Palo Alto Networks Unit 42は、PAN-OSソフトウェアのGlobalProtectポータルおよびゲートウェイコンポーネントに影響を与える重大な認証バイパス脆弱性CVE-2026-0257の実際の悪用を確認しました。
この脆弱性は当初CVSSv4スコア4.7(中)が付与されていましたが、実環境での悪用が確認されたことを受け、Palo Alto Networksは2026年5月29日にスコアを7.8(高)に引き上げました。これは、CISAが同脆弱性を既知の悪用された脆弱性(KEV)カタログに追加した日と同日です。
両方の攻撃の波で一貫して使用された偽装MACアドレス aa:bb:cc:dd:ee:ff は、このキャンペーンの背後に特定されていない単一の脅威アクターが存在することを強く示唆しています。
Unit 42の研究者が確認したところ、調査対象デバイスのうち完全なVPNトンネルを確立したのはごく一部にとどまり、影響を受けたMDR顧客の約10件中2件においてのみ、/ssl-vpn/hipreport.esp および /ssl-vpn/getconfig.esp へのPOSTリクエストを通じてセッションの完全な確立が確認されています。
重要な点として、現時点では横方向への移動(ラテラルムーブメント)は確認されていませんが、Palo Alto Networksはアクセス後の行動を引き続き監視しています。
この脆弱性は複数のPAN-OSブランチに影響を与えており、具体的にはバージョン12.1.4-h6、11.2.4-h17、11.1.4-h33、10.2.7-h34より前のバージョン、およびPrisma Accessバージョン11.2.7-h13、10.2.10-h36未満が対象となります。
悪用が成立するのは、認証オーバーライド機能が有効になっており、かつオーバーライド証明書がHTTPSサービスと共有されている場合に限られます。これはPalo Alto自身のハードニングガイダンスに違反する設定ミスです。
各組織は、公式セキュリティアドバイザリに記載の内容に従い、ベンダーが提供する修正済みPAN-OSバージョンへ速やかにパッチを適用してください。
注記:IPアドレスおよびドメインは、誤った名前解決やハイパーリンクを防ぐため、意図的に無害化(例:[.])されています。再有効化はMISP、VirusTotal、またはお使いのSIEMなど、管理されたスレットインテリジェンスプラットフォーム上でのみ行ってください。
翻訳元: https://cyberpress.org/palo-alto-warns-of-actively-exploited/
