2026-06-19 05:29:20 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： CVE-2026-0257是PAN-OS软件中的高危身份认证绕过漏洞，攻击者可通过构造特定请求直接绕过VPN门户和网关的认证机制。该漏洞已被在野利用，攻击痕迹包括特定客户端版本信息和硬编码指纹。文档提供了详细的IoC指标和排查指南，建议立即升级补丁、审计日志并实施零信任策略加强防御。 综合评分： 88 文章分类： 漏洞分析,威胁情报,解决方案,网络安全,安全运营

cover_image

【漏洞解析】CVE-2026-0257：PAN-OS 身份认证绕过，附最新 IoC 与排查指南

原创

Hankzheng Hankzheng

技术修道场

2026年6月18日 08:34 广东

在小说阅读器读本章

去阅读

今天咱们来聊聊CVE-2026-0257。经常搞网络安全和企业基础架构的兄弟们对 Palo Alto Networks（帕罗奥图） 肯定不陌生。作为企业级防火墙的老大哥，它家的 GlobalProtect VPN 几乎是很多大厂标配的“护城河”。

但是，这条护城河最近被人悄悄挖了个地道。

就在这几天，Palo Alto 官方发了红色预警：他们观察到 PAN-OS 软件中存在一个未知的身份验证绕过漏洞，而且已经出现了“在野利用”！

今天我们来拆解一下这个漏洞（CVE-2026-0257），看看攻击者是怎么玩出“免密登录”操作的，以及我们该如何在日志里抓出他们的狐狸尾巴。

🚨 核心技术拆解：CVE-2026-0257 到底是个啥？

先抛基本盘：

漏洞编号： CVE-2026-0257
CVSS 评分： 7.8（高危）
受影响组件： PAN-OS 软件的门户和网关组件

技术原理探讨： 这次爆出的是一个典型的身份验证绕过缺陷。通常情况下，我们建立 VPN 连接需要走严格的凭据校验（账号密码、MFA多因素认证等）。

但在这个漏洞中，攻击者可以利用特定构造的请求，直接绕过 Portal 和 Gateway 的安全控制逻辑。这就相当于，保安还在前门查身份证，黑客已经伪造了一张“VIP通行证”直接从后门连上了 VPN 会话。一旦成功，攻击者就相当于一只脚踏进了企业的内网大门。

技术视角：

这种网关层的 Auth Bypass 往往出现在处理特定 API 接口的会话令牌或特定协议解析时的逻辑缺陷。由于它不需要预先获取任何内部账号密码，这种漏洞对于外部打点的红队或者黑客来说，简直就是“核武器”级别的存在。

🕵️‍♂️ 攻击复现痕迹与“在野”现状

大家最关心的肯定是：现在到底有多严重？

据我拿到的情报，其实早在 2026 年 5 月 17 日，第一次攻击尝试就已经被探测到了。目前还不知道背后的黑客组织是哪路神仙（APT 组织还是单纯的黑灰产）。

不过好消息是，Palo Alto 官方表示：目前还没有发现攻击者在接入 VPN 后进行横向移动或进一步的后渗透行为。 绝大多数情况只是探测设备、建立 VPN 会话，从而触发了网关连接事件。

🛠️ 防御干货：如何排查你是否中招？

这部分是今天的重头戏，各位运维和安全师傅们请直接抄作业。既然攻击者用了 PoC（概念验证代码）在扫，那就必然会留下痕迹。

大家赶紧去翻一翻 GlobalProtect 的网关连接成功日志，重点排查以下两部分特征：

1. PoC 专属的“硬编码”指纹（高亮重点！）

很多攻击者用的其实是公开或半公开的测试脚本，这些脚本里带了非常明显的硬编码特征：

客户端系统版本: Microsoft Windows 10 Pro 64-bit
源用户信息: 为空

排查逻辑： 如果你在日志里发现某个异常的外部 IP，不仅成功连接了网关，且其设备特征完美命中了上面这两个值，不要犹豫，大概率是被利用 PoC 打进来了。

2. 最新威胁情报：IoC 攻击指标

如果你有 SIEM系统，赶紧把下面这些 IP、主机名和 MAC 地址加到你的黑名单或者监控告警规则里：

💀 恶意 IP 列表：

23.128.228.6
104.207.144.154
146.19.216.119 / 146.19.216.120 / 146.19.216.125
179.43.172.213
185.195.232.139
198.12.106.60
202.144.192.47

💻 伪造的 MAC 地址与主机名：

MAC: aa:bb:cc:dd:ee:ff (这种连号的一看就是脚本生成的)
MAC: 00:11:22:33:44:55
Host: WINDOWS-LAPTOP-001
Host: DESKTOP-GP01
Host: GP-CLIENT

🛡️ 解决方案与合规要求

给国内师傅们的建议：

升级打补丁：

这是王道，立刻前往 Palo Alto 官网查看对应 PAN-OS 版本的安全补丁并安排维护窗口升级。
日志审计溯源：

利用上面提供的 IoC 和 PoC 指纹，对近一个月的 VPN 登录日志进行一次深度回溯分析。
零信任策略：

不要盲目信任 VPN 的入口，内网核心业务该加二次认证（MFA）的必须加，做好网段隔离。

网络安全就是一场与时间的赛跑。漏洞曝光的这一刻，不仅我们在看，那些藏在暗处的眼睛也在看。

今天的技术分享就到这里。如果这篇预警对你有帮助，欢迎点赞、在看、转发给你们团队的群里，提醒兄弟们赶紧查日志排雷！大家在防御和排查过程中如果遇到什么坑，或者抓到了什么有意思的 Payload，欢迎在评论区和我交流！我们下期见。

Tags: #网络安全 #PaloAlto #漏洞分析 #CVE #红蓝对抗

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：技术修道场 Hankzheng Hankzheng《【漏洞解析】CVE-2026-0257：PAN-OS 身份认证绕过，附最新 IoC 与排查指南》