2026-06-17 04:24:47 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： PaloAlto防火墙因CVE-2026-0257认证绕过漏洞遭批量攻击，攻击者利用HTTPS服务与Cookie加密共用证书的配置缺陷，通过公开密钥伪造管理员Cookie直连内网。官方已发布补丁，建议立即升级或禁用认证覆盖功能、使用专用证书加密Cookie，并排查日志中已知攻击IP、主机名及MAC地址等可疑特征。 综合评分： 90 文章分类： 漏洞分析,应急响应,网络安全,漏洞预警,安全运营

cover_image

Palo Alto防火墙遭批量“秒破”：攻击者凭公开密钥伪造管理员Cookie，直捣内网

看雪学苑看雪学苑

看雪学苑

2026年6月16日 17:59 上海

在小说阅读器读本章

去阅读

5月中旬至今，多家企业的Palo Alto Networks GlobalProtect网关被同一幕后黑手“批量试探”，其中部分目标已遭成功入侵——攻击者未使用任何有效凭证，仅靠一个配置疏忽，就轻松拿到了内网“钥匙”。

共用证书酿成大祸

本次风波的主角是CVE-2026-0257，一个存在于PAN-OS GlobalProtect门户与网关组件中的认证绕过漏洞。该漏洞允许未经授权的攻击者绕过安全限制，直接建立非法VPN连接。

技术上，问题出在HTTPS服务证书与Cookie加密证书共用同一份私钥这一常见错误配置上。攻击者只需从公开的HTTPS会话中提取公钥，就能据此伪造出任意用户的合法Cookie——包括本地管理员账户。整个攻击过程无需暴力破解，无需窃取密码，只需几秒即可完成。

Rapid7实验室团队已公开PoC脚本，证实该攻击的简易性与高成功率。

两波攻势，同一黑手

5月13日：Palo Alto Networks发布安全补丁，但漏洞细节尚未公开。
5月17日：Rapid7 MDR团队首次在客户环境中捕获到利用迹象。
5月18日 01:51 UTC：第一波大规模扫描与试探爆发，攻击源指向Vultr托管的基础设施。日志显示，攻击者使用伪造的Cookie尝试以本地管理员身份登录，主机名统一为“GP-CLIENT”，MAC地址伪装为“aa:bb:cc:dd:ee:ff”。
5月21日：第二波攻势来袭，源头切换至Dromatics Systems，主机名改为“DESKTOP-GP01”，但MAC地址完全一致——安全团队据此判断，两波攻击系同一威胁行为者操纵。

第二波中，部分受害者不仅Cookie被接受，还成功获得了VPN IP地址分配，意味着攻击者已直连内网。虽然截至发稿尚未观察到横向移动或后渗透行为，但内网入口失守本身已构成严重安全事件。

有的沦陷，有的幸免？

Rapid7统计的10家受影响客户中，8家虽接受了伪造Cookie，却未建立完整VPN会话；另有2家则被完全打通。原因尚不明确，但研究员推测可能与GlobalProtect网关的具体版本、会话超时策略或网络环境差异有关。

你中招了吗？

该漏洞的利用条件非常明确，只有同时满足以下两条，才处于风险之中：

Cloud Authentication Service（云认证服务）处于禁用状态；
启用了“认证覆盖Cookie”功能，且该Cookie所使用的证书与HTTPS服务证书为同一份。

如果您的配置不符合上述组合，则不受影响。

紧急处置建议

Palo Alto官方已发布修复版本，强烈建议立即升级至对应已打补丁的PAN-OS版本。

若无法立即升级，可采用以下临时缓解措施：

禁用“认证覆盖”功能（若业务允许）；
生成专用证书，仅用于Cookie加密，切勿与HTTPS或其他服务共用。

同时，请立即排查GlobalProtect日志中是否存在以下可疑特征：

已知攻击IP（部分列表）

23.128.228.6

104.207.144.154

146.19.216.119

146.19.216.120

146.19.216.125

179.43.172.213

185.195.232.139

198.12.106.60

202.144.192.47

可疑主机名与MAC地址

主机名：GP-CLIENT、DESKTOP-GP01、WINDOWS-LAPTOP-001
MAC地址：aa:bb:cc:dd:ee:ff、00:11:22:33:44:55

异常会话特征

客户端显示为“Windows 10 Pro 64-bit”
源用户域名为空

凡命中上述指标的成功登录事件，极可能已被入侵，请立即启动应急响应，切断VPN会话并全面审计内网资产。

评分争议：

厂商眼中的“中危”，实战中的“高危”

Palo Alto初始将本漏洞定为中危，理由是需特定配置才可触发。但安全社区与Rapid7一致认为：一个面向公网的VPN认证绕过漏洞，能直接将攻击者送入内网，无论CVSS分数如何，实战威胁都属“高危”级别。此次大规模利用也证实了这一点。

CVE-2026-0257的教训再次敲响警钟：边缘设备的安全配置远比版本号重要。证书管理、认证策略、日志监控——这些基础工作缺一不可。

资讯来源：综合自Palo Alto Networks安全公告、Rapid7 MDR事件响应报告、CISA已知被利用漏洞目录（KEV）及公开技术分析。

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑看雪学苑看雪学苑《Palo Alto防火墙遭批量“秒破”：攻击者凭公开密钥伪造管理员Cookie，直捣内网》