Rapid7報告:攻撃者が認証バイパスの欠陥を実環境で悪用、PAN-OSユーザーに緊急パッチ対応を迫る
Palo Altoの顧客に対し、またしてもインターネットに公開されたセキュリティ上の欠陥へのパッチ適用が求められています。今回は研究者らが、攻撃者によるGlobalProtect認証のバイパスと不正なVPNアクセスの取得を確認したことがきっかけです。
この脆弱性はCVE-2026-0257として追跡されており、特定の構成でGlobalProtectの認証オーバーライドクッキーを使用しているPAN-OSの展開環境に影響します。
Palo Altoは5月13日にこの欠陥を開示し、当初は中程度の深刻度と評価しました。悪用の試みは把握しているものの、実際の悪意ある攻撃は確認されていないとしていました。
しかし、その評価はすぐに覆されることになりました。
Rapid7のセキュリティ研究者は、少なくとも5月17日以降、複数の顧客環境で実際の悪用に成功した事例を観測し、独自の概念実証テストで攻撃手法を検証したと報告しています。攻撃者は脆弱なシステム上で不正なVPNセッションを確立しており、正規の認証情報なしに企業内部ネットワークへのアクセスが可能になる恐れがあるとしています。
Rapid7の分析によれば、この欠陥はPAN-OSが認証オーバーライドクッキーを信頼する仕組みに起因しています。特定の展開構成において、攻撃者は独自のクッキーを作成し、ファイアウォールに正規のものとして受け入れさせることができます。HTTPSサービスと認証オーバーライドクッキーの両方に同一の証明書が使用されている環境では、攻撃者が巧妙な偽造クッキーを生成するために必要な情報を入手しやすくなるため、リスクは最も高くなります。
Rapid7は、脆弱なデバイスを標的とした複数の攻撃の波を観測したと述べています。一部のケースでは、サイバー犯罪者がVPN IPアドレスとネットワークアクセスの取得に成功していますが、同社が調査したインシデントにおいては、初期アクセス後の横展開(ラテラルムーブメント)が成功した証拠は確認されなかったとしています。
この脆弱性はCISAの既知の悪用脆弱性(KEV)カタログにも追加されており、連邦政府機関には6月1日までに影響を受けるシステムへのパッチ適用または適切な対策の実施が求められています。Palo Altoもアドバイザリを改訂し、深刻度評価を引き上げるとともに、最高レベルの緊急ラベルを付与しました。サポート対象のリリースには修正プログラムが提供されています。
「Palo Alto Networksは、緩和策が適用されていない未パッチのPAN-OSデバイスに対する限定的な悪用の試みを把握しました」と、同社は更新情報の中で述べています。
今回のPAN-OSに関する問題が浮上したのは、前回の緊急対応から1か月も経たないタイミングです。5月には、国家支援を受けた攻撃者がCVE-2026-0300を悪用していたことが判明しました。これはPAN-OSのUser-ID認証ポータルにおけるリモートコード実行の重大な脆弱性で、パッチが広く提供される前から攻撃に利用されていました。
脆弱なGlobalProtectゲートウェイを運用している組織は、今またおなじみの選択を迫られています。迅速にパッチを当てるか、それとも誰かに先を越されるリスクを冒すか、です。®
