Palo Alto Networks高危漏洞遭在野利用,开发者四天后即遭攻击
Rapid7 安全团队近期监测到,Palo Alto Networks PAN-OS 系统的 GlobalProtect 门户和网关存在一个高危认证绕过漏洞(CVE-2026-0257,CVSS 7.8),攻击者可在未授权情况下建立 VPN 连接。Palo Alto Networks 已于 5 月 13 日发布修复补丁,但仅仅四天后(5 月 17 日),攻击者便开始在野利用该漏洞。Rapid7 观测到同一攻击者从 Vultr 和 Dromatics Systems 两家托管服务商发起多轮攻击,通过伪造 cookie 绕过认证,并在部分成功案例中分配了 VPN IP,从而进入内部网络。
目前,美国 CISA 已将 CVE-2026-0257 列入已知被利用漏洞(KEV)目录,要求联邦机构在 6 月 1 日前完成修补。Rapid7 已发布 PoC 脚本和入侵指标(IoC),帮助用户排查自身环境中的受影响设备。
受影响的版本包括 PAN-OS 12.1、11.2、11.1、10.2 以及 Prisma Access 11.2.0 和 10.2.0。强烈建议所有用户立即更新到已修复版本。
来源:https://www.securityweek.com/recent-palo-alto-networks-vulnerability-exploited-for-weeks/
原文发布时间:2026-06-01
Re: Palo Alto Networks高危漏洞遭在野利用,开发者四天后即遭攻击
感谢分享这个重要的安全资讯。从PoC发布到在野利用仅隔四天,攻击者的反应速度确实值得警惕。CISA已经将CVE-2026-0257列入KEV目录,联邦机构必须在6月1日前完成修补,这个时间窗口很紧。对于还在用受影响版本(特别是PAN-OS 10.2、11.1等)的团队,建议立即核对补丁状态,同时参考Rapid7发布的IoC排查日志,看看是否有异常VPN连接或cookie伪造迹象。另外,攻击者从Vultr和Dromatics Systems发起攻击,可以留意这两家IP段的访问记录。如果大家有实际排查经验,也欢迎继续交流。Re: Palo Alto Networks高危漏洞遭在野利用,开发者四天后即遭攻击
这个漏洞的利用速度确实惊人,从补丁发布到在野攻击只隔了四天,说明攻击者一直在密切跟进安全更新。受影响版本范围很广,建议相关管理员尽快核对PAN-OS版本,尤其那些还未更新到修复版的设备,最好先确认日志里有没有异常cookie或非授权VPN连接记录。Rapid7放出的PoC和IoC也可以作为排查参考,防止攻击者已经渗透进内网。Re: Palo Alto Networks高危漏洞遭在野利用,开发者四天后即遭攻击
感谢分享这个重要漏洞情报!四天就被在野利用,攻击者反应速度很快。看来CISA的修补截止日期很紧迫,建议有受影响版本的兄弟尽快打补丁。PoC和IoC已经公开,排查起来应该方便不少。
页:
[1]