Palo Alto Networksの顧客ファイアウォールに影響する認証バイパスの脆弱性が現在積極的に悪用されており、研究者や脅威ハンターたちが対応に追われています。
同社は5月13日に脆弱性を公開した際、CVE-2026-0257に「中」の深刻度評価を付与していましたが、Rapid7が実際の悪用を観測・確認したことを受け、すぐに「緊急(Critical)」へ格上げしました。米国サイバーセキュリティ・インフラセキュリティ庁(CISA)もこれに続き、金曜日に同脆弱性を悪用が確認された脆弱性カタログに追加しました。
この脆弱性はリモートの攻撃者がセキュリティ制限を回避し、影響を受けるファイアウォールにVPN接続を確立することを可能にするもので、一見軽微に見える脆弱性がいかに迅速に深刻な警告へと変わりうるかを示しています。
「Palo Alto Networksは、緩和策が適用されていない未パッチのPAN-OSデバイスを標的としたCVE-2026-0257への限定的な悪用の試みを、積極的に監視しています」と同社の広報担当者は声明で述べました。同社は金曜日、全顧客に対してパッチの即時適用、または推奨する緩和策に従うよう強く求めました。
5月17日に顧客環境で初めて悪用を観測したRapid7とPalo Alto Networksは、現時点で何社が影響を受けているかの公表を控えています。しかし、Rapid7の脆弱性インテリジェンス担当ディレクターのDouglas McKee氏は「5月21日の第2波では、わずか1時間以内に複数の顧客が被害を受けるなど、新たな被害者が次々と現れています」と警告しました。
watchTowrのセキュリティ研究者、Jake Knott氏はCyberScoopに対し、この脆弱性と関連する悪用コードは、攻撃者が露出したネットワークエッジデバイスを標的に、初期アクセスのためのエクスプロイトを迅速に特定・開発・武器化するという繰り返し見られる傾向に沿ったものだと述べました。
「これは、組織のネットワークの入口を守ることを唯一の役割とするデバイスにおける、またしての認証バイパスです」と同氏は言います。「際立っているのはその単純さです。攻撃者はアプライアンスの公開TLS証明書さえあれば、有効な認証クッキーを偽造できます。エクスプロイト全体がたった1つのHTTPリクエストで完結します」。
この脆弱性には露出を制限するいくつかの前提条件があります。具体的には、認証オーバーライドクッキーを有効にするよう設定されたGlobalProtectポータルまたはゲートウェイを運用している一部のPalo Alto Networksの顧客がリスクにさらされています。
「クッキーの暗号化・復号化に使用される証明書が別の機能と共有されている必要があり、これによりその証明書の公開鍵が外部に露出する可能性があります」と、VulnCheckのセキュリティリサーチ担当バイスプレジデント、Caitlin Condon氏は述べました。
「悪用可能な条件を満たすデプロイメントがどれほど存在するかを断言するのは困難ですが、Palo Alto Networksのファイアウォールは導入実績が非常に多いため、一般的でない構成であっても大きな攻撃対象領域を生み出す可能性があります」と同氏は付け加えました。
Rapid7は、先月発生した2つの悪用の波はいずれも同一の攻撃者またはグループによるものである可能性が高いと述べています。ただし、多くのケースで攻撃者は完全なVPN接続を確立したり、影響を受けたネットワークの他の部分へ移動したりはしていないとのことです。
攻撃者は「非常に日和見的で、明らかにセキュリティ研究コミュニティを監視しています」とMcKee氏は述べました。「攻撃者は、組織にとって通常は優先度が低いか盲点となっている、中程度の深刻度の脆弱性を意図的に武器化しています」。
複数の脅威クラスターがこの機会に群がり、公開された研究に素早く適応しています。研究者たちはこれらの悪意ある活動を特定の脅威グループに帰属させるには至っていません。
「現在のところ、特定を絞った長期的なスパイ活動よりも日和見的な初期アクセスに集中しているように見えるため、彼らの正確な出所や長期的な目的は依然として不明のままです」とMcKee氏は述べました。
Palo Alto Networksは、フロンティアAIツールを活用した社内調査によってこの脆弱性を発見したと説明しています。しかし、公開からわずか数日以内に、当初の評価が不十分であったことが証明されました。
「これは繰り返し見られるパターンです。緊急性が認識されるのは、悪用が始まった後になってからです」とKnott氏は述べました。「積極的な悪用の確認を待ってからパッチを適用する組織は、常に対応が遅すぎるという状況に陥ることになります」。
翻訳元: https://cyberscoop.com/palo-alto-networks-cve-2026-0257-exploited-vulnerability/
