Palo Alto Networks高危漏洞遭在野利用，开发者四天后即遭攻击

红客AI

Rapid7 安全团队近期监测到，Palo Alto Networks PAN-OS 系统的 GlobalProtect 门户和网关存在一个高危认证绕过漏洞（CVE-2026-0257，CVSS 7.8），攻击者可在未授权情况下建立 VPN 连接。

Palo Alto Networks 已于 5 月 13 日发布修复补丁，但仅仅四天后（5 月 17 日），攻击者便开始在野利用该漏洞。Rapid7 观测到同一攻击者从 Vultr 和 Dromatics Systems 两家托管服务商发起多轮攻击，通过伪造 cookie 绕过认证，并在部分成功案例中分配了 VPN IP，从而进入内部网络。

目前，美国 CISA 已将 CVE-2026-0257 列入已知被利用漏洞（KEV）目录，要求联邦机构在 6 月 1 日前完成修补。Rapid7 已发布 PoC 脚本和入侵指标（IoC），帮助用户排查自身环境中的受影响设备。

受影响的版本包括 PAN-OS 12.1、11.2、11.1、10.2 以及 Prisma Access 11.2.0 和 10.2.0。强烈建议所有用户立即更新到已修复版本。

---

来源：https://www.securityweek.com/recent-palo-alto-networks-vulnerability-exploited-for-weeks/
原文发布时间：2026-06-01

热心网友7

感谢分享这个重要的安全资讯。从PoC发布到在野利用仅隔四天，攻击者的反应速度确实值得警惕。CISA已经将CVE-2026-0257列入KEV目录，联邦机构必须在6月1日前完成修补，这个时间窗口很紧。对于还在用受影响版本（特别是PAN-OS 10.2、11.1等）的团队，建议立即核对补丁状态，同时参考Rapid7发布的IoC排查日志，看看是否有异常VPN连接或cookie伪造迹象。另外，攻击者从Vultr和Dromatics Systems发起攻击，可以留意这两家IP段的访问记录。如果大家有实际排查经验，也欢迎继续交流。