日後に脅威アクターによる標的型攻撃にさらされ始めていたことが明らかになりました。
CVE-2026-0257(CVSSスコア7.8)として追跡されているこの高深刻度の欠陥を悪用すると、攻撃者はセキュリティ制限を回避し、脆弱なアプライアンスへのVPN接続を確立できます。
Palo Alto Networksは5月13日にこの脆弱性に対する修正プログラムをリリースし、特定の設定下でGlobalProtectポータルまたはゲートウェイが有効になっているファイアウォールが影響を受けると説明しました。
金曜日には、同社がアドバイザリを更新し、この脆弱性が実際に脅威アクターに悪用されていると警告しました。NISTも同脆弱性をクリティカルに評価しています。
「Palo Alto Networksは、緩和策が適用されていないパッチ未適用のPAN-OSデバイスに対して、限定的な悪用の試みが行われていることを確認しています」と同社は述べています。
これと同時に、米国のサイバーセキュリティ機関CISAもこのCVEを「既知の悪用脆弱性(KEV)」カタログに追加し、連邦機関に対して6月1日までにパッチを適用するよう求めました。
Palo Alto NetworksとCISAは確認された悪用の詳細を公表していませんが、Rapid7の調査によって、CVE-2026-0257の悪用が5月17日に始まっていたことが判明しました。
「初期調査の過程で、Rapid7は同一のホスティングプロバイダー(Vultr)から、複数の顧客環境のローカル管理者アカウントに対して不審なCookie認証が行われていることを確認しました」と同社は説明しています。
5月21日には、同じ脅威アクターがホスティングプロバイダーDromatics Systemsを拠点として第2波の攻撃を仕掛けたと同社は報告しています。
「この攻撃波では、Cookie認証に続いてVPNのIPアドレス割り当てが発生し、内部ネットワークへのアクセスが付与されたことを確認しました。現時点では、侵害された顧客の一部にのみVPN割り当てが発生した理由は確認できていません」とセキュリティ企業は述べています。
脅威アクターは複数の環境でCVE-2026-0257の悪用に成功し、偽造Cookieを用いた認証バイパスを試みました。10件のうち8件では、Cookieが受け入れられたものの、完全なVPNセッションは確立されませんでした。
Rapid7は、各組織が自社環境内の脆弱なPalo Alto Networksファイアウォールを特定できるよう、概念実証(PoC)スクリプトを公開しました。また、防御側が潜在的な侵害を調査できるよう、侵害の痕跡(IoC)も合わせて公開しています。
Palo Alto Networksは、PAN-OS 12.1、11.2、11.1、10.2、およびPrisma Access 11.2.0と10.2.0のソフトウェアアップデートにパッチを含めています。各組織はできる限り速やかにパッチ適用済みバージョンへのアップデートを実施することが推奨されます。
翻訳元: https://www.securityweek.com/recent-palo-alto-networks-vulnerability-exploited-for-weeks/
