出典:Sergey Tarasov / Alamy Stock Photo
攻撃者たちが、Palo Alto NetworksのPAN-OS GlobalProtect VPN技術に存在するセキュリティ脆弱性を悪用しています。この脆弱性を利用すると、有効な認証情報がなくても認証をバイパスしてVPNアクセスを取得することが可能になります。
5月、Palo Alto Networks(PAN)はCVE-2026-0257として追跡されるこの脆弱性を開示し修正しましたが、先週アドバイザリを更新し、「緩和策が適用されていないパッチ未適用のPAN-OSデバイスに対して、限定的な悪用の試みが確認されている」と注記しました。CVE-2026-0257として追跡されるこの脆弱性を開示・修正しましたが、先週アドバイザリを更新し、「緩和策が適用されていないパッチ未適用のPAN-OSデバイスに対して、限定的な悪用の試みが確認されている」と注記しました。
このアドバイザリの更新は、Rapid7が先週公開したレポートを受けたものです。同レポートでは、早くも5月17日の時点で「複数の顧客環境にわたる」悪用の成功が確認されたと報告しています。また5月29日には、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)もこの脆弱性を既知の悪用された脆弱性(KEV)カタログに追加しました。
この脆弱性は、アドバイザリに記載されているさまざまなバージョンのPAN-OSソフトウェアのGlobalProtectポータルおよびゲートウェイに影響します。同社の内部研究者によって発見されたこの脆弱性は、当初CVSSスコア7.8で「中」(Medium)の深刻度と評価されました。これは、悪用にあたって認証オーバーライドCookieが有効化された状態かつ特定の証明書設定が施されたGlobalProtectポータルまたはゲートウェイを持つファイアウォールが必要なためです。しかし、それでもサイバー攻撃者を止めることはできませんでした。
CVE-2026-0257 Issue as 'Critical'">CVE-2026-0257を「クリティカル」として扱うべき理由
Rapid7の研究者たちは、この脆弱性を「クリティカル」として扱うよう組織に強く求めています。現在進行形で悪用されているだけでなく、レポートによれば「エンタープライズ向けVPNアプライアンスにおける認証バイパスは、影響を受ける組織に深刻な被害をもたらす可能性がある」からです。
「そのため、影響を受けるアプライアンスを運用している組織は、早急にベンダー提供のパッチを適用するよう強く推奨します」とRapid7のアラートは述べています。また同社の研究者は現時点で「デバイスからの横断的移動(ラテラルムーブメント)が成功した兆候は観察されていない」とも付け加えています。
一方、複数の顧客環境にわたる攻撃の成功は確認されています。多くのケースでは、攻撃者が偽造した認証Cookieを使って正規ユーザーを詐称し、GlobalProtectゲートウェイへの認証を突破していました。最初の攻撃に続き、5月21日には第二波の活動が確認されており、一部の攻撃者がVPNアドレスを割り当てられ、内部ネットワークへのアクセスを取得した証拠も見つかっています。
PAN VPNの悪用手法
問題の根源は「認証オーバーライド」と呼ばれる機能にあります。この機能は、GlobalProtectポータルまたはゲートウェイが認証済みユーザーにCookieを発行するものです。Rapid7によれば、「認証されたユーザーはその後、認証情報を再入力する代わりに認証オーバーライドCookieを使用してGlobalProtectポータルやゲートウェイと通信できます。ベアラートークンに似た仕組みです」とのことです。
ただし、この機能はデフォルトでは有効になっていません。また、この脆弱性が成立するには、認証オーバーライドCookieの暗号化・復号に使用する証明書の設定が一定の条件を満たす必要があります。具体的には、認証オーバーライドCookieの暗号化・復号に使用する証明書が、GlobalProtectポータルやゲートウェイのHTTPSサービスで使用する証明書と同一であってはならないとされています。
ところが、Rapid7の分析によると、特定の設定下ではシステムが復号されたCookieの真正性を検証せずに信頼してしまうことが判明しました。管理者がHTTPSサービスとCookie暗号化の両方に同じ証明書を使い回した場合、攻撃者は証明書の公開鍵を入手し、PANのVPNゲートウェイが有効と判断する偽造Cookieを生成できると研究者は説明しています。
Rapid7は概念実証(PoC)ツールを開発し、攻撃の再現に成功しました。このPoCにより、脆弱なGlobalProtectゲートウェイが偽造Cookieを受け入れ、認証済みセッションの確立に利用できることが実証されました。
今すぐ緩和策を適用
Palo Alto Networksのセキュリティ技術は企業ネットワークへの侵入を妨げる役割を担っているため、同社製品に存在するセキュリティ上の欠陥は攻撃者の格好の標的となっています。今年初めには、脅威アクターが別の認証バイパス脆弱性を標的にしました。これはPAN-OSに存在し、未認証の攻撃者が特定のPHPスクリプトを呼び出せるというものでした。CISAもその脆弱性CVE-2025-0108へのパッチ適用を組織に勧告しており、最初に発見された時点ではゼロデイ脆弱性でした。
今回のCVE-2026-0257については、PANとRapid7いずれも、影響を受ける顧客はできる限り早急にPANの修正を適用することが賢明だとしています。それが難しい場合はPANのガイダンスに従い、認証オーバーライドCookie専用の証明書を新たに生成して安全に保管することが推奨されます。また、ポータルやゲートウェイの証明書を使い回さないこと、この証明書を他の機能やユーザーと共有しないことも重要だと同社は述べています。
PANのガイダンスによれば、ネットワークを保護するためのもう一つの手段として、GlobalProtectポータルおよびゲートウェイの設定でCookieの生成と受け入れに関するすべてのオプションのチェックを外し、認証オーバーライド機能を完全に無効化することも可能です。
翻訳元: https://www.darkreading.com/threat-intelligence/patch-palo-alto-auth-bypass-bug-exploit
