資格情報不要の認証バイパスにより、攻撃者はマルウェア・フィッシング・盗まれた資格情報を使わずに企業ネットワークへ侵入できる隠密なルートを手に入れます。
Palo Alto Networksの脆弱性が現在、攻撃者に企業ネットワークへの不正なVPNアクセスを可能にしており、実環境での悪用が確認されています。同社がこの欠陥を中程度の深刻度の問題として開示し、攻撃を認識していないと表明してから数週間が経過しています。
しかしRapid7によれば、脅威アクターたちは開示からわずか数日で悪用を開始していたとのことです。
「Rapid7 MDRは複数の顧客において悪用の成功を確認しましたが、デバイスからの横断移動(ラテラルムーブメント)が成功したことを示す兆候は観察されませんでした」と同社はその分析レポートの中で述べています。攻撃者はネットワークに到達したものの、Rapid7が調査したケースでは、より深部への侵入は確認されなかったとのことです。
CVE-2026-0257として追跡されているこの脆弱性は、PaloAltoのリモートアクセスVPNプラットフォーム「GlobalProtect」に影響します。Rapid7によると、Palo Altoが修正プログラムと緩和策のガイダンスを公開してから4日後の5月17日には、早くも悪用が始まっていたとのことです。
この事態は、Palo Altoが5月13日に発出した当初のアドバイザリから大きくエスカレートしたことを示しています。当初のアドバイザリでは、この欠陥は中程度の深刻度と評価され、当時は悪意ある悪用を認識していないと述べられていました。
5月29日までにPalo Altoはアドバイザリを更新し、この脆弱性のCVSSスコアを7.8に引き上げるとともに、エクスプロイト成熟度を「攻撃済み(attacked)」とマークし、最高の緊急度評価を付与しました。
「Palo Alto Networksは、緩和策が適用されていない未パッチのPAN-OSデバイスに対して、限定的な悪用の試みが行われていることを把握しました」と同社はアドバイザリの更新の中で述べています。
急速に現れた悪用の実態
この脆弱性はファイアウォール自体でのリモートコード実行を可能にするものではありませんが、Rapid7は各組織に対し、割り当てられた深刻度スコアが示唆するよりも深刻な問題として扱うよう呼びかけています。
「割り当てられたCVSSv4スコアは中程度の深刻度を示していますが、この脆弱性を取り巻く状況を踏まえ、Rapid7は各組織がこれをクリティカルな脆弱性として扱うよう強く求めます」と同社は述べています。
Beagle SecurityのアドバイザーであるSunil Varkeyは、この脆弱性が彼の言う「完全に資格情報不要の認証バイパス」を可能にするため、特に懸念されると述べています。
「攻撃者は公開されている公開鍵を使って偽造クッキーを作成し、マルウェア、フィッシング、盗まれた資格情報を一切使わずにVPNセッションを直接確立することができます」とVarkeyは説明しています。
その結果生成されるセッションは正規のものとして見えるため、こうした活動は多くの従来の侵入手法よりも検出がはるかに困難になり得ると同氏は付け加えました。
リモートコード実行の欠陥は最高の深刻度評価を受けることが多いですが、リモートアクセスインフラに影響する認証バイパスの脆弱性は同等の企業リスクをもたらし得ると、IDCアジア太平洋地域のサイバーセキュリティサービス担当シニアリサーチマネージャー、Sakshi Groverは述べています。
「現代のゼロトラストモデルでは、アイデンティティが新たなペリメーター(境界線)です」とGroverは語りました。「不正な認証アクセスを許可する脆弱性は、基盤となるデバイス上でコードを実行しなくても、そのペリメーターを事実上侵害してしまいます。」
企業リスクは、脆弱性が直接何をするかというよりも、その後にどのようなアクセスを可能にするかにあると同氏は付け加えました。具体的には、横断移動(ラテラルムーブメント)、資格情報の収集、そして正規セッションに見せかけた永続化などが挙げられます。
脆弱性の根本原因
この欠陥は、PAN-OSが認証オーバーライドクッキーを処理する方法にあると、Rapid7は開示文の中で述べています。ゲートウェイは秘密鍵でクッキーを復号した後、署名を確認せずにその内容を信頼してしまいます。
このクッキーはもともと利便性のための機能だとVarkeyは言います。
「多くの組織が認証オーバーライドクッキーを有効にしたのは、シンプルな理由、つまりユーザーエクスペリエンスの向上のためでした」と同氏は述べています。「そして今、それを真剣に再検討する必要があります。」
この脆弱性は特定の設定下でのみ影響を受けるとRapid7は付け加えています。クッキーが有効になっており、かつそれを保護する証明書がゲートウェイのHTTPSインターフェースなど別の機能も兼ねている必要があります。攻撃者はその公開鍵を取得し、有効なクッキーを偽造することができます。この機能はデフォルトでは無効ですが、数年前に有効化したチームは自分たちが危険にさらされていることに気づいていない可能性があります。
これはより広い教訓を示していると、Groverは述べています。リスクは多くの場合、欠陥そのものからではなく、技術が時間をかけてどのように設定・維持されるかから生じると同氏は語りました。
高まるパッチ適用への圧力
この脆弱性を巡る緊迫感は、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)が5月29日にCVE-2026-0257を既知の悪用された脆弱性(KEV)カタログに追加し、連邦民間機関に対して6月1日までに修正措置を取るよう指示したことで、さらに高まりました。
Rapid7は、各組織が影響を受けるGlobalProtectの導入環境を確認し、脆弱な設定が存在するかどうかを検証した上で、利用可能な修正プログラムをできる限り早く適用すべきだと述べています。
このインシデントは、ゼロトラストアーキテクチャを追求する組織にとってのより広範な課題も浮き彫りにしています。
「ゼロトラストはペリメーターを排除したのではなく、再分配したのです」とGroverは述べています。「アイデンティティプロバイダー、VPNゲートウェイ、リモートアクセスポータル、SASEエッジ、クラウドアクセスサービスが、攻撃者の標的となる新たなコントロールポイントになっています。」
各組織はネットワークセキュリティとゼロトラストの取り組みに引き続き多額の投資をしていると同氏は述べましたが、レガシーVPNインフラは企業環境に深く組み込まれたまま残ることが多く、多くの組織が近代化できるペースよりも速く攻撃者が悪用する移行期間を生み出しているとのことです。
「このインシデントは厳しい真実を再確認させてくれます。長年にわたるゼロトラストの議論にもかかわらず、利便性が慎重なアーキテクチャより優先される場合、ペリメーターセキュリティは依然として脆弱なままです」と同氏は語りました。
CISOにとって、この教訓はパッチ適用にとどまりません。「エッジデバイスの悪用というパターンが繰り返されるのは、セキュリティ製品が不足しているためではほとんどありません」とGroverは語りました。「多くの場合、それはアセットの可視性、設定ガバナンス、パッチ優先付け、アーキテクチャの近代化におけるギャップを反映しています。」
